Lukasz Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Proszę o pomoc w usunięciu Pricefountain niestety złośliwe oprogramowanie nie jest widoczne w Panelu Sterowania i nie możliwe jest odinstalowanie go. Bardzo dziękuję za szybką pomoc. W załączeniu pliki wykonane programem FRST. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Infekcję wprowadził poniższy plik "Asystenta pobierania" dobrychprogramów. Więcej na temat praktyk tego serwisu: KLIK. 2016-03-29 18:38 - 2016-03-29 18:38 - 01023280 _____ (Hesudemo ) C:\Users\Łukasz\Downloads\Adobe-AIR-13092-dp.exe Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {186211EC-E92C-4CBD-914C-CF4781295BC6} - System32\Tasks\{D3166F84-2C6D-43C7-99F6-31D4994DFA0A} => pcalua.exe -a "C:\Program Files\Nikon\ViewNX 2\Nikon Movie Editor\UninstLauncher.exe" -d "C:\Program Files\Nikon\ViewNX 2\Nikon Movie Editor" Task: {3C000FEB-4E61-4B13-AC60-64F28EA695E4} - System32\Tasks\{9ADA0588-F740-4CF9-879B-AEB6DA8EBF65} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142.exe Task: {3D71A4FE-447B-4E7B-9022-3E8D76E47940} - System32\Tasks\{AECC2C44-6E12-4698-B089-46E9C27E80E4} => pcalua.exe -a C:\Users\Łukasz\Downloads\jre-8u45-windows-i586-iftw.exe -d C:\Users\Łukasz\Downloads Task: {3F185FA2-200D-45B1-A4C1-B3FEF485AAEB} - System32\Tasks\{71B8EDEB-BF0E-4B31-B169-F1CA7C08C544} => pcalua.exe -a C:\Users\UKASZ~1\AppData\Local\Temp\jre-8u66-windows-au.exe -d C:\windows\system32 -c /installmethod=jau FAMILYUPGRADE=1 Task: {4C4DE613-FC68-49A7-BCFE-7C69EF0367F9} - System32\Tasks\{CB638CCF-4F0F-4143-94B1-C8645AADD90F} => C:\Users\Łukasz\Desktop\Mojosoft_BusinessCards_MX_4.84_Portable\Mojosoft_BusinessCards_MX_4.84_Portable\BusinessCardsMX.exe Task: {4C743435-DF71-4BD9-83C2-9DC5C5ACF869} - System32\Tasks\{197B5A63-D2FD-4DC3-9ECB-79CD8E744CA9} => pcalua.exe -a C:\Users\Łukasz\Downloads\jre-8u65-windows-i586-iftw(1).exe -d C:\Users\Łukasz\Downloads Task: {4E9E101A-3F6B-4F4A-ACF0-4B413FE3D2F2} - System32\Tasks\{10416630-9868-4FCB-85D5-562CEAC317AC} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142.exe Task: {5D0A75A0-56F8-4E15-9CDD-9596DEE2E5DD} - System32\Tasks\{00C5C9DA-572F-4431-A02B-3C2381AFEFBD} => pcalua.exe -a C:\Users\Łukasz\Downloads\F-D7100-V102W.exe -d C:\Users\Łukasz\Downloads Task: {6AB504BF-21BE-499A-9D6C-ADAF22AE9FDE} - System32\Tasks\{9E46DC9F-57EF-47F8-8D67-252C12DF05E3} => C:\Users\Łukasz\Desktop\Pobrane\jxpiinstall.exe Task: {6F28FC66-4F2C-46E5-9C4E-25EA56C3EA42} - System32\Tasks\ŁukaszGormandPageantryV2 => Rundll32.exe RemittersHumanizer.dll,main 7 1 Task: {70F1E517-71C0-42A4-A1A5-806C4493AA74} - System32\Tasks\ŁukaszMaculateBathV2 => Rundll32.exe CouldestFeigned.dll,main 7 1 Task: {72866BC7-4697-4096-B46D-896109155334} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 35 => C:\Program Files\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {7F6F8A97-1CFC-4ACE-A84E-501CFAD6FE9F} - System32\Tasks\Scheduled scanning task => C:\PROGRA~1\PAKIET~1\apps\COMPUT~1\ANTI-V~1\fsav.exe Task: {8E7A9364-88C4-47F2-A233-EBCE9858D294} - System32\Tasks\{689F1882-6071-4863-9BCE-2910307F1378} => C:\Program Files\Adobe\Adobe Photoshop Lightroom 5.4\lightroom.exe Task: {9290551E-1D4B-4B3F-8214-0FB34E38DDB7} - System32\Tasks\DLL-Files.Com Fixer_Updates => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {9B48D38C-DAAF-4709-B485-F3BD2040B714} - System32\Tasks\DLL-Files.Com Fixer_MONTHLY => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {A4AD0297-AF4B-4B6F-AA1B-85C8E95ADBFA} - System32\Tasks\{7CF8AD5C-208A-45E2-8F0E-3943B1C41A68} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142.exe Task: {A9FC2A1C-D713-4FD0-95C9-3454EA1FC3D7} - System32\Tasks\{ACAC7ADE-4511-466F-A245-1399625C8322} => C:\Program Files\NapiProjekt\napisy.exe Task: {B4B09BA2-FD21-4C2C-92DA-DEBD745CCC54} - System32\Tasks\{C0A33641-E8B5-4C11-AA3F-24947D3FCE59} => C:\Program Files\NapiProjekt\napisy.exe Task: {CD4DD588-43D5-4DC6-ADA7-57F9F84EF296} - System32\Tasks\{EAA2C7DC-500B-40E3-BA8A-F518B181BC03} => C:\Program Files\NapiProjekt\napisy.exe Task: {D193A266-682D-42C6-84D0-B15F53148BEE} - System32\Tasks\{8A7FFF42-6EB7-45C6-BB88-14B300F99288} => pcalua.exe -a "C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.7.2\GUninstaller.exe" -c -uprtc -key "BabylonToolbar" Task: {E05E6B0C-4B97-43C8-A448-57466AF6636F} - System32\Tasks\{0FD1EA8B-436E-4E40-B22E-0EED5DEE798E} => C:\Program Files\Nikon\ViewNX 2\Nikon Movie Editor\UninstLauncher.exe Task: {F0062415-8A85-4F49-9FB8-14BF91BF6629} - System32\Tasks\TechSmith Updater => C:\Program Files\Common Files\TechSmith Shared\Updater\TSCUpdClt.exe Task: {F60C6A93-DDE1-48C5-8FE1-9C5813B57CFD} - System32\Tasks\{32BA01AE-A4F9-40D3-8A2C-0753ABF0052F} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142(1).exe Task: C:\windows\Tasks\DLL-Files.Com Fixer_MONTHLY.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: C:\windows\Tasks\DLL-Files.Com Fixer_Updates.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe HKU\S-1-5-21-604524677-2708395862-3557633927-1001\...\Run: [bingSvc] => C:\Users\Łukasz\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-02-29] (© 2015 Microsoft Corporation) HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości CHR HKLM\...\Chrome\Extension: [jfhffdajidfgpobcfdgilfcgbngginod] - CHR HKU\S-1-5-21-604524677-2708395862-3557633927-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jfhffdajidfgpobcfdgilfcgbngginod] - HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Łukasz\AppData\Local\Google RemoveDirectory: C:\Users\Łukasz\AppData\Local\GormandPageantry RemoveDirectory: C:\Users\Łukasz\AppData\Local\Microsoft\BingSvc C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Users\Łukasz\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox ze sponsorowanych przekierowań Bing: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Metric Collection SDK 35 pozostawiony po niechcianej instalacji sponsoringowego programu Lenovo > Dalej. 3. W systemie są dwa konta: - Na koncie Łukasz zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. - Na drugim koncie zrób nowy log FRST z opcji Skanuj (Scan), ale nie zaznaczaj Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Lukasz Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Dziękuję za szybką pomoc, w załączniku przesyłam niezbędne pliki z pierwszego konta, za chwilę dodam pliki z drugiego nowego konta o nazwie WF ponieważ drugie zostało całkowicie usunięte. Mam jeszcze jeden problem dotyczący drugiego konta, przy logowaniu tylko na drugie konto WINDOWS informuje mnie komunikatem o uszkodzeniu dysku i wykonaniu kopii zapasowej ( screen w załączniku) jestem pewien, że zostało to spowodowane zbyt małą ilością wolnego miejsca na dysku C, który wczoraj oczyściłem jednak komunikat nadal widnieje dysk nie jest uszkodzony ponieważ komunikat nie pojawia się na koncie Lukasz. Chciałem w BIOSie wyłączyć/wyłączyć SMARTA - podobno to pomaga jednak w biosie moja wersja 05LL nie mam takiej opcji. Fixlog.txt Addition.txt FRST.txt Shortcut.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Zadania usuwające pomyślnie wykonane. Czekam na raporty z drugiego konta. Mam jeszcze jeden problem dotyczący drugiego konta, przy logowaniu tylko na drugie konto WINDOWS informuje mnie komunikatem o uszkodzeniu dysku i wykonaniu kopii zapasowej ( screen w załączniku) jestem pewien, że zostało to spowodowane zbyt małą ilością wolnego miejsca na dysku C, który wczoraj oczyściłem jednak komunikat nadal widnieje dysk ni jest uszkodzony ponieważ komunikat nie pojawia się na koncie Łukasz. Chciałem w BIOSie wyłączyć/wyłączyć SMARTA - podobno to pomaga jednak w biosie w swoim komputerze nie mam takiej opcji. Wg raportu FRST nie ma tu problemu z wolnym miejscem na dysku: ==================== Dyski ================================ Drive c: () (Fixed) (Total:141.49 GB) (Free:105.95 GB) NTFS Drive d: () (Fixed) (Total:141.5 GB) (Free:81.28 GB) NTFS I problem tego komunikatu to osobny wątek do działu Hardware. Zasady tego działu: KLIK. Odnośnik do komentarza
Lukasz Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Dziękuję za pomoc :-) Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Dodałeś raporty z drugiego konta. To nie te o które mi chodziło. Poprzednie konto (które miałam na uwadze) najwyraźniej teraz usunąłeś i założyłeś nowe konto. Nowego konta nie ma co sprawdzać. Na zakończenie: 1. Dokasuj jeszcze szczątkowe foldery. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Google RemoveDirectory: C:\Users\Łukasz\Desktop\Stare dane programu Firefox RemoveDirectory: Ścieżka usunięta na prośbę autora Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix (wcześniej też go używałeś i nie wiadomo w jakim celu) oraz wyczyść foldery Przywracania systemu: KLIK. A problem z komunikatami o dysku jak mówiłam do działu Hardware. Z dyskiem może być coś nie w porządku, gdyż na dysku są foldery po checkdisku oraz folder z uszkodzoną nazwą - skasuj ręcznie "Ĺukasz": 2016-04-10 16:35 - 2013-01-28 22:50 - 00000000 ____D C:\Users\Ĺukasz\AppData\Local\libimobiledevice 2016-04-10 16:37 - 2015-02-13 19:40 - 00000000 ____D C:\found.002 Odnośnik do komentarza
Lukasz Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Zalecenia wykonane Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Nie prosiłam o nowe logi FRST i je usuwam. Miałeś przedstawić tylko plik fixlog.txt, a po tym skorzystać z Delfix i wyczyścić foldery Przywracania systemu. I skasuj ręcznie FRST i jego logi z D:\Pobrane. Temat rozwiązany. Zamykam. Wątek sprzętowy już analizowany z osobna. Odnośnik do komentarza
Rekomendowane odpowiedzi