bolimnienoga Opublikowano 17 Grudnia 2015 Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Witam, Proszę o pomoc Addition.txt AdwCleanerR0.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2015 Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Post wydzielony. Podane raporty FRST to nie są oryginalne pliki w kodowaniu UTF-8, tylko zapisane ponownie do nowych plików w kodowaniu ANSI, całe formatowanie zepsute. Proszę zrobić porządne logi FRST od nowa: KLIK. Trzy pliki są obowiązkowe, w tym Shortcut. Odnośnik do komentarza
bolimnienoga Opublikowano 18 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Witam, Dziękuję za korektę i przepraszam za problemy. Dołączam nowe pliki. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2015 Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Jest tu więsza ilość problemów, tzn. także aktywne adware WordFly. Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj: Adobe AIR (starsza wersja), Java 8 Update 25 (starsza wersja), REACHit (program Lenovo, ale przypuszczalnie to była wymuszona instalacja), WordFly 1.10.0.28 (adware). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Google Update Helper, Metric Collection SDK, Metric Collection SDK 35 > Dalej. Narzędzie nie umożliwia akcji hurtowej i trzeba je uruchomić tyle razy, ile wpisów podanych do usunięcia. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\L540\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z ShortcutWithArgument: C:\Users\L540\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z ShortcutWithArgument: C:\Users\L540\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\yahooprotected@gmail.com Task: {1EC7A49C-D5AF-471F-8302-4989414BE893} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {B492AC55-FB80-4659-BC4A-63322F8EF5CD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2013-04-26] (Lenovo) Task: {EECE3A5B-7F98-4ACA-BDF4-D06721A965DE} - System32\Tasks\{601CD9E2-C7A2-45FE-B17D-A7E38B41B659} => pcalua.exe -a C:\Users\L540\Downloads\irfanview_plugins_438_setup_[www.programosy.pl].exe -d C:\Users\L540\Downloads DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\7WMiniPro7 RemoveDirectory: C:\ProgramData\pWdMp RemoveDirectory: C:\ProgramData\ZWdMZ RemoveDirectory: C:\Users\L540\AppData\Local\Google RemoveDirectory: C:\Users\L540\AppData\Local\Opera Software RemoveDirectory: C:\Users\L540\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\L540\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\L540\AppData\Roaming\TSv C:\ProgramData\{*}.* C:\Users\L540\AppData\Local\{72B6D539-A88B-49FA-899D-7191A00806A1} C:\Users\L540\Desktop\Mazda\Outlook 2007.lnk C:\Users\L540\Desktop\Szkolenie serwisowe 2012\Microsoft Office Outlook 2007.lnk C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
bolimnienoga Opublikowano 18 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Ok, załączam pliki: Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2015 Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Poprawki: 1. Nie ma żadnych oznak wykonania tej akcji, nadal adware w Firefox: Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 2. Otwórz Notatnik i wklej w nim: S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched RemoveDirectory: C:\FRST\Quarantine RemobeDirectory: C:\MATS CMD: del /q C:\Users\L540\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run*.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Prawdopodobnie trzeba będzie przeinstalować aplikację DisplayLink Core Software, gdyż w raporcie widać to co poniżej. Usuń te zerobajtowe pliki ręcznie przed reinstalacją aplikacji. Niektóre zerobajtowe pliki/foldery: ========================== C:\Windows\SysWOW64\dlumd10.dll C:\Windows\SysWOW64\dlumd11.dll C:\Windows\SysWOW64\dlumd9.dll C:\Windows\System32\dlumd10.dll C:\Windows\System32\dlumd11.dll C:\Windows\System32\dlumd9.dll Odnośnik do komentarza
bolimnienoga Opublikowano 18 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Dzięki - wszystko jest ok Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2015 Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 (edytowane) Nie przedstawiłeś pliku fixlog.txt. Dopiero po jego pokazaniu akcje końcowe: 1. Usuń z Pulpitu folder Stare dane programu Firefox wygenerowany przez reset Firefox + pobrany FRST i jego logi z podfolderu na Pulpicie. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi