AvatarXs Opublikowano 26 Marca 2016 Zgłoś Udostępnij Opublikowano 26 Marca 2016 posiadam komputer z systemem win 8 . od kilku dni pojawiaja sie denerwujace reklamy w nowych kartach po kliknięciu na jakikolwiek element na stronie interenetowej , jak i na samych stronach . w menadzerze zadań pojawiło sie kilka dziwnych procesów . zmieniła mi sie też domyslna wyszukiwarka na "DealWifi" oraz "yeasearch" oraz "mystart" jak cos wyszukam wlaczaja i ładuja sie one po koleji . już kiedyś miałem podobne problemy , najwyrażniej mam pecha do złośliwych oprogramowań z góry dziękuje za pomoc. FRST.txt Gmer.txt Shortcut.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 9 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2016 Jesteś już tu po raz drugi z podobnymi problemami. Do czytania na co uważać: KLIK. 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware thirteen degrees, yessearches Uninstall. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Odnośnik do komentarza
AvatarXs Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 nie moge odinstalować thirteen degrees bo nie ma go tam. yesssearches odinstalowałem . mógłbym zrobic nowe logi gdyż te zamieszczone powyżej maja ok dwa tygodnie.antywirus ciągle pokazuje komunikaty o wirusie artemis oraz generic. FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Sytuacja się zmieniła, pojawiły się nowe (liczne) obiekty adware/PUP.... Kolejna porcja zadań do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Amazon Assistant, CleanBrowser, comoBoss version 1.1, eBay Worldwide, Hostify version 1.1, KokoMoss version 1.1, SafeFinder, SpaceSoundPro, sunnyday version 1.1, WizzWifiHotspot version 1.0, YellowSend. Jeśli coś będzie niewidoczne lub zwróci błąd, nie szkodzi, kontynuuj. - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner, wyszukaj deinstalator, z prawokliku na plik "Uruchom jako Administrator". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs, HKLM-x32\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs, [X] AppInit_DLLs: C:\ProgramData\xedmal\Qvoin.dll => C:\ProgramData\xedmal\Qvoin.dll [363520 2016-03-31] () AppInit_DLLs-x32: C:\ProgramData\xedmal\Aptax.dll => C:\ProgramData\xedmal\Aptax.dll [257536 2016-03-31] () HKLM\...\Run: [spaceSoundPro] => C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe [4203520 2015-08-03] (Space Sound Pro) HKLM\...\Run: [WINCOMCDX] => C:\Program Files (x86)\sunnyday\wincom_CDX.exe [4050432 2016-03-31] () HKLM-x32\...\Run: [ic-0.89cd042281bce.exe -start] => C:\Users\jan\AppData\Local\Temp\349010750\ic-0.89cd042281bce.exe [2289664 2016-03-29] () HKLM-x32\...\Run: [comoBoss] => C:\Program Files (x86)\comoBoss\comowin.exe [4050432 2016-03-30] () HKLM-x32\...\Run: [KokoMoss] => C:\Program Files (x86)\KokoMoss\comowin.exe [4050432 2016-03-30] () HKLM-x32\...\Run: [WizzWifiHotspot] => C:\Program Files (x86)\WizzWifiHotspot\WizzWifiHotspot.exe [2814464 2016-03-31] (Wizzlabs) HKLM\...\RunOnce: [WINDOWS_SCREEN_MANAGER_UPDATER_1] => C:\Program Files\Windows Screen Manager\Windows screen manage updater.exe [16896 2016-03-31] (Wizzservices) Task: {54B821A7-135F-4B4F-9080-4D8944094DC3} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-29] () S2 ggbugreport; C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe [1609280 2016-03-29] () R2 ktip; C:\Program Files\ktip\ktip.exe [383488 2016-03-31] () [brak podpisu cyfrowego] S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316472 2016-03-29] () R2 wucotusy; C:\Program Files (x86)\158ACBD8-1459263401-1520-0220-181505000000\hnsyDAE0.tmp [416256 2016-03-29] () [brak podpisu cyfrowego] S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a S2 gerocyni; C:\Program Files (x86)\158ACBD8-1459263401-1520-0220-181505000000\jnsuC468.tmp [X] S2 Konksolex; C:\ProgramData\\Konksolex\\Konksolex.exe shuz -f "C:\ProgramData\\Konksolex\\Konksolex.dat" -l -a S2 Update thirteen degrees; "C:\Program Files (x86)\thirteen degrees\updatethirteendegrees.exe" [X] S2 xedmal; C:\ProgramData\\xedmal\\xedmal.exe -f "C:\ProgramData\\xedmal\\xedmal.dat" -l -a GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {3672D504-4E65-4A9B-8153-E40B027FA20E} URL = SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {B3B3A6AC-74EC-BD56-BCDB-EFA4799FB9DF} URL = hxxps://www.amazon.com/gp/bit/amazonserp/ref=bit_bds-p17_serp_ie_us_display?ie=UTF8&tagbase=bds-p17&tbrId=v1_abb-channel-17_452e4d2b_1201_1403_20160403_PL_ie_ds_&tag=bds-p17-serp-us-ie-20&query={searchTerms} SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1459263684&z=8615b469c448d63d1b3c355g3zdw7tco9q1c1q7b7z&from=cmi&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H ShortcutWithArgument: C:\Users\jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Assassin's Creed IV - Black Flag.lnk -> C:\Games\Assassin's Creed IV - Black Flag\Launcher.exe () -> hxxp://www.istartpageing.com/?type=sc&ts=1459263684&z=8615b469c448d63d1b3c355g3zdw7tco9q1c1q7b7z&from=cmi&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H CHR HomePage: Default -> amazon.com/websearch/?ie=UTF8__PARAM__ CHR StartupUrls: Default -> "search.mpc.am" CHR HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ooebgdicanjhnamfmdlmlbcnkgehkkmf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam] - hxxps://clients2.google.com/service/update2/crx C:\extensions C:\Program Files\ktip C:\Program Files\SpaceSoundPro C:\Program Files\Windows Screen Manager C:\Program Files (x86)\158ACBD8-1459263401-1520-0220-181505000000 C:\Program Files (x86)\CleanBrowser C:\Program Files (x86)\Hostify C:\Program Files (x86)\mpck_en_005030282 C:\Program Files (x86)\comoBoss C:\Program Files (x86)\KokoMoss C:\Program Files (x86)\sunnyday C:\Program Files (x86)\WizzWifiHotspot C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Konksolex C:\ProgramData\Konksolexs C:\ProgramData\CloudPrinter C:\ProgramData\Tencent C:\ProgramData\Thunder Network C:\ProgramData\xedmal C:\ProgramData\xedmals C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\thirteen degrees C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\Users\jan\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\jan\AppData\Local\app C:\Users\jan\AppData\Local\csdi_monetize_120160330 C:\Users\jan\AppData\Local\tuto_monetize_220160330 C:\Users\jan\AppData\Local\tuto_monetize_120160330 C:\Users\jan\AppData\Local\csdi_monetize_220160330 C:\Users\jan\AppData\Roaming\*.* C:\Users\jan\AppData\Roaming\istartpageing C:\Users\jan\AppData\Roaming\MCorp C:\Users\jan\AppData\Roaming\Mozilla C:\Users\jan\AppData\Roaming\Shortcut C:\Users\jan\AppData\Roaming\YSPackage C:\Users\jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0 C:\Users\jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YSPackage C:\Users\Public\Thunder Network Folder: C:\Users\Public\Documents\dmp C:\Users\Public\Documents\dmp C:\WINDOWS\run.vbs C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\findit.xml Hosts: CMD: netsh advfirewall reset Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Odnośnik do komentarza
AvatarXs Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 cleanbrowser nie chce sie odinstalować . po włączeniu komputera juz sie NIE włączyły liczne dziwne procesy lecz w przeglądarce co jakiś czas ponownie włączają się reklamy w nowych kartach Fixlog.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Po wstępnym czyszczeniu sytuacja wygląda o niebo lepiej. Nie włączyły się, gdyż usunęłam wpisy startowe. Było też spodziewane, że proces czyszczenia będzie wieloetapowy. Kolejna porcja działań: 1. W Google Chrome: Ustawienia > karta Ustawienia > Osoby > załóż nowy profil przeglądarki, zaloguj się na niego, a poprzednią Osobę usuń. 2. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> DefaultScope {3672D504-4E65-4A9B-8153-E40B027FA20E} URL = DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CleanBrowser RemoveDirectory: C:\Program Files (x86)\MPC Cleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk" CMD: del /q C:\Users\jan\Downloads\42wd5w3s.exe CMD: del /q C:\Users\jan\Downloads\kbirh3qo.exe CMD: del /q C:\Users\jan\Downloads\no0pol8z.exe CMD: del /q C:\Users\jan\Downloads\uk50tbun.exe CMD: del /q C:\Users\jan\Downloads\zsvprdjy.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Opisz czy nadal w przeglądarce (i której) pojawiają się reklamy. Odnośnik do komentarza
AvatarXs Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 pojawił sie jeden komunikat (po skopiowaniu i kliknięciu napraw w frst) o wirusie artemis. Fixlog.txt AdwCleanerS1.txt Odnośnik do komentarza
AvatarXs Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 na razie nie zaobserwowałem reklam ( w chrome) Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 AdwCleaner znalazł jeszcze drobne szczątki adware. Uruchom go ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń, dostarcz wynikowy log z usuwania. Odnośnik do komentarza
AvatarXs Opublikowano 12 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 12 Kwietnia 2016 mam jeden problem , od ostatniej naprawy nie mam ZADNYCH dźwięków w steam i wszystkich grach na tej platformie ORAZ NA DYSKU . zreinstalowałem i steama i gry na steamie i nic nie działa AdwCleanerC1.txt Odnośnik do komentarza
picasso Opublikowano 13 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2016 AdwCleaner wykonał zadanie. Natomiast: od ostatniej naprawy nie mam ZADNYCH dźwięków w steam i wszystkich grach na tej platformie ORAZ NA DYSKU . zreinstalowałem i steama i gry na steamie i nic nie działa Naprawa nie grzebała w tym obszarze (a usuwane obiekty o nazwie "SpaceSoundPro" to adware, a nie komponenty dźwiękowe). Klawisz z flagą Windows + X > Menedżer urządzeń > odinstaluj urządzenia związane z dźwiękiem i zresetuj komputer. Windows powinien przebudować je od nowa. Podaj czy pojawiły się pożądane zmiany. Odnośnik do komentarza
AvatarXs Opublikowano 13 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2016 zanim zobaczyłem powyższą odpowiedź odinstalowałem i zainstalowałem nowsze sterowniki realtec w prawie wszystko działa oprócz rozmowy na czacie na steamie . i jeszcze raz dziekuje za pomoc . Odnośnik do komentarza
picasso Opublikowano 13 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2016 Jeśli chodzi o czyszczenie systemu, to standardowe kroki do wykonania: Usuń z Pulpitu folder frst. Następnie użyj narzędzie DelFix, a po tym wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi