Pricefountain na Allegro i Ceneo

[jacek66]

Pomimo odinstalowania PrinceFouintan w panelu sterowania, zrestartowania ustawień Firefox - program ciągle wraca, zaśmiecając np. olx, allegro i ceneo, skutecznie uniemożliwiając przeglądanie tych stron. Z programu FRST utworzyłem pliki FRST.txt i Addition.txt i tu mój problem nie wiem jak stworzyć plik fixlist.txt prosił bym o pomoc w tworzeniu tego pliku. Załączam pliki z FRST.

FRST.txt

Addition.txt

[picasso]

Tytuł tematu zmieniony na sygnalizujący problem zasadniczy. I to już kolejny temat dziś, który wskazuje, że zasady działu nie zostały przeczytane. Brakuje trzeciego obowiązkowego pliku FRST Shortcut.

 

Prawdopodonie PriceFountain nabyłeś z dobrychprogramów: KLIK. Ale prócz PriceFountain są tu inne liczne odpadki adware, w tym poszkodowana przeglądarka Google Chrome przekształcona przez adware w wersję "developerską" (niezbędna reinstalacja od zera). Poza tym, w systemie jest zainstalowany potwornie stary pakiet McAfee z 2011.

 

Działania do przeprowadzenia:

 

1. Odinstaluj: Google Chrome, Java 7 Update 40, Java 7 Update 51 (64-bit), McAfee Internet Security Suite, McAfee Security Scan Plus, McAfee SiteAdvisor, Norton Online Backup. Przy deinstalacji Google Chrome zaznacz opcję Usuń także dane przeglądarki, a resztę doczyści skrypt poniżej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {143B3868-4645-4555-8006-2AA499A7E31D} - System32\Tasks\SpaceUpgrade => c:\programdata\{3650e92b-232d-ce97-3650-0e92b232a4ac}\2850959861370831500b.exe 
Task: {1BAD748E-011F-4FC3-A74C-7AFB4765D733} - System32\Tasks\ScienceCrew => c:\programdata\{50a9d252-6ef0-a344-50a9-9d2526ef4949}\8115002811097907713b.exe 
Task: {1DD600E1-22B1-4864-B7A1-17C57BA65B56} - System32\Tasks\CaffeineCount => c:\programdata\{979074fc-0636-3380-9790-074fc063d3f0}\2715575361427690673b.exe 
Task: {269E3DAB-2C20-41E4-A8D6-E2432A4183C8} - System32\Tasks\PriceFountainUpdateVer => C:\Users\Jaco\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
Task: {27DFD405-743A-4489-A7AF-3449AEC5729B} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe
Task: {2B834B6D-78C7-4104-ABAB-6165059F8468} - System32\Tasks\QuoteCatcher => c:\programdata\{a7e0c9a0-e246-0185-a7e0-0c9a0e242683}\2092140411279046342b.exe 
Task: {2D2335D9-1C31-4134-827D-A81E4E3AB5B8} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe
Task: {3E1720B9-4914-4604-9465-F8849E689DF9} - System32\Tasks\JacoRurallySoaksV2 => Rundll32.exe BullionsLambast.dll,main 7 1 
Task: {4AC7DC5A-0F94-4454-80F3-1F4F302C5E91} - System32\Tasks\FileHider => c:\programdata\{a69813c5-a470-f3b6-a698-813c5a474f16}\3000372313332692301b.exe 
Task: {71A9BC71-5F45-4BF8-BDB5-1B5B588C12D1} - System32\Tasks\{BFEB8FC7-689C-4779-BDB8-68A055D1EDDF} => pcalua.exe -a C:\Users\Jaco\Downloads\Alcohol.120\AutoLoader_AxLaUn.exe -d C:\Users\Jaco\Downloads\Alcohol.120
Task: {7AE209ED-70CE-411C-8685-A97488B35137} - System32\Tasks\CleverThink => c:\programdata\{645a6226-e237-bfd4-645a-a6226e23889b}\moto gp 2015 mugello full.exe 
Task: {83666F90-A041-4623-8850-4A6BD70E0BAB} - System32\Tasks\PainSmack => c:\programdata\{f5bf13e4-b9e0-acdf-f5bf-f13e4b9e4f92}\672055291538168118b.exe 
Task: {84C80A84-E08B-4A45-B824-A8069C5D5DCC} - System32\Tasks\TaskKeeper => c:\programdata\{8cbca74d-ad2b-edf7-8cbc-ca74dad29d36}\8281833679892879650b.exe 
Task: {86EDA41F-5BAE-41A8-9737-E7CB958846E5} - System32\Tasks\FilmCricket => c:\programdata\{7383938e-b14f-ab40-7383-3938eb144e3a}\3413450890209954238b.exe 
Task: {A709047D-FD8F-42FA-9F2B-34D5AAD8186F} - System32\Tasks\MedTracker => c:\programdata\{befaa9a1-0d76-bee2-befa-aa9a10d7a684}\6782759397254004819b.exe 
Task: {DC6E8F6C-6A1E-4555-AD55-4EDD86BBB7A4} - System32\Tasks\{35F60B36-05FC-48FC-A3D7-337563308127} => pcalua.exe -a "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AutoLoader_AxLaUn.exe" -d "C:\Program Files (x86)\Alcohol Soft\Alcohol 120"
Task: C:\Windows\Tasks\CaffeineCount.job => c:\programdata\{979074fc-0636-3380-9790-074fc063d3f0}\2715575361427690673b.exe 
Task: C:\Windows\Tasks\CleverThink.job => c:\programdata\{645a6226-e237-bfd4-645a-a6226e23889b}\moto gp 2015 mugello full.exe 
Task: C:\Windows\Tasks\FileHider.job => c:\programdata\{a69813c5-a470-f3b6-a698-813c5a474f16}\3000372313332692301b.exe 
Task: C:\Windows\Tasks\FilmCricket.job => c:\programdata\{7383938e-b14f-ab40-7383-3938eb144e3a}\3413450890209954238b.exe 
Task: C:\Windows\Tasks\FitMaster.job => c:\programdata\{7433785d-f2b2-e4ab-7433-3785df2be177}\4256740252038999490b.exe 
Task: C:\Windows\Tasks\MedTracker.job => c:\programdata\{befaa9a1-0d76-bee2-befa-aa9a10d7a684}\6782759397254004819b.exe 
Task: C:\Windows\Tasks\PainSmack.job => c:\programdata\{f5bf13e4-b9e0-acdf-f5bf-f13e4b9e4f92}\672055291538168118b.exe 
Task: C:\Windows\Tasks\PriceFountainUpdateVer.job => C:\Users\Jaco\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\Windows\Tasks\QuoteCatcher.job => c:\programdata\{a7e0c9a0-e246-0185-a7e0-0c9a0e242683}\2092140411279046342b.exe 
Task: C:\Windows\Tasks\ScienceCrew.job => c:\programdata\{50a9d252-6ef0-a344-50a9-9d2526ef4949}\8115002811097907713b.exe 
Task: C:\Windows\Tasks\SpaceUpgrade.job => c:\programdata\{3650e92b-232d-ce97-3650-0e92b232a4ac}\2850959861370831500b.exe 
Task: C:\Windows\Tasks\TaskKeeper.job => c:\programdata\{8cbca74d-ad2b-edf7-8cbc-ca74dad29d36}\8281833679892879650b.exe 
HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\...\Run: [NIRegistrationWizard] => C:\Nowy folder (2)\Shared\RegistrationWizard\Bin\RegistrationWizard.exe -autoDiscover 1 -displayIfNoneFound 0 -displayRegisterOptions 1 -sleepIfNoneFound 0 -locale 1045
HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\...\Run: [Auth0_37] => C:\Users\Jaco\AppData\Roaming\api-ncpl\adsl-1-0.exe [675842 2016-02-27] ()
HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\...\Run: [Auth9_24] => C:\Users\Jaco\AppData\Roaming\api-enum\adsl-1-0.exe
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
BHO-x32: Gravity Space -> {8788dd2d-bed5-4071-8439-c822cef57bc8} -> C:\Program Files (x86)\Gravity Space\Extensions\8788dd2d-bed5-4071-8439-c822cef57bc8.dll => Brak pliku
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation)
S2 CxAudMsg; C:\Windows\system32\CxAudMsg64.exe [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S4 NIApplicationWebServer64; "C:\Program Files\National Instruments\Shared\NI WebServer\ApplicationWebServer.exe" -user [X]
S3 OpcEnum; C:\Windows\SysWOW64\OpcEnum.exe [X]
U3 DfSdkS; Brak ImagePath
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Norton Online Backup
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files (x86)\Google
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins
RemoveDirectory: C:\ProgramData\Temp
RemoveDirectory: C:\Users\Jaco\AppData\Local\Google
RemoveDirectory: C:\Users\Jaco\AppData\Local\RurallySoaks
RemoveDirectory: C:\Users\Jaco\AppData\Roaming\api-enum
RemoveDirectory: C:\Users\Jaco\AppData\Roaming\api-ncpl
C:\Users\Jaco\AppData\Local\Temp.dat
C:\Users\Jaco\AppData\Roaming\*.*
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

[jacek66]

Wykonałem wszystkie kroki.

 

Załączam nowe utworzone pliki:

Fixlog.txt

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Wszystko pomyślnie wykonane. Drobne poprawki + sprawdzenie dziwnego odczytu Winsock widocznego w raporcie FRST:

 

Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKU\S-1-5-21-1728362779-2423392276-1017299573-1001 -> DefaultScope {ielnksrch} URL =
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.27.5\npGoogleUpdate3.dll [brak pliku]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.27.5\npGoogleUpdate3.dll [brak pliku]
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\McAfee
RemoveDirectory: C:\ProgramData\McAfee
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem
CMD: del /q C:\AVScanner.ini
CMD: del /q "C:\Users\Jaco\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk"
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries /s
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64 /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[jacek66]

W załączniku wynik fixlog

Fixlog.txt

[picasso]

Fix FRST pomyślnie wykonany. Zaś te komunikaty Winsock widoczne w logu FRST do zignorowania. Wpisy nie są uszkodzone, komunikat pochodzi z faktu że FRST zakłada iż użycie zmiennej %SystemRoot% jest stanem domyślnym, a Twoje wpisy używają zamiast zmiennej statycznej ścieżki C:\Windows. Na koniec:

 

1. Zastosuj DelFix. Następnie wyczyść foldery Przywracania systemu. Operacje opisane w tym temacie: KLIK.

 

2. Do wykonania kompleksowa aktualizacja Windows. Stan fatalny: brak SP1, IE11 i wielu innych łat, a także zablokowane aktualizowanie systemu. Do załadowania będzie około kilkaset aktualizacji.

 

Platform: Windows 7 Home Premium (X64) Język: Polski (Polska)

Internet Explorer Wersja 8 (Domyślna przeglądarka: FF)