Penturion Opublikowano 23 Maja 2016 Zgłoś Udostępnij Opublikowano 23 Maja 2016 Witam!Mam problem z prawdopodobnie jakimś wirusem, który wyświetla mi reklamy w przeglądarce. Niekiedy nawet blokuje strony. Próbowałem go usunąć skanując avirą i adwcleanerem w trybie bezpiecznym, ale nic nie pomaga. Szukałem jakichkolwiek informacji na necie, ale nigdzie nie znalazłem nic co by mi w żaden sposób pomogło, dlatego postanowiłem zapytać się na tym forum.Nie wiem też czy to może być spowodowane działaniem wirusa, ale niekiedy po uruchomieniu komputera nie mam dźwięków. Wszystko niby jest w porządku, ale po prostu nie słychać żadnych dźwięków.Mam nadzieję, że ktoś da radę mi pomóc.Pozdrawiam. Shortcut.txt Addition.txt GMER.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Maja 2016 Zgłoś Udostępnij Opublikowano 23 Maja 2016 Raporty FRST skonfigurowane wg innych wytycznych niż podane tu na forum w przyklejonym: opcje Lista BCD, MD5 sterowników, Pliki z 90-dni nie miały być zaznaczone. A system jest zainfekowany adware / malware oraz jest wprowadzone szkodliwe proxy. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Proramy i funkcje > odinstaluj adware Touch Image oraz stare wersje i zbędne programy Akamai NetSession Interface, Apple Software Update, Obsługa programów Apple, QuickTime 7. Zestaw Apple / QuickTime zalecony do deinstalacji, gdyż ostatnio wykryte poważne luki które nie zostaną już załatane, Apple usunęło wsparcie dla Windows zalecając deinstalację... 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 SkypeUpdateEx; C:\Program Files (x86)\SkypeUpdateEx\SkypeUpdateEx.exe [168376 2016-05-05] (skype.cog.cc) R2 WindowsSecurity; C:\ProgramData\Windows Security\winsecurity.exe [1699800 2016-05-14] (Microsoft Corporation) R2 WMPNetworkAcSvc; C:\Users\Penturion\AppData\Roaming\WMPNetworkAcSvc\WMPNetworkAcSvc.exe [4984448 2016-03-15] () R3 ALSysIO; \??\C:\Users\PENTUR~1\AppData\Local\Temp\ALSysIO64.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] R3 GPU-Z; \??\C:\Users\PENTUR~1\AppData\Local\Temp\GPU-Z.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] Task: {7EE8804A-39F9-45F0-8547-AA7E5709DFD1} - System32\Tasks\Touch Image => Rundll32.exe "C:\Users\Penturion\AppData\Local\Touch Image\{2A5147E9-6398-65E4-1814-9CB52E10114E}\TouchImage.dll",#1 Task: {B62450E4-64B8-403F-8D13-60A408EAC3DA} - System32\Tasks\WindowsUpda2ta => C:\Users\Penturion\AppData\Roaming\MICROSOFT\home.vbe Task: {C95D98D0-FCE1-42E4-BCC7-5FBF2D0B33C6} - System32\Tasks\{502F612B-FF64-404F-A9C3-B32FE59A8E46} => pcalua.exe -a C:\Users\Penturion\AppData\Roaming\mysites123\UninstallManager.exe -c -ptid=amt Task: {FE3C3C1F-60CB-4910-BCB1-EEB120FBE6ED} - System32\Tasks\Touch Image2 => Rundll32.exe "C:\Users\Penturion\AppData\Local\Touch Image\{2A5147E9-6398-65E4-1814-9CB52E10114E}\bal.dll",#1 HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2087264 2014-09-11] (Wondershare) HKLM-x32\...\Run: [ospd_us_013010180] => [X] HKU\S-1-5-21-856143659-1512072669-1544710830-1001\...\Policies\Explorer: [] HKU\S-1-5-21-856143659-1512072669-1544710830-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\lol.scr Tcpip\..\Interfaces\{C717BE35-9D39-4338-B921-AAC30B073776}: [DhcpNameServer] 7.254.254.254 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Penturion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=Z4YAPD5X_ST1000DM003-1ER162&tm=1450523238 ShortcutWithArgument: C:\Users\Penturion\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=Z4YAPD5X_ST1000DM003-1ER162&tm=1450523238 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q= HKU\S-1-5-21-856143659-1512072669-1544710830-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net/#web/result?source=art&q= HKU\S-1-5-21-856143659-1512072669-1544710830-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q= HKU\S-1-5-21-856143659-1512072669-1544710830-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q= FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2014-05-21] (Microsoft Corporation) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\Google C:\Program Files (x86)\SkypeUpdateEx C:\Program Files (x86)\Common Files\Wondershare C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Windows Security C:\ProgramData\Wondershare C:\ProgramData\Microsoft\Network\Dsq C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Handbrake C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Gamblers C:\Users\Administrator\AppData\Local\Google C:\Users\Administrator\AppData\Local\Wondershare C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Administrator\Desktop\Google Chrome.lnk C:\Users\Penturion\AppData\Local\ACCCx3_5_1_209.zip.aamdownload C:\Users\Penturion\AppData\Local\ACCCx3_5_1_209.zip.aamdownload.aamd C:\Users\Penturion\AppData\Local\Highdom.exe.config C:\Users\Penturion\AppData\Local\Google C:\Users\Penturion\AppData\Local\Touch Image C:\Users\Penturion\AppData\Local\Wondershare C:\Users\Penturion\AppData\Roaming\sc C:\Users\Penturion\AppData\Roaming\WMPNetworkAcSvc Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Wondershare Helper Compact.exe" /f CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Penturion Opublikowano 23 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2016 Przepraszam za złe ustawienie FRST. Nie mogłem otworzyć wytycznych z wątku. Instrukcje do GMER otworzyły się normalnie, ale do FRST mimo kilku prób nie chciały się otworzyć.Już jestem w stanie zauważyć, że nie wyświetlają mi się błędy, które załączały się wraz z uruchomieniem systemu, więc chyba jest już lepiej.Bardzo dziękuję za pomoc.Pozdrawiam. FRST.txt Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 23 Maja 2016 Zgłoś Udostępnij Opublikowano 23 Maja 2016 Prawie wszystko zrobione, z wyjątkiem jednej komendy resetu Hosts (przypuszczanie Avira zablokowała zmiany). Drobne poprawki: 1. Na czas operacji wyłącz Avira. Otwórz Notatnik i wklej w nim: Hosts: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\QuickTime RemoveDirectory: C:\Users\Penturion\AppData\rundir CMD: del /q C:\Users\Penturion\Downloads\ovgszeoj.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz wynikowy log. sysnetwk.exe Odnośnik do komentarza
Penturion Opublikowano 23 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2016 Wykonałem poprawki na wyłączonym antywirusie. Załączam logi które otrzymałem po wykonaniu podanych operacji. Fixlog.txt Search.txt Odnośnik do komentarza
picasso Opublikowano 23 Maja 2016 Zgłoś Udostępnij Opublikowano 23 Maja 2016 Fix FRST pomyślnie wykonany. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej: Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\programdata\microsoft\network\dsq\network\sysnetwk.exe.FriendlyAppName" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\programdata\microsoft\network\dsq\network\sysnetwk.exe.ApplicationCompany" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Przeprowadź skanowanie za pomocą Hitman Pro. Dostarcz wynikowy raport, o ile program wykryje coś innego niż FRST64.exe jako "podejrzany plik" (to fałszywy alarm). Odnośnik do komentarza
Penturion Opublikowano 23 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2016 Udostępniam log po kolejnej naprawie FRST. Wstawiam również log z skanu Hitmanem. Fixlog.txt HitmanPro_20160523_1905.txt Odnośnik do komentarza
picasso Opublikowano 23 Maja 2016 Zgłoś Udostępnij Opublikowano 23 Maja 2016 1. Hitman wykrył jako "malware" cracka aktywacji systemu KMSPico (widziałam go już w raportach), przypuszczalnie jest to fałszywy alarm, ale miej to na uwadze i w miarę możliwości usuń cracki.... Bezpośrednio w Hitman do usunięcia tylko wyniki opisane jako "Potential Unwanted Programs" i "Cookies". 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko. Odnośnik do komentarza
Penturion Opublikowano 23 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2016 Bardzo dziękuję za pomoc. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi