driven Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 Cześć picasso Syf jak w temacie. Na własne życzenie zainstalowałem sobie to badziewie klikając jak ostatni matoł w exe, który nie mógł być tym czym miał być, a mianowicie aplikacją na Androida. Ja który bez antywirusa latami żyję i któremu rozum podpowiadał, nie klikaj, szok, niedowierzanie. Postanowiłem to badziewie jeszcze sam usuwać bom ambitny i myślałem, że sobie poradzę, mam nadzieję, że się nie obrazisz. Ogólnie wszystko wydaje się usunięte na moje laickie oko ale Firefox wciąż próbuje mi otworzyć %snf% kropka com (co mu się nie udaje) zamiast poprzedniej sesji z zakładkami. No i nauczony doświadczeniem wiem, że pewnie jeszcze trzeba jakieś śmieci doczyścić bo ekspertem w takich działaniach nie jestem. Od razu ostrzegam, że logów z przed czyszczenia nie mam, nie bij. Przeglądarki resetnąłem, Firefoxowi nie pomogło z tą stroną startową, za to pozbyłem się chyba wtyczek? Chrome, wszystko wydaje się ok. GMER taki pusty ten log to puściłem drugi raz, wklejone w jeden plik. Dawno tego nie używałem, to nie wiem czy to tak ma być czy coś źle zeskanowałem? Dołączam ze wstydem Fixlog po moim doczyszczaniu, pierwsze czyszczenie nie poszło tak dobrze jak planowałem. Może się do czegoś przyda. Pozdrawiam serdecznie driven aka blood FRST.txt Addition.txt Shortcut.txt Fixlog.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 Dawno się widzieliśmy! No tak, typowa sprawa z "downloadera", ostatnio prawdziwa plaga. Jeśli chodzi o to "%snf%" to jest to wynik modyfikacji skrótów LNK przeglądarek. Akcja: 1. W Google Chrome: - W rozszerzeniach odinstaluj "krzak" 电脑管家上网防护. - A ten jeden rekord "Brak pliku" w spisie wtyczek (nieprzetwarzalny w Fixie FRST) usuniesz resetując cache: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Zmontuj fixlist.txt o zawartości: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% S4 BazisPortableCDBus; system32\drivers\BazisPortableCDBus.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live Reg: reg query HKCU\Environment /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Nastąpi restart. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi tu potrzebne. 3. Na wszelki wypadek jeszcze zrób szukanie w rejestrze na frazę Tencent, tzn. wklep to w polu Szukaj i klik w Szukaj w rejestrze. Odnośnik do komentarza
driven Opublikowano 10 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2016 Ano dawno. Miałem nawet pomysł by zaglądać częściej i uczyć się od Ciebie. Fixlist puściłem ale coś mi długo mielił ale w końcu wypluł komunikat o restarcie, na którym się chyba zawiesił. Czekałem jakies 15 min i go zresetowałem bo mysz nie drgnęła i ekran zamykania nie drgnął w tym czasie. Za szybko spanikowałem, dysk SSD to takie operacje powinny trwać raczej krótko? Rejestr przeszukam jutro bo wcześnie wstaję do pracy. Z Firefox wszystko wróciło do normy. Fixlog powstał mimo restartu, to chyba wszystko ok. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 Fixlog wskazuje, że wszystko zrobione, skróty przeglądarek też naprawione. Nie wiem skąd ten "przestój" pod koniec, ale takie rzeczy się zdarzają przy wdrażaniu komend które wymuszają restart - nie pierwszy raz to widzę. W każdym razie czekam na wyniki szukania Tencent. Odnośnik do komentarza
driven Opublikowano 11 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 11 Maja 2016 Rejestr przeszukany, wyniki były tutaj: HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache HKEY_CLASSES_ROOT\qmgcfiles\DefaultIcon HKEY_CLASSES_ROOT\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81}\1.0\0\win32 HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64}\LocalServer32 HKEY_CURRENT_USER\Software\Tencent HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tencent HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_QMUDISK\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAOKERNELDRIVER\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_QMUDISK\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TAOKERNELDRIVER\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER\0000 Ostatnie sześć lokalizacji wyciąć całe? Odnośnik do komentarza
picasso Opublikowano 13 Maja 2016 Zgłoś Udostępnij Opublikowano 13 Maja 2016 Szukałeś ręcznie a nie za pomocą FRST? Dane pierwszego klucza obciąłeś - z tego klucza usunąć wartość, która kieruje do ścieżki Tencent. Pozostałe klucze w całości usunąć. W przypadku kluczy klas usuwasz całą klasę a nie tylko jej podklucz: HKEY_CLASSES_ROOT\qmgcfiles HKEY_CLASSES_ROOT\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} Odnośnik do komentarza
driven Opublikowano 13 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2016 Ano widzisz zakręciłem się. Przekonałem się też, że Vivaldi chyba nie odświeża otwartych zakładek przy uruchomieniu i nie pokazał mi Twojej odpowiedzi. W każdym razie zapuściłem z ciekawości AdwCleaner i nic nie znalazł poza większością kluczy, które wyszukałem, plus wyszło, że coś było namieszane z szukajkami IE. Puściłem naprawę i odinstalowałem. W rejestrze po tym zabiegu zostało tylko to: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_QMUDISK\0000] "DeviceDesc"="tencent QMUdisk" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAOKERNELDRIVER\0000] "DeviceDesc"="Tencent Auto Optimize Platform." [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_QMUDISK\0000] "DeviceDesc"="tencent QMUdisk" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TAOKERNELDRIVER\0000] "DeviceDesc"="Tencent Auto Optimize Platform." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK\0000] "DeviceDesc"="tencent QMUdisk" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER\0000] "DeviceDesc"="Tencent Auto Optimize Platform." Usunąłem takim skryptem: DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAOKERNELDRIVER DeleteKey: HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_TAOKERNELDRIVER DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER EmptyTemp: Dwa ostatnie klucze niby nie znaleziono? Search.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Maja 2016 Zgłoś Udostępnij Opublikowano 13 Maja 2016 Dwa ostatnie klucze niby nie znaleziono? Tak, ponieważ CurrentControlSet to jest tylko link symboliczny do jednej z gałęzi ControlSet00X (tu zapewne ControlSet001), a do czego linkuje ten skrót zawsze można pobrać z klucza HKEY_LOCAL_MACHINE\SYSTEM\Select - wartość Current równa X to ControlSet00X. Czyli wystarczy usunąć tylko z jednego miejsca (CurrentControlSet lub docelowe miejsce tego linka), automatycznie zanik z dwóch miejsc na raz. plus wyszło, że coś było namieszane z szukajkami IE Pokaż mi wyniki, bo wg FRST wszystko było w porządku z SearchScopes (żadnych niedomyślnych wyników). Odnośnik do komentarza
driven Opublikowano 13 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2016 AdwCleaner odinstalowany, więc jakiekolwiek logi zniknęły a ja jak zwykle nic nie zapisałem. Na bank coś było nie tak, jakieś krzaki typu %litera% a jako "spodziewane dane" było podane google. Nie wiem też czy dokładnie o wyszukiwarkę chodziło, były chyba trzy klucze wylistowane i bardzo podobne do siebie w kwestii "dane wartości -> spodziewane dane", ale na słowo to mi lepiej nie wierz. Muszę się nauczyć wszystko zapisywać dla Ciebie. Najważniejsze, że wszystko już jest chyba ogarnięte. Teraz pewnie kroki finalizujące... Odnośnik do komentarza
picasso Opublikowano 13 Maja 2016 Zgłoś Udostępnij Opublikowano 13 Maja 2016 Na bank coś było nie tak, jakieś krzaki typu %litera% a jako "spodziewane dane" było podane google. Nie wiem też czy dokładnie o wyszukiwarkę chodziło, były chyba trzy klucze wylistowane i bardzo podobne do siebie w kwestii "dane wartości -> spodziewane dane" To pewnie były klucze "Search" (a nie SearchScopes) - przykładowy log. Te klucze są znane z XP IE6 i w ogóle nie działają na nowszych systemach, wyszukiwarki IE8 i nowszych używają SearchScopes. Niektóre adware modyfikując ustawienia dodają sztucznie te klucze. Zamiast je modyfikować, należy je w całości usunąć. To już szczegół (skoro i tak nieaktywne), ale chodzi o te wystąpienia (o ile są): HKCU\Software\Microsoft\Internet Explorer\Search HKCU\Software\Microsoft\Internet Explorer\SearchUrl HKLM\SOFTWARE\Microsoft\Internet Explorer\Search HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Teraz pewnie kroki finalizujące... Tak. EDIT: Przekonałem się też, że Vivaldi chyba nie odświeża otwartych zakładek przy uruchomieniu i nie pokazał mi Twojej odpowiedzi. Zapomniałam napisać, że od dawna widzę to w Firefox przy przywracaniu sesji. Jest ładowany "stary widok". Odnośnik do komentarza
driven Opublikowano 22 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2016 HKCU\Software\Microsoft\Internet Explorer\SearchHKCU\Software\Microsoft\Internet Explorer\SearchUrl To było, ale skoro napisałaś, że niepotrzebne to wciąłem. HKLM\SOFTWARE\Microsoft\Internet Explorer\Search HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl Tego nie ma. HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Z tych dwóch był tylko SearchUrl i też wyciąłem. W Firefox to zaobserwowałem, że ładuje sesję ale odświeża tylko aktywną zakładkę. Przynajmniej u mnie tak było dotąd jak posiadałem wtyczkę NoScript - nie wiem czy nie miała wpływu na to zachowanie. Po tym resecie Firefox jej nie mam a Adblock nie do końca mnie satysfakcjonuje. :/ Kroki finalizujące wykonane. Dzięki serdeczne za pomoc. Odnośnik do komentarza
picasso Opublikowano 22 Maja 2016 Zgłoś Udostępnij Opublikowano 22 Maja 2016 Przynajmniej u mnie tak było dotąd jak posiadałem wtyczkę NoScript - nie wiem czy nie miała wpływu na to zachowanie. Po tym resecie Firefox jej nie mam a Adblock nie do końca mnie satysfakcjonuje. :/ Polecam zastąpić Adblocka + NoScript przez uBlock Origin. To ogólny bloker i może zastąpić też działanie NoScript po wdrożeniu dodatkowej konfiguracji: KLIK. Odnośnik do komentarza
Rucek Opublikowano 22 Maja 2016 Zgłoś Udostępnij Opublikowano 22 Maja 2016 Do tego polecam Ghostery i Disconnect Odnośnik do komentarza
picasso Opublikowano 22 Maja 2016 Zgłoś Udostępnij Opublikowano 22 Maja 2016 Rucek, one nie są potrzebne przy uBlock (wystarczy manipulacja w filtrach). uBlock ma też filtry Disconnect, które można opcjonalnie załadować. Nawet to ostatnio sprecyzowałam w przyklejonym:https://www.fixitpc.pl/topic/29208-lista-darmowych-i-komercyjnych-programów-zabezpieczających/#entry179658 Blokowanie trackerów Ad Sanitizer zintegrowany w Chromodo Blur ... Disconnect Free .. Ghostery ... Gmelius Free . Lightbeam Privacy Badger . PrivDog [Wersja 4.x jest ogólnym filtrem sieciowym. Wersja 3.x to odrębne rozszerzenia w przeglądarkach.] uBlock Origin .. [Funkcjonalność zastępująca Disconnect, Ghostery i Privacy Badger.] Chodzi m.in. o to, by ograniczać ilość ładowanych rozszerzeń z nakładającą się funkcjonalnością, by nie "zamulać" przeglądarki bardziej niż potrzebne. Odnośnik do komentarza
Rucek Opublikowano 22 Maja 2016 Zgłoś Udostępnij Opublikowano 22 Maja 2016 Ok, dzięki, nie patrzyłem Odnośnik do komentarza
Rekomendowane odpowiedzi