mess77 Opublikowano 13 Lipca 2016 Zgłoś Udostępnij Opublikowano 13 Lipca 2016 witam, mam ten sam problem, ale nie rozumiem dwóch kwestii: 1. Daj ten log. - o co chodzi z tym? gdzie i jak mam go dać 2) Zrób nowe logi FRST. - tego też nie rozumiem Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2016 Zgłoś Udostępnij Opublikowano 13 Lipca 2016 Zacznij od przeczytania zasad działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki, wydzielone w osobny temat. Dostarcz wymagane raporty z FRST: KLIK. To dopiero na ich podstawie zostaną stworzone dla Ciebie instrukcje. A instrukcje podane w cudzych postach nie mają zastosowania do innych przypadków. Odnośnik do komentarza
mess77 Opublikowano 14 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2016 Mam następujący problem. Po zalogowaniu się do windowsa automatycznie uruchamia się przeglądarka i ww strona. Skanowałem spyhunterem, który wykrył podejrzane pliki i usunąłem je, ale po ponownym uruchomieniu systemu strona nadal się uruchamiała. Użyłem również adwcleaner lecz nic nie wykrył. Program usunąłem i nie mam żadnych raportów z niego. Dołączam wymagane logi. gmer.txt Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2016 Zgłoś Udostępnij Opublikowano 14 Lipca 2016 SpyHunter to program wątpliwej reputacji! Z daleka od niego. Prócz tytułowego problemu jest tu jeszcze adware PriceFountain. Działania do przeprowadzenia: 1. Z poziomu Menu Start uruchom skrót deinstalacyjny SpyHunter: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\Deinstalacja programu SpyHunter4.lnk -> C:\Program Files\Enigma Software Group\SpyHunter\unins000.exe () Następnie niezależnie od tego czy deinstalacja się powiedzie, czy wręcz przeciwnie, zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {05529B75-1845-4188-9603-245B6B97744C} - System32\Tasks\MarekDeprehensionIllegiblyV2 => Rundll32.exe GhostlyGuardhouse.dll,main 7 1 Task: {05873C93-E0E9-40EB-8D6B-652628207830} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {06BEF976-A682-4816-8EDA-A44F9CB732DB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {26A6E2CC-BE1D-4FAF-A84F-10120214BEEB} - System32\Tasks\{7816E8E5-3F72-5AC5-6569-7BFDA5D3082B} => C:\Users\Marek\AppData\Roaming\PRICEF~1\PRICEF~1.EXE Task: {388AAAA6-5C88-447D-991A-B15E2BFE08BE} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {3CF2467A-B1F9-4008-8C25-89E376A9BD73} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {3D549FF7-81AE-4114-A0E4-409F5674822F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {4E3A722F-C929-41E4-8FF0-81AE68F3BD3F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5F5460AA-BEAD-432A-BC19-61C6078AF6B8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {6A97038D-06B7-4FC0-9A0B-CF29A22FD7FA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {89C476A8-A915-47F1-8F16-EFAAB853742C} - System32\Tasks\Marek => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Marek /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" Task: {9210492B-6EBD-4FB4-88B3-91B20F6C2E2E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {AC472974-CE90-43C1-9D98-67AED3114734} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {B2257E5D-BD52-4CA6-896C-2F2011598A54} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {C1A04B0D-C33D-40B1-9CD0-3D193F3D9A61} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D866EE30-CA8D-4F0B-9EF2-F5C9C876E0A5} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {D91187A5-69D9-4682-92B1-291AF9270723} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E125B237-D3A6-42CB-95D9-EE8BB92E99E7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: C:\WINDOWS\Tasks\{7816E8E5-3F72-5AC5-6569-7BFDA5D3082B}.job => C:\Users\Marek\AppData\Roaming\PRICEF~1\PRICEF~1.EXE HKU\S-1-5-21-3924804133-2871598600-1272778469-1001\...\Run: [Marek] => explorer.exe hxxp://kb-ribaki.org HKU\S-1-5-21-3924804133-2871598600-1272778469-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 SearchScopes: HKU\S-1-5-21-3924804133-2871598600-1272778469-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF user.js: detected! => C:\Users\Marek\AppData\Roaming\Mozilla\Firefox\Profiles\nL1wCZN6.default\user.js [2016-07-09] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f C:\Users\Marek\AppData\Local\DeprehensionIllegibly C:\Users\Marek\AppData\Local\ImmunologistGunwale C:\Users\Marek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\DAEMON Tools Lite.lnk C:\WINDOWS\SysWOW64\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
mess77 Opublikowano 14 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2016 Chyba wszystko ok. Strona już się nie wyświetla. Załączam pliki. Dziękuję bardzo za szybką i fachową pomoc Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2016 Zgłoś Udostępnij Opublikowano 14 Lipca 2016 Wszystko pomyślnie wykonane. Na koniec zastosuj DelFix (ale GMER skasuj ręcznie), następnie wyczść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi