Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem z caMycioP

jay2009

Przez jay2009
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

jay2009

jay2009

Opublikowano
Opublikowano

Witam, mam problem jak w nazwie tematu. Od kiedy ściągnąłem program z neta(wiem głupie) pojawił się ten wirus? Strasznie spowalnia komputer i instaluje dużo niechcianego oprogramowania. Dodatkowo wyskakują co jakiś czas reklamy no i przestawia mi ustawienia przeglądarki. 

 

Na początku usunąłem nieznane programy z menedżera, niestety to nie pomogło bo po restarcie problem wraca. Używałem adw cleanera, ale to też okazało się rozwiązanie tymczasowe. Gdy odpalam menedżera zadań pokazuję mi odpaloną usługę caMycioP, której nie mogę zamknąć.

 

Znalazłem tutaj na forum podobny temat, gdzie rozwiązano problem.  link tu https://www.fixitpc.pl/topic/27858-reklamy-w-przeglądarcewolno-działający-komputer/

 

Niestety nie znam się na logach i jest to dla mnie "czarna magia". Jeśli ktoś może i chce pomóc to zerknijcie w logi i dajcie znać co zrobić w tej sytuacji. Wolałbym uniknąć formata.

 

Poniżej dodaję 4 logi.

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
  • 1 miesiąc temu...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Log sugeruje, że problemy rozpoczęły się od pobrania cracka aktywacji Windows Loader. W systemie liczne modyfikacje adware (usługi, zaplanowane zadania, zmodyfikowane skróty przeglądarek). Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {b62cb561-fced-4cde-aa45-8be9df6fa758}Gw64; C:\Windows\System32\drivers\{b62cb561-fced-4cde-aa45-8be9df6fa758}Gw64.sys [48752 2016-02-22] (StdLib)
R2 caMyciloP; C:\ProgramData\\caMyciloP\\caMyciloP.exe [528384 2016-02-23] () [brak podpisu cyfrowego]
R2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [667136 2016-02-22] () [brak podpisu cyfrowego]
R2 dowoloadad; C:\Users\Rob\AppData\Local\Unocare.exe [28160 2016-02-22] () [brak podpisu cyfrowego]
R2 serfev; C:\ProgramData\\serfev\\serfev.exe [528384 2016-02-24] () [brak podpisu cyfrowego]
Task: {287407D4-8F10-4C2C-B49D-F64C180D3A12} - System32\Tasks\psv_Kanlab => /c regedit.exe /s "C:\ProgramData\caMyciloP\Volbam.reg" & del "C:\ProgramData\caMyciloP\Volbam.reg" & SCHTASKS /Delete /TN "psv_Kanlab" /F 
Task: {2FE92D6B-ADB3-43C7-9475-E57355B19F4C} - System32\Tasks\psv_Gravefresh => /c regedit.exe /s "C:\ProgramData\caMyciloP\Transtantouch.reg" & del "C:\ProgramData\caMyciloP\Transtantouch.reg" & SCHTASKS /Delete /TN "psv_Gravefresh" /F 
Task: {3A47E767-56D2-487A-9D92-05FAD1E7222A} - System32\Tasks\psv_Zamtom => /c regedit.exe /s "C:\ProgramData\caMyciloP\Freetop.reg" & del "C:\ProgramData\caMyciloP\Freetop.reg" & SCHTASKS /Delete /TN "psv_Zamtom" /F 
Task: {3C9F33CA-2BB0-4C2C-A794-EA638DD53438} - System32\Tasks\snp => C:\ProgramData\serfev\serfev.exe [2016-02-24] () 
Task: {3F8956D8-BD3E-44B8-9D09-6135477FACE7} - System32\Tasks\psv_Homesolfan => /c regedit.exe /s "C:\ProgramData\caMyciloP\GoodDublex.reg" & del "C:\ProgramData\caMyciloP\GoodDublex.reg" & SCHTASKS /Delete /TN "psv_Homesolfan" /F 
Task: {4D5EEDC0-18A1-42E2-8C1E-DB4E8B1EC579} - System32\Tasks\Mirfeodl => C:\PROGRA~1\GROOVE~1\Uwofnyka.bat
Task: {63CE4D12-4F95-4F77-8E66-7B64376E7ECF} - System32\Tasks\psv_StrongAnin => /c regedit.exe /s "C:\ProgramData\serfev\Vivacore.reg" & del "C:\ProgramData\serfev\Vivacore.reg" & SCHTASKS /Delete /TN "psv_StrongAnin" /F 
Task: {6DE13F49-A12D-4E5F-AFC8-80B6E3032E8D} - System32\Tasks\Mojkussa => C:\PROGRA~1\SHOPPE~1\Zilgo.bat
Task: {6F544E0B-F862-46CB-8241-AC76C2E0CA0F} - System32\Tasks\psv_Triotam => /c regedit.exe /s "C:\ProgramData\serfev\Touch-Lux.reg" & del "C:\ProgramData\serfev\Touch-Lux.reg" & SCHTASKS /Delete /TN "psv_Triotam" /F 
Task: {87804C4F-4D58-4AF8-A567-4893957FB1B2} - System32\Tasks\psv_GoldenRonsing => /c regedit.exe /s "C:\ProgramData\serfev\Sailhome.reg" & del "C:\ProgramData\serfev\Sailhome.reg" & SCHTASKS /Delete /TN "psv_GoldenRonsing" /F 
Task: {98BD5125-FBEB-44A5-8A9C-D607C0BB6590} - System32\Tasks\webdpwneob => C:\Windows\system32\config\systemprofile\AppData\Local\Duobam [2016-02-22] () 
Task: {AFBA87F4-40E7-45E7-9A92-2B701024FF40} - System32\Tasks\psv_Pluslattech => /c regedit.exe /s "C:\ProgramData\serfev\Tres-Plus.reg" & del "C:\ProgramData\serfev\Tres-Plus.reg" & SCHTASKS /Delete /TN "psv_Pluslattech" /F 
Task: {C2892CBE-2067-45CE-83AD-E9BD681F3BFA} - System32\Tasks\snf => C:\ProgramData\serfev\serfev.exe [2016-02-24] () 
Task: {E9923B76-4D2E-4019-9F0A-69F81FF3DF3F} - System32\Tasks\{FAA1C03F-2A8D-491D-8EEB-8CA2AE02C736} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Santop\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Santop\uninstall.dat" -a uninstallme 53E9D72C-4AE1-4AA8-942F-9A30524BC1EE DeviceId=9e76dd48-5251-7351-7ace-91dd6daf5860 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev
Task: {F63EDF63-6EA9-4B31-898E-09C96A6221C6} - System32\Tasks\psv_Stat-Tough => /c regedit.exe /s "C:\ProgramData\caMyciloP\Alphatax.reg" & del "C:\ProgramData\caMyciloP\Alphatax.reg" & SCHTASKS /Delete /TN "psv_Stat-Tough" /F 
CMD: type C:\Windows\System32\Tasks\webdpwneob
HKLM-x32\...\Run: [gmsd_pl_005010245] => [X]
HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms}
HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JRmAvKTdMatTN9vc2mQeGzomn5x1pLrVtf8EQLn51gDmlleMZfAf9Nuln7QMCq0xwoeX9WnLIk6jP3gRc64wyZ7UPG5ONg,
HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms}
HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-454545797-384275535-3432456732-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-454545797-384275535-3432456732-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms}
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgZrlR0setODzLiXRtdCfS-ndll2C1vtopY-DuDs5LAKloQoNJFIVWC5yzc29AuQXbCjYvpHTBJ-JO3RyUGoWtJVWaP4o8,
ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
C:\Program Files (x86)\Windows Loader
C:\ProgramData\caMyciloP
C:\ProgramData\CloudPrinter
C:\ProgramData\serfev
C:\ProgramData\serfevs
C:\uninst
C:\Users\Rob\AppData\Local\*.*
C:\Users\Rob\AppData\Local\Tempfolder
C:\Users\Rob\AppData\LocalLow\Company
C:\Users\Rob\AppData\Roaming\*.*
C:\Users\Rob\AppData\Roaming\FatceqCedeti
C:\Users\Rob\AppData\Roaming\gplyra
C:\Users\Rob\AppData\Roaming\GousFoavfu
C:\Windows\system32\geku
C:\Windows\system32\siur
C:\Windows\system32\config\systemprofile\AppData\Local\Duobam
C:\Windows\system32\drivers\{b62cb561-fced-4cde-aa45-8be9df6fa758}Gw64.sys
C:\Windows\system32\Drivers\etc\hp.bak
C:\Windows\SysWOW64\findit.xml
C:\Windows\SysWOW64\Number of results
Folder: C:\Users\Public\Documents\dmp
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome z adware:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...