Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Natrętny PriceFountain

kattitimi

Przez kattitimi
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Zasady działu: KLIK. Tu jest zakaz podpinania się. Wydzielone w osobny temat.

 

Prócz problemu z PriceFountain, jest dodatkowy - w starcie powstało wiele obiektów wyglądających na jakieś inne malware. Operacje do przeprowadzenia:

 

1. Odinstaluj zbędny skaner Trojan Remover 6.9.3.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {3AD3F8B1-31D4-49E1-AAAA-0BECA743CA35} - System32\Tasks\KatiSpacesuitsGnarlingV2 => Rundll32.exe BruitsFirewater.dll,main 7 1 
Task: {B0F666C8-98BC-4521-86A8-839E036C11BF} - System32\Tasks\Price Fountain => C:\Users\Kati\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Kati\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
Startup: C:\Users\Kati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\serdes-5.lnk [2016-02-06]
HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\Run: [milliamp-2] => C:\ProgramData\milliamp-57\milliamp-02.exe [487424 2016-02-06] (Oxygen Software)
HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\RunOnce: [xmitter-0] => C:\Users\Kati\AppData\Roaming\xmitter-54\xmitter-0.exe [736256 2016-02-06] (RealNetworks, Inc.)
HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\Winlogon: [shell] C:\ProgramData\maxton-9\maxton-0.exe -1i,explorer.exe 
HKU\S-1-5-21-282247486-3544188475-3799147128-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\ProgramData\id
RemoveDirectory: C:\ProgramData\isotope-08
RemoveDirectory: C:\ProgramData\maxton-9
RemoveDirectory: C:\ProgramData\milliamp-57
RemoveDirectory: C:\ProgramData\TEMP
RemoveDirectory: C:\Users\Kati\AppData\Local\SpacesuitsGnarling
RemoveDirectory: C:\Users\Kati\AppData\Roaming\PriceFountain
RemoveDirectory: C:\Users\Kati\AppData\Roaming\fission-19
RemoveDirectory: C:\Users\Kati\AppData\Roaming\serdes-9
RemoveDirectory: C:\Users\Kati\AppData\Roaming\xmitter-54
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
CMD: del /q "C:\Users\Kati\AppData\Roaming\Canon\MP Navigator EX V30\history\sc\hstr_*.lnk"
CMD: del /q C:\Users\Kati\Downloads\adwcleaner*.exe
CMD: del /q C:\Users\Kati\Downloads\installer.exe
CMD: del /q C:\Users\Kati\Downloads\sh-remover*.exe
CMD: del /q C:\Users\Kati\Downloads\trjsetup693*.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń stamtąd adresy istartsurf.com + interia.pl.
4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...