bazylus Opublikowano 21 Lutego 2016 Zgłoś Udostępnij Opublikowano 21 Lutego 2016 Dzień dobry, NIestety także zainfekowałem przeglądarkę price fountain, problem pojawiła się około 2 tygodni temu. Bardzo możliwe że pochodzenie jest z dobreprogramy.pl, choć zawsze programy akurat tam pobieram w ostateczności jeżeli nie mogę znaleźć u źródła,nie korzystam też z asystenta pobierania plików. Przeskanowałem komputer adwcleaner oraz usunąłem wszystkie dodatki i rozszerzenia. Uprzejmie prosze o pomoc w rozwiązaniu problemu. Załączam logi z FRST, GMER i AdwCleaner. Proszę o pomoc. FRST.txt Shortcut.txt Addition.txt gmer.txt AdwCleanerS3.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2016 Zgłoś Udostępnij Opublikowano 23 Lutego 2016 Adware PriceFountain działa za pomocą Harmonogramu Windows, dlatego tu nie pomoże czyszczenie Firefox, efekt byłby widoczny w obojętnej przeglądarce. A obecna wersja AdwCleaner nie jest w stanie wykryć tej modyfikacji. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, HP Officejet Pro 8100 — badanie mające na celu poprawę produktów, Java 7 Update 67, Java 8 Update 25, Real Alternative 2.0.2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {83B31448-C12C-44A1-B8C9-B9E52B79D7B9} - System32\Tasks\{0EF353CF-C905-41FC-A4F3-38290B20EB2C} => pcalua.exe -a "C:\Users\Dell Latitude E6540\Downloads\dxwebsetup(1).exe" -d "C:\Users\Dell Latitude E6540\Downloads" Task: {BB8AF43F-768D-48BC-B60F-00B8EB97D468} - System32\Tasks\Dell Latitude E6540FilthiestRubbedV2 => Rundll32.exe UnwilledJabs.dll,main 7 1 HKLM-x32\...\Run: [] => [X] FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\Dell\Dell Data Protection\Security Tools Authentication\Bin\FirefoxExt FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon => nie znaleziono DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wwnotify DisableService: Internet Manager. RunOuc AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:12919 AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:12958 AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:13059 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Dell Latitude E6540\AppData\Local\FilthiestRubbed RemoveDirectory: C:\Users\Dell Latitude E6540\Desktop\Stare dane programu Firefox C:\Users\Dell Latitude E6540\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Dell Latitude E6540\Documents\Kruklanki\*.lnk C:\Users\Dell Latitude E6540\Documents\pliki_z_pulpitu\Ada (Ada).lnk C:\Users\Dell Latitude E6540\Documents\pliki_z_pulpitu\skany.lnk C:\Users\Dell Latitude E6540\Documents\pliki_z_pulpitu\Skrót do SPRZEDAŻ_WDT_EXP.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\C2NetCalendars.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\naturex kontrakt.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\UltraISO.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\iTunes.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\PDFCreator.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\BlackBerry Desktop Software.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\mkvmerge GUI.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\Microsoft Office\*.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\Microsoft Office\Narzędzia Microsoft Office\*.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
bazylus Opublikowano 24 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2016 Dziękuję bardzo za pomoc. Odinstalowałem wskazane programy i uruchomiłem narzędzie FRST. Niestety proces jest wywalany na samym początku "komunikatem o "konieczności ponownego uruchomienia systemu, ponieważ usługa Dell Management Agent została przerwana". Co można zrobić z tym fantem? Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 (edytowane) Wytnij ze skryptu linię CloseProcesses: i ponów operację. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi