slavedriver Opublikowano 13 Września 2016 Zgłoś Udostępnij Opublikowano 13 Września 2016 Hej, Po próbie zainstalowania softu niewiadomego pochodzenia w laptopie pojawiło się mnóstwo malware/adware i pełno różnego syfu. Widziałem w Task Manager m.in uc.exe, Y2Go.exe, trotux i masę innego badziewia. Przeglądarka Chrome zwariowała, samoczynnie się otwierała/zamykała. Automatycznie przekierowywała na dziwne strony. Na innym kompie ściągnąłem kilka skanerów na pendrive'a, skopiowałem na zainfekowanego laptopa i po kilka razy przeleciałem system: - adwcleaner, - KVRT - TDSSKiller wszystkie wykryte infekcje pousuwałem, a także naprawiłem DNSy za pomocą RepairDNS. Z poziomu Panelu Sterowania pousuwałem aplikacje, które mi nie pasowały. Wyczyściłem też plik HOSTS z różnych wpisów, które nie wyglądały dobrze. Zostawiłem tylko 127.0.0.1 localhost. Teraz te skanery nie pokazują już zagrożeń, ale Chrome cały czas trochę dziwnie się zachowywała, były przekierowania na różne dziwne strony. Spróbowałem narzędzia od Google'a do resetu przeglądarki i od tej pory przy uruchomieniu odpala dwie strony: 0.0.0.0 i 0.0.0.1, które są puste. Chciałbym prosić o weryfikację logów z GMERa i FSRT w celu sprawdzenia obecnego stanu systemu i czy można coś poradzić na tę przeglądarkę. Z góry dzięki za czas poświęcony na tę sprawę. edit: Chyba coś było jeszcze nie tak ze skrótem do uruchomienia Chrome, bo skasowałem ikonę z paska zadań i przypiąłem aplikację na nowo i teraz Chrome uruchamia się już OK. W każdym razie, bardzo proszę o sprawdzenie logów. Addition.txt FRST.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2016 Zgłoś Udostępnij Opublikowano 14 Września 2016 Zabrakło trzeciego obowiązkowego raportu FRST Shortcut.txt. Owszem, problemem m.in. były skróty Chrome ustawione na start przeglądarki z innego profilu wprowadzonego przez adware (ChromeDefaultData2) i ładujące zewnętrzne rozszerzenie: ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\boogie\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2 Jeden ze skrótów już odpiąłeś, zakładam że to ten ze ścieżki "User Pinned" i go ominę w usuwaniu. Ale są inne problemy widoczne, tzn. nadal aktywne zadanie adware w Harmonogramie oraz polityki oprogramowania blokujące coś w Chrome. Do usunięcia będą też różne szczątki po odinstalowanych programach. Czyli do wykonania następujące działania: 1. Odinstaluj bardzo starą dziurawą wersję Adobe Flash Player 10 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION Task: {15ED63B3-C33A-48C0-8D40-DF82716A3FF2} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\PROGRA~4\ps3d6lkk\8ux7y.js Task: {1642C0E6-7B9E-4196-B81D-B79E5860E0F8} - System32\Tasks\{E8E6B69C-EE66-44AE-9890-706979C4C9A7} => pcalua.exe -a C:\Users\boogie\Downloads\Programy\TrafficShaper\TrafficShaperXpSetup.exe -d C:\Users\boogie\Downloads\Programy\TrafficShaper Task: {6A97ADB3-D41F-411A-8ED4-26C26DD2F268} - System32\Tasks\Ksation Schedule => C:\Program Files (x86)\Sieyhokesy\placty.exe [2016-09-13] (CHENGDU YIWO Tech Development Co., Ltd) Task: {F119DBC5-7536-41E4-B1A9-CD5B6711E4F8} - System32\Tasks\{A0C267A5-D070-4D3F-94C3-954A246C02EB} => pcalua.exe -a "C:\Program Files (x86)\Sieyhokesy\placty.exe" -c 4921cc4c-65ff-4aba-8595-517060699f5d "/k={6DE5D787-248D-499B-9284-6681D68BA37C}" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\33060297.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\70053003.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81472886.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\83008810.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\33060297.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\70053003.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81472886.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\83008810.sys => ""="Driver" HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\...\Run: [Antamedia DBServer AsService] => 0 S2 Citdhwa; "C:\Users\boogie\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S4 qahvpk; no ImagePath S3 ndisahMP; system32\DRIVERS\ndisah.sys [X] S2 nldrv; \??\C:\Program Files\Locktime Software\NetLimiter 4\nldrv.sys [X] S1 rtdiftex; \??\C:\Windows\system32\Drivers\rtdiftex.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] GroupPolicy: Restriction - Chrome <======= ATTENTION ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdAnti DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Antamedia DBServer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_5F5250ADB2CFD375AE8B1D217CB54004 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Overwolf DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RtsFT DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Seviler DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\svchost0 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\win_en_77 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\win_en_77_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Antamedia C:\Program Files (x86)\AdAnti C:\Program Files (x86)\9j4t1kht C:\Program Files (x86)\NetPeeker C:\Program Files (x86)\ps3d6lkk C:\Program Files (x86)\sbqh C:\Program Files (x86)\Sieyhokesy C:\Program Files (x86)\SoSoIm_3 C:\Program Files (x86)\SoSoIm_4 C:\Program Files (x86)\SoSoIm_5 C:\Program Files (x86)\SoSoIm_6 C:\Program Files (x86)\Traffic Shaper XP Client C:\Program Files (x86)\Traffic Shaper XP Server C:\Program Files (x86)\win_en_77 C:\Program Files (x86)\WTFast C:\Program Files (x86)\Y2Go C:\ProgramData\zdhvmnqp.xgw C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Database Server C:\ProgramData\HitmanPro C:\ProgramData\SeriousBit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Traffic Shaper XP C:\Users\boogie\AppData\Local\uts.ini C:\Users\boogie\AppData\Local\AAA_Internet_Publishing,_ C:\Users\boogie\AppData\Local\Animiprujersp C:\Users\boogie\AppData\Local\Overwolf C:\Users\boogie\AppData\Local\Tempfolder C:\Users\boogie\AppData\Local\THORN C:\Users\boogie\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 C:\Users\boogie\AppData\LocalLow00000000003B40E8 C:\Users\boogie\AppData\LocalLow00605890 C:\Users\boogie\AppData\LocalLow02F00070 C:\Users\boogie\AppData\LocalLow\Company C:\Users\boogie\AppData\Roaming\GameLauncher C:\Users\boogie\AppData\Roaming\Hemkajdoa C:\Users\boogie\AppData\Roaming\Locktime Software C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\boogie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antamedia C:\Users\MSUser.Default C:\Windows\Joberphlusisp C:\Windows\NetPkr.str C:\Windows\system32\wofo C:\Windows\system32\Drivers\nbdrv.sys C:\Windows\SysWOW64\bcevent.dll CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
slavedriver Opublikowano 14 Września 2016 Autor Zgłoś Udostępnij Opublikowano 14 Września 2016 Hej, Dzięki za wsparcie. Zalecone czynności wykonałem. Załączam świeże logi. Pozdr. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Września 2016 Zgłoś Udostępnij Opublikowano 15 Września 2016 Poprawki, jednak zostały jeszcze dwa niepożądane skróty Chrome. Na dodatek pojawiła się nowa niepożądana instalacja Youtube AdBlock, uruchamiana z ukrytych folderów "z kreskami", powielająca plik local64spl.dll w kilku folderach. ==================== Loaded Modules (Whitelisted) ============== 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Program Files (x86)\Youtube AdBlock\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Program Files (x86)\Youtube AdBlock_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\LocalLow\Youtube AdBlock\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\LocalLow\Youtube AdBlock_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\Local\Google\Chrome\User Data\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\Local\Google\Chrome\User Data_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\Local\Temp_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Windows\Temp_\local64spl.dll 1. W Google Chrome pojawił się nowy wpis adware (prawdopodobnie na skutek synchronizacji z serwerem Google). Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Thorn; C:\Users\boogie\AppData\Local\THORN\Thorn.exe [X] C:\_ C:\local64spl.dll C:\local64spl.dll.ini C:\Windows\Temp_ C:\Program Files (x86)\Youtube AdBlock C:\Program Files (x86)\Youtube AdBlock_ C:\Users\boogie\AppData\Local\Google\Chrome\User Data_ C:\Users\boogie\AppData\Local\Temp_ C:\Users\boogie\AppData\LocalLow\Youtube AdBlock C:\Users\boogie\AppData\LocalLow\Youtube AdBlock_ C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk C:\Users\boogie\Desktop\FOTO SLUB\tort\Creative Cloud Files.lnk C:\Users\boogie\Documents\!!!!ALARM NA SALI\Elmes GSM2 Configurator.lnk C:\Users\boogie\Documents\wykaz_polaczen_podstawowy_02-01-2015_27-01-2015.pdf — skrót.lnk Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. local64spl;AdBlock Odnośnik do komentarza
slavedriver Opublikowano 15 Września 2016 Autor Zgłoś Udostępnij Opublikowano 15 Września 2016 Hej, Zalecone czynności wykonałem. W załączeniu logi. P.S. Po wykonaniu punktu nr 2 z paska zadań i menu start zniknęły skróty do Chrome'a (w menu start być może już wcześniej ich nie było). Fixlog.txt SearchReg.txt Odnośnik do komentarza
picasso Opublikowano 15 Września 2016 Zgłoś Udostępnij Opublikowano 15 Września 2016 Skan rejestru dowoduje, że adware ładowało się jako zarejestrowane biblioteki drukarki oraz wykluczyło się samoistnie ze skanu Windows Defender. Zanim przejdę do usuwania, poproszę jeszcze o pełny wyciąg kluczy Print i Windows Defender. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Cytat P.S. Po wykonaniu punktu nr 2 z paska zadań i menu start zniknęły skróty do Chrome'a (w menu start być może już wcześniej ich nie było). Tak, bo usuwałam dwa skróty wyróżniające który profil Chrome jest inicjowany (fałszywy od adware lub nowy). Po usunięciu tych skrótów teraz możesz utworzyć nowy przypięty skrót. Odnośnik do komentarza
slavedriver Opublikowano 15 Września 2016 Autor Zgłoś Udostępnij Opublikowano 15 Września 2016 Dzięki. Zalecone czynności wykonałem. W załączeniu log. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 15 Września 2016 Zgłoś Udostępnij Opublikowano 15 Września 2016 Wszystko jasne. Przechodzimy do dalszych czynności usuwających, tzn. usunięcie szkodliwych "dostawców drukarki" oraz wykluczeń skanowania. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{38DD0B4A-E4E0-4A57-99EE-DCCB185B4728} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{45965C76-4C88-4512-9358-368483E1C3B1} DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\09giopag DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\3pa8djdb DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\4vmjx6yb DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\58xh0wtw DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\893bdauo DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\bojl99vl DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\c7k58pdl DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\dc7zd7qa DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\dkokgbi6 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\gamcqiam DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\j9ibs5ww DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\nvxmth9r DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\nz71z4zq DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\posyfqav DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\uhpn0hmc DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\vak6jw5r DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\vbn156p9 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\w1kom2ao DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\wpeqfc6u DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\yyut0595 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D42C3A49-ABAF-464B-BBCE-991C3DD395E8} DeleteKey: HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D42C3A49-ABAF-464B-BBCE-991C3DD395E8} Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers /v order /t REG_MULTI_SZ /d "LanMan Print Services\0Internet Print Provider" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers Reg: reg delete "HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Youtube AdBlock\uninstall.exe" /f C:\Users\boogie\AppData\Local\Google\Chrome\User Data\local64spl.dll EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Wywołaj kolejne Search Registry (Szukaj w rejestrze) na podany poniżej warunek, a log dostarcz tylko gdy coś zostanie znalezione, w przeciwnym wypadku jest zbędny. MSUser.Default Dodatkowo, zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition, bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
slavedriver Opublikowano 15 Września 2016 Autor Zgłoś Udostępnij Opublikowano 15 Września 2016 Kolejny raz - dzięki. Zalecone czynności wykonałem. SearchReg.txt jest czysty. W załączeniu reszta logów. FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 16 Września 2016 Zgłoś Udostępnij Opublikowano 16 Września 2016 Wzystko zrobione. 1. Dodatkowa uwaga tycząca gry Black Desert - do deinstalacji towarzyszczący program QGNA (Global Gamers Solutions Ltd.). Wg Emsisoft oraz Reason Core Security to niepożądany element (podobnie jak THORN usuwany już wcześniej przeze mnie). Ale sugerowałabym pozbyć się po prostu także całej gry. 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\Info CMD: del /q C:\IFRToolLog.txt CMD: del /q C:\TDSSKiller.3.1.0.11_13.09.2016_20.03.50_log.txt Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 3. Na wszelki wypadek zrób skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe (to fałszywy alarm), dostarcz raport. Odnośnik do komentarza
slavedriver Opublikowano 16 Września 2016 Autor Zgłoś Udostępnij Opublikowano 16 Września 2016 Hej, dzięki za porady. Black Desert chyba faktycznie wywalę, bo jakoś mnie nie porwało. Obawiam się jednak, że niestety znowu wpadł jakiś syf, bo przed momentem przy uruchomieniu Chrome znowu wyskoczyły dodatkowe strony - trotux, omiga-plus... Może to tylko znowu przez synchronizację z innym urzadzeniem? Zastosowałem najpierw fixlist.txt, potem zrobiłem raz jeszcze skan FRST wraz z Shortcut i Addition, których logi raz jeszcze załączam wraz z kolejną prośbą o sprawdzenie. Pousuwałem strony startowe i wyszukiwarki z ustawień Chrome'a. Na koniec puściłem HitmanPro i w zasadzie znalazł zagróżenia z Daemon Tools, FRST, parę cracków i trzy klucze w rejestrze, czego nie rozpoznaję: LEGACY_CHERIMOYA w trzech miejscach. Te zagrożenia usunąłem. edit: Jeszcze dodam, że po restarcie wymuszonym przez Hitmana, DT mi zgłupiało i zaraz po uruchomieniu zaczęło wywalać błędy. Odinstalowałem DT, bo w zasadzie nie używam praktycznie wcale. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 Cytat Na koniec puściłem HitmanPro i w zasadzie znalazł zagróżenia z Daemon Tools, FRST, parę cracków i trzy klucze w rejestrze, czego nie rozpoznaję: LEGACY_CHERIMOYA w trzech miejscach. Te zagrożenia usunąłem. (...) Jeszcze dodam, że po restarcie wymuszonym przez Hitmana, DT mi zgłupiało i zaraz po uruchomieniu zaczęło wywalać błędy. Odinstalowałem DT, bo w zasadzie nie używam praktycznie wcale. Miałeś dostarczyć log ze skanu Hitman. Trudno powiedzieć co on widział w DT. A LEGACY_CHERIMOYA to wpis odpadkowy po adware. Cytat Obawiam się jednak, że niestety znowu wpadł jakiś syf, bo przed momentem przy uruchomieniu Chrome znowu wyskoczyły dodatkowe strony - trotux, omiga-plus... Może to tylko znowu przez synchronizację z innym urzadzeniem? Tak, wygląda to na problem synchronizacji. Czyli zresetuj synchronizację: Otwórz Panel Google i na dole kliknij Resetuj synchronizację. Po tej akcji powtórz poprzednio zadane czyszczenie na poziomie lokalnym: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl. Cytat Black Desert chyba faktycznie wywalę, bo jakoś mnie nie porwało. Jeśli odinstalujesz wszystko, zrób nowe logi FRST.txt + Addition.txt, które zdowodują czy określone elementy zostały usunięte. Odnośnik do komentarza
slavedriver Opublikowano 17 Września 2016 Autor Zgłoś Udostępnij Opublikowano 17 Września 2016 W załączeniu logi. P.S. Sorry za wcześniejszy brak loga z Hitmana, ale gdy go puściłem nie doczytałem, że będziesz potrzebować log z niego. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2016 Zgłoś Udostępnij Opublikowano 18 Września 2016 1. Ostał się po deinstalacji tylko jeden obiekt w usługach. Otwórz Notatnik i wklej w nim: U2 Thorn; no ImagePath Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). A elementy gry w katalogach Dokumenty i Pobrane dokasuj ręcznie. 2. Przez SHIFF+DEL (omija Kosz) skasuj FRST i jego logi z folderu C:\Users\boogie\Desktop\antivir\skanery na forum. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko. Odnośnik do komentarza
slavedriver Opublikowano 18 Września 2016 Autor Zgłoś Udostępnij Opublikowano 18 Września 2016 Wszystko zrobione. Serdeczne dzięki! Odnośnik do komentarza
Rekomendowane odpowiedzi