Kuba2020po Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 W chrome nie mogę zmienić Wyszukiwarki bo mam jakiś jamdex czy coś. PROSZĘ O POMOC ponieważ te redirecty mnie doprowadzają do nerwów Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Temat założony w niewłaściwym dziale. Przenoszę. Brak jakichkolwiek obowiązkowych tu danych. Dostarcz raporty z FRST. Odnośnik do komentarza
Kuba2020po Opublikowano 11 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2016 O tym zestawieniu decyduje administrator w chrome ;( Otwieraja mi się okienka REDIRECT Proszę o pomoc Addition.txt FRST.txt scan GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Widzę tu następujące problemy: - Różne obiekty adware. Tytułowy problem Chrome produkują polityki oprogramowania wprowadzone przez adware. Przypuszczanie załatwił Cię Asystent pobierania dobrychprogramów, gdyż w logu są ślady jego używania: KLIK. Prócz tego jeszcze wszystkie skróty Internet Explorer zostały zmodyfikowane i kierują na szkodliwy plik C:\iexplore.bat. - W Chrome masz zainstalowane niepożądane rozszerzenie Block Site marki wips.com, to w istocie spyware: KLIK. - Jest tu za dużo antywirusów, działają aktywnie Avast Premier + AVG, a na dokładkę zainstalowałeś lewy skaner wątpliwej reputacji SpyHunter. Nawiasem mówiąc, ostatnio AVG zostało przejęte przez ... Avast i dalszy los produktów AVG pod znakiem zapytania. Działania do przeprowadzenia: 1. Deinstalacje: - Poprzez Panel sterowania odinstaluj: AVG, Driver Booster 3.2, Host Service (adware), REACHit (niechciana instalacja Lenovo), SUPERAntiSpyware, SpyHunter 4, Surfing Protection. - Uruchom SpyHunterCleaner, niezależnie od tego czy deinstalacja normalną drogą się powiedzie. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń Metric Collection SDK (to jest ukryty komponent związany z Lenovo REACHit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Run: [Host Service] => wscript "C:\Users\KUBSON.WIK-Komputer\AppData\Local\Host Service\launchall.js" HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Run: [blueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe HKU\S-1-5-18\...\Winlogon: [shell] C:\Windows\Explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-19\...\Winlogon: [shell] C:\Windows\Explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-20\...\Winlogon: [shell] C:\Windows\Explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Winlogon: [shell] C:\Windows\explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Policies\Explorer: [NoSetActiveDesktop] 0 HKU\S-1-5-21-3930219255-2695630370-772200818-1003\Software\Classes\.exe: exefile => HKLM\...\Policies\Explorer: [NoSetActiveDesktop] 0 R2 dofilter; C:\Users\KUBSON.WIK-Komputer\AppData\Local\Host Service\nssm.exe [294912 2014-08-31] () [brak podpisu cyfrowego] S4 DigitalWave.Update.Service; "C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\app_updater.exe" [X] S3 esgiguard; Brak ImagePath S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {01DB1219-7A70-4790-8D9E-588A99A2F28B} - System32\Tasks\{2B42C124-E31D-4BB5-91AE-A7A82CB71379} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\AppData\Local\Temp\CM.Launcher.Win.exe Task: {358006E6-FA7A-42E4-85EC-D102558EE012} - System32\Tasks\{E1267E04-3C4D-4C06-8ACB-4713186CD098} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\Desktop\fml-1.8-8.0.20.1023-1.8-installer-win.exe -d C:\Users\KUBSON.WIK-Komputer\Desktop Task: {3BAAD2B8-D940-4F0F-8A45-33869D3C3539} - System32\Tasks\{C85FFAC0-4CDF-42AA-B6E2-5681D7741F85} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\Desktop\forge-1.7.2-10.12.2.1147-installer-win.exe -d C:\Users\KUBSON.WIK-Komputer\Desktop Task: {7CC14920-F7BA-46A4-8DA8-82E4A0519F2D} - System32\Tasks\Driver Booster SkipUAC (WIK) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {AA52C296-A2B7-4823-B0BA-1D2465C8BD99} - System32\Tasks\{D5F9E955-3851-4F68-813D-7900F2127C32} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\Desktop\pbsetup.exe -d C:\Users\KUBSON.WIK-Komputer\Desktop Task: {CF6691B6-A88B-4191-B2DB-58483A6F2F3A} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {E09A4144-B661-417A-B851-298386D2425A} - System32\Tasks\{55AED6AD-4BF0-4E34-AD1E-383941E873D2} => pcalua.exe -a "D:\downloads\(PC) Grand Theft Auto (GTA) San Andreas + Crack + Tradução PT-BR\gta_san_andreas_br[www.gamevicio.com.br].exe" -d "D:\downloads\(PC) Grand Theft Auto (GTA) San Andreas + Crack + Tradução PT-BR" Task: {EB0DDF75-A14B-4D27-AD6B-2664A0EDFA35} - System32\Tasks\{72DA1B69-F246-475D-B194-C10245A7C608} => pcalua.exe -a "C:\Program Files (x86)\CutThePrice\mTXKYT9Pf549CX.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {F20DF74A-0DD3-406A-BC9F-73CDC5D0DF77} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia URLSearchHook: [s-1-5-21-3930219255-2695630370-772200818-1003] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1453047214&a=1024132&src=sh&uuid=ab970822-1d42-472a-a22c-575b19b2dfc4" ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1453047214&a=1024132&src=sh&uuid=ab970822-1d42-472a-a22c-575b19b2dfc4" ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1453047214&a=1024132&src=sh&uuid=ab970822-1d42-472a-a22c-575b19b2dfc4" --proxy-pac-url=hxxp://unstopp.me/wpad.dat?e244b4807981b978323017cc4e3076b54474197 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyComGames DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\iexplore.bat C:\Program Files (x86)\Avira C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Common Files\DVDVideoSoft C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lenovo C:\Users\KUBSON.WIK-Komputer\AppData\Local\Host Service C:\Users\KUBSON.WIK-Komputer\AppData\Local\Lenovo C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\*.* C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Andy C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Apple Computer C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\DVDVideoSoft C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\GlarySoft C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\DiskDefrag C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk C:\Users\KUBSON.WIK-Komputer\Desktop\programy\DVDVideoSoft Free Studio.lnk C:\Users\KUBSON.WIK-Komputer\Downloads\*-dp*.exe C:\Users\KUBSON.WIK-Komputer\Downloads\Keygen_2.8.ace C:\Users\KUBSON.WIK-Komputer\Downloads\Setup Incl Crack.zip C:\Users\WIK\AppData\Local\LogMeIn Hamachi C:\Users\WIK\Start Menu\Programs\SpyHunter C:\Windows\Reimage.ini C:\Windows\system32\msln.exe C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Avira Browser Safety, Block site, Norton Identity Safe. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustawienia > karta Ustawienia > Osoby > pousuwaj wszystkie dodatkowe profile z wyjątkiem bieżącego. 4. Są w systemie dwa konta, czy konto WIK jest używane? Jeśli nie, usuń je poprzez Panel sterowania, potwierdzając usunięcie danych użytkownika z dysku. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Kuba2020po Opublikowano 11 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2016 A jeżeli wik jest używany to co mam zrobić ? PS. DZIĘKUJĘ CI BARDZO I Z CAŁEGO SERCA ŻE POŚWIĘCIŁAŚ MI CZAS I POMOGŁAŚ MI Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 (edytowane) Opuszczasz ten punkt i przechodzisz do punktu 5 (raporty na koncie KUBSON). Potem poproszę o zalogowanie na konto WIK i zrobienie na nim raportów z FRST, bo są pośrednie ślady infekcji również na tym koncie, a pełne dane będą dopiero po zrobieniu logów FRST z poziomu WIKa. Edytowane 11 Sierpnia 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi