Paszczak Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Witam serdecznie i zwracam się z prośbą o pomoc w związku pozbyciem się PriceFountain . Kombinuję jak koń pod górę i nie mogę tego ogarnąć . Proszę o pomoc . FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Prawdopodobnie infekcję nabyłeś z "Asystenta pobierania" dobrychprogramów: KLIK. Operacje do wykonania: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj eBay Worldwide, Java 8 Update 51, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {308018C4-94E3-4753-AD44-73914E1CA519} - System32\Tasks\AcerSalvedFessedV2 => Rundll32.exe PuleSnarer.dll,main 7 1 Task: {432753D9-9FCD-48B4-A09A-9A2D94E5EB66} - System32\Tasks\{294FB0BC-5EEE-49AA-81AE-7FBDA2AED1E2} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_21_0_0_213_Plugin.exe -c -maintain plugin Task: {7461555A-5677-4AB7-AD8B-8AF760D19819} - System32\Tasks\{A5B26730-5183-4C6B-9D19-DDEEB031EB70} => pcalua.exe -a "C:\Program Files (x86)\WildGames\Uninstall.exe" Task: {875A90F7-86E5-409A-A8D0-2B3AC709F150} - System32\Tasks\{073B7FA4-E63B-3557-606A-2A8AF4EAECA6} => C:\Users\Acer\AppData\Roaming\{073B7~1\UPDATE~1.EXE Task: {9212BFD6-82F9-4B93-8B7A-ED074F236010} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\{073B7FA4-E63B-3557-606A-2A8AF4EAECA6}.job => C:\Users\Acer\AppData\Roaming\{073B7~1\UPDATE~1.EXE S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-01-16] () R2 themctrl; C:\Windows\SysWOW64\themctrl.dll [362496 2012-07-26] () [brak podpisu cyfrowego] R2 wbiosrvp; C:\Windows\SysWOW64\wbiosrvp.dll [290304 2012-07-26] () [brak podpisu cyfrowego] S3 massfilter; system32\drivers\massfilter.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] U4 WMCoreService; Brak ImagePath S3 ZTEusbmdm6k; \SystemRoot\system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; \SystemRoot\system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; \SystemRoot\system32\DRIVERS\ZTEusbser6k.sys [X] HKU\S-1-5-21-3138840116-3487521251-3672860119-1002\Software\Classes\.exe: exefile => HKU\S-1-5-21-3138840116-3487521251-3672860119-1002\Software\Classes\exefile: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [LManager] => [X] HKLM-x32\...\Run: [bEWINTERNET-PLSessionManager] => "C:\Program Files (x86)\OrangeBS\BEWInternet-PL\SessionManager\SessionManager.exe" HKU\S-1-5-21-3138840116-3487521251-3672860119-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=92ddd5ce-7cd6-491a-906e-96ce819f3f6b ShortcutWithArgument: C:\Users\Acer\Desktop\iexplore — skrót.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.so-v.com/?type=ll&uid=92ddd5ce-7cd6-491a-906e-96ce819f3f6b DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-21-3138840116-3487521251-3672860119-1001\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-3138840116-3487521251-3672860119-1001\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Acer\AppData\Local\SalvedFessed RemoveDirectory: C:\Users\Acer\AppData\Local\Opera Software RemoveDirectory: C:\Users\Acer\AppData\Roaming\Opera Software RemoveDirectory: C:\ProgramData\Temp C:\Windows\System32\DRIVERS\EsgScanner.sys C:\Windows\SysWOW64\themctrl.dll C:\Windows\SysWOW64\wbiosrvp.dll Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcu i powstały trzy logi. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Paszczak Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Witam ponownie . Dziękuję za szybką odpowiedź , prawdopodobnie wykonałem wszystko zgodnie z zaleceniami Pytanie tylko czy teraz już będzie dobrze ? Pozdrawiam Addition.txt FRST.txt Fixlog.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Wszystko pomyślnie usunięte, problem adware rozwiązany. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Podróże Grovera C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Acer\Desktop\Stare dane programu Firefox 2. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do wykonania kompleksowa aktualizacja systemu do wersji 8.1. Posiadasz goły niewspierany Windows 8, dla którego już nie są dostarczane aktualizacje: Platform: Windows 8 (X64) Język: Polski (Polska) Internet Explorer Wersja 10 (Domyślna przeglądarka: FF) Odnośnik do komentarza
Paszczak Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Dziękuję bardzo za pomoc . Mam nadzieję że będę bardziej uważał co i skąd pobieram . DelFix.txt Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Plik raportu DelFix jest pusty... Czy DelFix został użyty więcej niż raz? Odnośnik do komentarza
Paszczak Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 chyba tak mi się zrobiło :/ to bardzo źle ?? Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Podwójne uruchomienie jest bez sensu (nie zostanie ponownie przetworzony ten sam zestaw) i nadpisuje raport narzędzia (nie ma już danych co narzędzie wcześniej usuwało). Skoro był użyty dwa razy, dokasuj plik C:\delfix.txt. To tyle z mojej strony. Odnośnik do komentarza
Paszczak Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Dziękuję serdecznie. Odnośnik do komentarza
Rekomendowane odpowiedzi