przemo38 Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Zablokowaną mam możliwość zmiany wyszukiwarki w chrome. Nazwa domyślnej to Google ale faktyczny adres: s.piesearch.com. Przeskanowałem adwcleaner-em znalazł kilka problemów i je usunął jednak ten pozostał. Proszę o pomoc! FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Szkodliwa wyszukiwarka jest zablokowana przy udziale triku z politykami grup. Poza tym, są inne odpadki adware. Działania do przeprowadzenia: 1. Odinstaluj zbędne programy: HP Customer Participation Program 13.0, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type "C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences" GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131094121247770704&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131094121247770704&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-738100350-4002353511-3136375141-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131094121247770704&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-738100350-4002353511-3136375141-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-738100350-4002353511-3136375141-1000\...\Run: [bingSvc] => C:\Users\Marcin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) R2 IHeeaWA_protect; C:\ProgramData\IHeeaWA\protect\protect.exe [303016 2016-04-22] () S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {64561F95-8BF9-4A50-BCC3-D5108E473F7C} - System32\Tasks\{880AB7E6-DE6E-4ED0-B222-AA808D0B7DE0} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {E44AEBD3-542A-46FF-A6DC-53B39D6E2408} - System32\Tasks\{8F3DADEE-961D-4750-A4A2-D334EA4A97EB} => pcalua.exe -a C:\Users\Marcin\Downloads\WindowsPhone.exe -d C:\Users\Marcin\Downloads CustomCLSID: HKU\S-1-5-21-738100350-4002353511-3136375141-1000_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\DWG TrueView 2015 - English\dwgviewr.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-738100350-4002353511-3136375141-1000_Classes\CLSID\{3faa4380-a399-11cf-a466-00805fe418f6}\InprocServer32 -> C:\Program Files\Autodesk\DWG TrueView 2015 - English\en-US\dwgviewrficn.dll => Brak pliku HKU\S-1-5-21-738100350-4002353511-3136375141-1000\Software\Classes\.scr: DWGTrueViewScriptFile => C:\Windows\system32\notepad.exe "%1" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\IHeeaWA C:\Program Files (x86)\TXQQBrowser C:\ProgramData\IHeeaWA C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Marcin\AppData\Local\Microsoft\BingSvc C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Windows\system32\log C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po odblokowaniu ustawień Chrome w/w skryptem zresetuj preferencje Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
przemo38 Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Naprawione! Wielkie dzięki!!! FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Wszystko zrobione. Teraz uruchom FRST, w polu Szukaj wklej podaną poniżej frazę, klik w Szukaj w rejestrze, dostarcz wynikowy log. IHeeaWA Odnośnik do komentarza
przemo38 Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Załączam plik. Search.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\IHeeaWA DeleteKey: HKCU\Software\Classes\IHeeaWAHTM DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\eb928bf4_0 DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\IHeeaWA DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHeeaWA Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v IHeeaWA /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek zrób skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe jako "podejrzany plik" (to fałszywy alarm), dostarcz log z wynikami. Odnośnik do komentarza
przemo38 Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Z Hitmana załączam zrzut ekranu. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Nie chodziło mi o zrzut ekranu, który nie pokazuje nawet wszystkich wyników. Z instrukcji w przyklejonym: Na koniec skorzystaj ze spodniej opcji Zapisz log (Save log) i wskaż jako miejsce zapisu Pulpit. Log jest zapisywany w formacie *.log nieakceptowanym przez załączniki forum. Należy ręcznie zmienić nazwę na *.txt. Odnośnik do komentarza
przemo38 Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Przy pierwszym skanowaniu Hitmanem nie zauważyłem przycisku zapisz log. Program skasował zagrożenia. Załączam log z drugiego skanowania. HitmanPro_20160603_1524.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 W kwestii wyników Hitman: 1. Chodziło mi o poprzednie wyniki,w instrukcji było napisane, by nic nie usuwać przed pokazaniem wyników skanu. I na zrzucie ekranu była dziwna sprawa, czyli detekcje w folderze C:\Users\Marcin\Documents\FRST\Quarantine. Folder kwarantanny FRST to C:\FRST\Quarantine i go usuwałam komendą w ostatnim skrypcie. Jak to się stało, że kwarantanna FRST z malware była w Dokumentach? Przez SHIFT + DEL (omija Kosz) skasuj cały folder C:\Users\Marcin\Documents\FRST z dysku. 2. Obecnie Hitman pokazuje dwie wyszukiwarki adware w Google Chrome, a przecież wcześniej podałam by wykonać to: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Czy na pewno wykonałeś tę akcję wcześniej? Odnośnik do komentarza
przemo38 Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Niestety muszę wstać od lapka. siądę przy nim dopiero we wtorek. Chciałbym Ci bardzo serdecznie podziękować. Odnośnik do komentarza
Rekomendowane odpowiedzi