enaena Opublikowano 14 Grudnia 2015 Zgłoś Udostępnij Opublikowano 14 Grudnia 2015 Proszę o pomoc Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2015 Zgłoś Udostępnij Opublikowano 14 Grudnia 2015 Działania do przeprowadzenia: 1. Odinstaluj: - Adware/PUP: Findwide Toolbar, istartsurf uninstall, Lollipop, SupTab, VideoDownloadConverter Internet Explorer Toolbar. - Zbędniki: AVG Web TuneUp, STOPzilla AntiVirus 7. A StopZilla to skaner wątpliwej reputacji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Enoszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\Users\Enoszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\Users\Enoszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\Users\Enoszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\Users\Enoszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} HKU\S-1-5-21-2451096611-3267693537-2452564422-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&ts=1393412115&type=default&q={searchTerms} HKU\S-1-5-21-2451096611-3267693537-2452564422-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKU\S-1-5-21-2451096611-3267693537-2452564422-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKU\S-1-5-21-2451096611-3267693537-2452564422-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&ts=1393412115&type=default&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={5CC79DA6-A049-4B86-B4DF-727A7680429B}&mid=36c21e0f80c547d2acf1f15340c342aa-e8389853a5434d068050019316fa500eac390201&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1015tb&pr=fr&d=2014-11-06 06:17:03&v=4.2.1.951&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> {CE96B6D1-4EFD-49D9-923E-29E5DCF1FA83} URL = hxxp://search.findwide.com/serp?guid={45FA0583-43C6-49B7-817D-7C14EAE57F67}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> {EA6E9918-88A6-4CA4-9415-CD37008B69CF} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11147 SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 CustomCLSID: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000_Classes\CLSID\{7DF5D666-B938-4BD3-8B73-5E0DEBDC744D}\InprocServer32 -> C:\Program Files (x86)\TNT2\Profiles\11147\passport64.dll (Freshy.com) FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\40.2.3\\npsitesafety.dll [brak pliku] FF Plugin-x32: @VideoDownloadConverter_4z.com/Plugin -> C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll [brak pliku] FF Plugin-x32: @VideoDownloadConverter_ScriptHelper.com/Plugin -> C:\Program Files (x86)\VideoDownloadConverter\npVDCPlugin.dll [2013-08-26] (Mindspark) FF Plugin HKU\S-1-5-21-2451096611-3267693537-2452564422-1000: @tnt2npapi.com/Plugin -> C:\Users\Enoszka\AppData\Local\TNT2\2.0.0.1923\npTNT2.dll [2015-01-13] (Freshy.com) FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Enoszka\AppData\Roaming\Mozilla\Firefox\Profiles\v6fnz20q.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Enoszka\AppData\Roaming\Mozilla\Firefox\Profiles\v6fnz20q.default\extensions\deskCutv2@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Enoszka\AppData\Roaming\Mozilla\Firefox\Profiles\v6fnz20q.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Enoszka\AppData\Roaming\Mozilla\Firefox\Profiles\v6fnz20q.default\extensions\yahooprotected@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku Task: {173502A1-6F86-4EE4-89A5-AC7DC41828DA} - System32\Tasks\{F3BD1F4A-C9AB-4875-8562-60C9A38855B7} => pcalua.exe -a E:\programy\setup.exe -d E:\programy Task: {4722CF8A-CBB0-4261-99FB-F7F7337CAC82} - System32\Tasks\{910B1E20-64EF-4F3F-84C2-1906EBA37974} => pcalua.exe -a "E:\programy\stero druk\epson375127eu.exe" -d "E:\programy\stero druk" Task: {5FEDE2E3-8DA2-44BC-930A-9D725CA817A8} - System32\Tasks\{685968D5-C616-48AF-8C8F-5489EE55CF0B} => pcalua.exe -a C:\Users\Enoszka\AppData\Roaming\sweet-page\UninstallManager.exe Task: {E9ED5E3D-F30A-4859-9FF5-08D2F7C6F892} - System32\Tasks\{07DBBA80-20C4-42DF-8450-37D0126C9C47} => pcalua.exe -a "E:\programy\stero druk\epson375129eu (1).exe" -d "E:\programy\stero druk" S3 clwvd6; system32\DRIVERS\clwvd6.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SBAMSvc => ""="Service" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SupTab RemoveDirectory: C:\Program Files (x86)\TNT2 RemoveDirectory: C:\Program Files (x86)\VideoDownloadConverter_4z RemoveDirectory: C:\ProgramData\7WdM7 RemoveDirectory: C:\ProgramData\BWMiniProB RemoveDirectory: C:\ProgramData\tWdMt RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Enoszka\AppData\Local\TNT2 RemoveDirectory: C:\Users\Enoszka\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} RemoveDirectory: C:\Users\Enoszka\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
enaena Opublikowano 14 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2015 DZIAŁA!! Dziękuję!! Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2015 Zgłoś Udostępnij Opublikowano 14 Grudnia 2015 (edytowane) Poprawki: 1. Nie został odinstalowany AVG Web TuneUp - to pasek przemycany w instalatorach AVG, rekonfigurujący ustawienia przeglądarek. Traktowany jako "PUP" (Potencjalnie niepożądany program). Odinstaluj go, bo i tak AdwCleaner zadany w kolejnym punkcie go naruszy (i nie będzie się tego paska już dało poprawnie odinstalować). 2. Nie został wyczyszczony Firefox, nadal w nim adware stoi. Wykonaj zaległy krok: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall Task: {4F56E6A6-E7B7-43AE-82BA-F4BB20ECE5C3} - System32\Tasks\{1BAC4118-B41B-4099-813E-8B05482E175F} => pcalua.exe -a C:\Users\Enoszka\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cornl HKLM-x32\...\Run: [VideoDownloadConverter EPM Support] => "C:\PROGRA~2\VIDEOD~1\bar\1.bin\4zmedint.exe" T8EPMSUP.DLL,S HKLM-x32\...\Run: [VideoDownloadConverter_4z Browser Plugin Loader 64] => C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zbrmon64.exe Toolbar: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> Brak nazwy - {7DF5D666-B938-4BD3-8B73-5E0DEBDC744D} - Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\VideoDownloadConverter RemoveDirectory: C:\ProgramData\STOPzilla! RemoveDirectory: C:\Users\Enoszka\AppData\Roaming\istartsurf Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi