zelgawis2 Opublikowano 21 Grudnia 2015 Zgłoś Udostępnij Opublikowano 21 Grudnia 2015 Witam Mam problem z adware o nazwie SafeFinder. Wyświetla ono reklamy zajmujące cały ekran na każdej nowo otwartej stronie internetowej. nie mogę go usunąć za pomocą programu AdwCleaner... Wykonałem potrzebne skany za pomocą GMER i FRST, logi zamieszczam w załączniku. Z góry dziękuję za pomoc! gmer.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 21 Grudnia 2015 Zgłoś Udostępnij Opublikowano 21 Grudnia 2015 Zgłaszany problem tworzą wpisy "Soloeco", ale cała przeglądarka Google Chrome ma kwalifikację do reinstalacji od zera (znaki pośrednie infekcji modułów DLL). Akcja: 1. Odinstaluj Adobe Flash Player 20 NPAPI (wersja dla nieistniejącego tu Firefox), Java 8 Update 45 (starsza wersja). Operacje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji. Opcja 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie instaluj Google Chrome dopóki nie wykonasz punktu 2 (skrypt usuwa elementy Google). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Soloeco\Vilastring.dll => C:\ProgramData\Soloeco\Vilastring.dll [883200 2015-10-01] () AppInit_DLLs-x32: C:\ProgramData\Soloeco\Freshdom.dll => C:\ProgramData\Soloeco\Freshdom.dll [738816 2015-10-01] () R2 Soloeco; C:\ProgramData\\Soloeco\\Soloeco.exe [441856 2015-09-20] () [brak podpisu cyfrowego] S2 WajInterEnhancer Service; C:\Program Files (x86)\WajInterEnhancer\WajInterEnhancer Internet Enhancer\InternetEnhancerService.exe [X] HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\...\Run: [bigFatVoiceSystem] => C:\Users\Michal\Desktop\BOL\BoL+Studio\BoL+Studio\Scripts\BigFatVoiceSystem.exe Task: {8842B8C8-9477-4A20-9CDF-44B409C55D3E} - System32\Tasks\Driver Booster SkipUAC (Michal) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe BootExecute: autocheck autochk * sdnclean64.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx6qf2uqUBUFjZB9empTuO0A9QFOmvLgK8s60vUDDNmY8SZarkaINFbPy403_eakWboU-JGA2BZtCAAZFKjD5s7HKIc64sDnSiWUADMhQtls7viM8HDyeVxynM6h7ckS2Mwbc6y-qClD1L&q={searchTerms} HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx6qf2uqUBUFjZB9empTuO0A9QFOmvLgK8s60vUDDNmY8SZarkaINFbPy403_eakWboU-JGA2BZtCAAZFKjD5s7HKIc64sDnSiWUADMhQtls7viM8HDyeVxynM6h7ckS2Mwbc6y-qClD1L&q={searchTerms} HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx6qf2uqUBUFjZB9empTuO0A9QFOmvLgK8s60vUDDNmY8SZarkaINFbPy403_eakWboU-JGA2BZtCAAZFKjD5s7HKIc64sDnSiWUADMhQtls7viM8HDyeVxynM6h7ckS2Mwbc6y-qClD1L&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = IE Session Restore: HKU\S-1-5-21-2837671372-3707443137-3094779737-1001 -> [funkcja włączona] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\ProgramData\Soloeco RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader RemoveDirectory: C:\Users\Michal\AppData\Local\Google C:\Users\Michal\AppData\Local\FL6FSOXUY0.dll RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zainstaluj Google Chrome. Następnie zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
zelgawis2 Opublikowano 21 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 21 Grudnia 2015 Wszystkie kroki wykonałem z powodzeniem, w załączniku umieściłem nowy log z FRST. FRST.txt Odnośnik do komentarza
picasso Opublikowano 21 Grudnia 2015 Zgłoś Udostępnij Opublikowano 21 Grudnia 2015 Brakuje pliku fixlog.txt z wynikami usuwania. Plik jest tam skąd uruchamiałeś FRST. Odnośnik do komentarza
zelgawis2 Opublikowano 27 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 27 Grudnia 2015 Przepraszam za zwłokę, ale święta mnie pochłonęły. Dodaję brakujący log. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2016 Zgłoś Udostępnij Opublikowano 10 Lutego 2016 (edytowane) Upłynęło sporo czasu. Poproszę o serię świeżych raportów FRST (włącznie z Addition), potwierdzających jak na dzień dzisiejszy wygląda sprawa po pomyślnym usuwaniu. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi