bigi162 Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Witajcie, Kilka dni temu avast zaczął wykrywać zagrożenia związane z win32:Evo-gen[susp]. Przeniesienie do kwarantanny nie pomagało. Ponadto w przeglądarkach (chrome i firefox) pojawiła się niechciana strona startowa (nie pamiętam jaka) plus reklamy do sklepów otwierające się po kliknięciu w dowolne miejsce na stronie internetowej otwierane czasami na tej stronie czasami na nowej i czasami na nowej karcie po 3 za jednym kliknięciem. Próba ręcznej zmiany strony startowej w przeglądarkach nie przynosiła rezultatu tak samo z wyłączeniem niechcianych dodatków i wtyczek w tych przeglądarkach. Po zamknięciu i ponownym uruchomieniu przeglądarek wracały one do stanu przed zmianami. Przez kolejne kilka dni jakoś z tym "żyłem". Jednak kiedy drugi komputer zaczął odmawiać posłuszeństwa (strasznie wolna praca bez tego wszystkiego co opisałem wyżej) postanowiłem działać. Użyłem programu adwcleaner i odinstalowałem kilka nieznanych mi programów (nazw nie pamiętam) których nie zainstalowałem świadomie. Po tych czynnościach wszystkie problemy ustąpiły. Jednak dla pewności przeskanowałem komputer jeszcze raz adwcleanerem, który nic nie wykrył i avastem który nie może przeskanować 10 plików gdyż komunikat mówi "Błąd: Archiwum jest zabezpieczone hasłem. (42056)" Wcześniej kiedy jeszcze były problemy z przeglądarkami jak i po użyciu adwcleaner podczas skanowania przy starcie systemu avast wykrywał tylko jakieś uszkodzenia rar. w grze urbanterror na dysku F. Po usuniąciu całej gry skan przy starcie niczego nie wykrywa. Cały ten syf został pobrany prawdopodobnie wraz z instalacją programu defragler przy pomocy asystenta pobierania z portalu dobre programy, chociaż 100% pewności nie mam. Dodałem w załączniku log z adwcleaner przed usunięciem "problemów" i logi z avasta jeden świeży i znalazłem również plik cleaner również z avasta w którym są nazwy które pojawiały się w oknach wtyczek w przeglądarkach. proszę o pomoc krzysztof PS. Wspomniałem o drugim komputerze. Nie wiem czy jest to ze sobą powiązane, że w podobnym czasie pojawiły się w sumie różne problemy. Również z nim chciałbym się zwrócić o pomoc i nasuwa mi się pytanie czy powinienem założyć drugi temat czy zrobić to w tym. Plus problem podczas przygotowania do skanu GMERem i usuwania deamon tools lite. W przypadku tego komputera opisanego wyżej wszystko odbyło się bez problemów wraz z usunięciem z rejestru. Jednakże w drugim komputerze podczas próby użycia SPTDinst narzędzie nie wykrywa sterownika (opcja uninstal jest nieaktywna). Deamon Tools Lite był zainstalowany na pewno (teraz już usunięty przy pomocy Programy i funckje). Jednak był on tam dawno temu używany, więc nie wiem czy był sprawny. FRST.txt Shortcut.txt Addition.txt gmer.txt AdwCleanerS1.txt aswAr.txt Cleaner.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Wspomniałem o drugim komputerze. Nie wiem czy jest to ze sobą powiązane, że w podobnym czasie pojawiły się w sumie różne problemy. Również z nim chciałbym się zwrócić o pomoc i nasuwa mi się pytanie czy powinienem założyć drugi temat czy zrobić to w tym. Plus problem podczas przygotowania do skanu GMERem i usuwania deamon tools lite. W przypadku tego komputera opisanego wyżej wszystko odbyło się bez problemów wraz z usunięciem z rejestru. Jednakże w drugim komputerze podczas próby użycia SPTDinst narzędzie nie wykrywa sterownika (opcja uninstal jest nieaktywna). Deamon Tools Lite był zainstalowany na pewno (teraz już usunięty przy pomocy Programy i funckje). Jednak był on tam dawno temu używany, więc nie wiem czy był sprawny. Dla porządku zróbmy to w drugim temacie. A na komputerze mogła być zainstalowana wersja DEAMON Tools Lite, która nie posługuje się się sterownikiem SPTD tylko własnym, narzędzie SPTDinst nie wykryje więc nic. W przypadku problemów log z GMER opuść. Cały ten syf został pobrany prawdopodobnie wraz z instalacją programu defragler przy pomocy asystenta pobierania z portalu dobre programy, chociaż 100% pewności nie mam. Dodałem w załączniku log z adwcleaner przed usunięciem "problemów" i logi z avasta jeden świeży i znalazłem również plik cleaner również z avasta w którym są nazwy które pojawiały się w oknach wtyczek w przeglądarkach. W raporcie widać wyraźnie, że rzeczywiście ziazi stało się w trakcie pobierania Defragglera (dfsetup216.exe), przy czym wymieniony instalator jest poprawny, musiał być użyty inny mostowy "downloader". Oceniając zestaw adware w raportach z usuwania, owszem sądzę że przyczyną był "Asystent pobierania" dobrychprogramów. I w systemie nadal są obiekty adware: usługa MustangService_2015_10_10, polityki blokujące coś w Google Chrome i przekierowania searchinterneat-a.akamaihd.net w IE. Doczyszczanie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer2241.exe [236816 2015-10-09] (MustangService) S3 ALSysIO; \??\C:\Users\KRZYSZ~1\AppData\Local\Temp\ALSysIO64.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfWpdAEsSSX5NL04=&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfXRZD0AjREZWLE1LKUwT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfWpdAEsSSX5NL04=&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-270605537-1721649966-1895909746-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130944528556762000&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\9a4b8b26-f4e0-4529-a5b4-93ec828f7e42 RemoveDirectory: C:\ProgramData\TempMoudleSet C:\Users\Krzysztof\Downloads\*-dp*.exe C:\Users\Krzysztof\Downloads\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. AdwCleaner wykrywał śmieci w preferencjach Firefox. Dla pewności jeszcze go przeładuj: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
bigi162 Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Wszystko zrobione jak kazałaś. Podczas usuwania historii zaznaczyłem okres do wyczyszczenia jako całą, ale nie zaznaczyłem ptaszkiem dane witryn trybu offline i ustawienia witryn. Nie wiem czy dobrze zrobiłem. W pierwszym poście zapomniałem napisać o dziwnych folderach (nazwy typu 5d15b2b335e37628aac1f2229eb6) na partycjach D i E. Wiekszość jest datowana na 2012 rok nie mogę ich usunąć wyskakuje komunikat Potrzebujesz uprawnień do wykonania tej akcji Uzyskaj uprawnienia do S-1-5-21-583907252-1659004503-682003330-500 w celu wprowadzenia zmian w tym folderze Wszystkie komunikaty rozpoczynają się tym samym ciągiem S-1-5-21 .... dalej już są inne cyfry. Kiedy próbowałem usuwać je jakimś programem to przestawała działać chyba muzyka lub filmy nie pamiętam dokładnie gdyż próby te były dawno. Po jakimś czasie (pewnie po uruchomieniu komputera) folder sam się utworzył i było wszystko normalnie tzn muzyka i filmy. W folderach tych znajdują się inne foldery i pliki (z datami nawet z 2008 roku) z różnymi rozszerzeniami. Nie wiem czy widzisz ten problem w logach. Jeśli trzeba opisze dokładniej to i zrobię screany czy czego sobie zażyczysz. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Fix FRST pomyślnie wykonany. W pierwszym poście zapomniałem napisać o dziwnych folderach (nazwy typu 5d15b2b335e37628aac1f2229eb6) na partycjach D i E. Wiekszość jest datowana na 2012 rok nie mogę ich usunąć wyskakuje komunikat: Potrzebujesz uprawnień do wykonania tej akcji To są foldery utworzone przez Windows Update. Aktualizacje przed instalacją są rozpakowywane do losowych alfanumerycznych folderów na partycję z największą ilością wolnego miejsca, czyli niekoniecznie C:. Tu statystyki miejsca na dysku: ==================== Dyski ================================ Drive c: () (Fixed) (Total:45.46 GB) (Free:18.54 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Drive d: () (Fixed) (Total:65.31 GB) (Free:49.54 GB) NTFS Drive e: () (Fixed) (Total:97.65 GB) (Free:56.51 GB) NTFS Drive f: () (Fixed) (Total:24.44 GB) (Free:4.46 GB) NTFS Folderów nie da się usunąć, gdyż mają uprawnienia poziomu konta SYSTEM (w takim kontekście działała instalacja aktualizacji). W skanie FRST ich nie widać, gdyż FRST jest orientowany tylko na partycję systemową. Jeśli chcesz je usunąć, to możesz użyć następujący skrypt FRST: RemoveDirectory: D:\NazwaFolderu RemoveDirectory: E:\NazwaFolderu Odnośnik do komentarza
bigi162 Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Ok dziękuje poradziłem sobie z tymi folderami. Czy coś jeszcze pozostało do zrobienia? Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu już zbędny folder Stare dane programu Firefox. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do aktualizacji Internet Explorer, nawet jeśli z niego nie korzystasz wcale. Odnośnik do komentarza
bigi162 Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 log z delfix DelFix.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 DelFix wykonał zadanie. Skasuj plik C:\delfix.txt. To tyle. Odnośnik do komentarza
bigi162 Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 dziękuje Odnośnik do komentarza
Rekomendowane odpowiedzi