harvey Opublikowano 23 Września 2016 Zgłoś Udostępnij Opublikowano 23 Września 2016 Dzień dobry. Jakieś 2 dni temu przeglądając strony internetowe w Mozilli, przeglądarka nagle się wyłączyła. Pełen zdziwienia i skonfundowania włączyłem ją ponownie, ale zaszły następujące zmiany: zmiana języka z polskiego na angielski, i zmiana domyślnych wyszukiwarek z google na jakieś "inme" czy "fvp". Jakby tego było mało, to dziś korzystając z komputera potrafił sam przejść w stan uśpienia. Nie jest to na pewno normalne, proszę zatem o pomoc. Pozdrawiam. gmerlog.txt Shortcut.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 23 Września 2016 Zgłoś Udostępnij Opublikowano 23 Września 2016 Z raportów wynika, że adware podstawiło całego Firefoxa w innej ścieżce niż domyślnie Firefox się instaluje, czyli C:\Program Files (x86)\Firefox, i ta instalacja została ustawiona jako domyślna przeglądarka oraz przypięła sobie skrót na Pasku zadań: Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) W systemie nadal jest poprzedni Firefox, bo istnieją dwa poprawne skróty: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) Shortcut: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) Będę usuwać całego "sztucznego" Firefoxa. Ponadto, jest tu jakaś usterka WMI systemowego, ale diagnostykę tego odsuwam na potem. Działania wstępne do przeprowadzenia: 1. Odinstaluj aMuleCustom - to jest delikwent instalowany razem z preparowanym Firefoxem. Przy okazji możesz się pozbyć zbędnego Akamai NetSession Interface, to downloader produktów Autodesk. Doedytowane: jeszcze Panda Security Toolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: StartBatch: netsh advfirewall reset md C:\Users\Admin\Desktop\FF md C:\Users\Admin\Desktop\FF\Local md C:\Users\Admin\Desktop\FF\Roaming xcopy /e C:\Users\Admin\AppData\Local\Firefox C:\Users\Admin\Desktop\FF\Local xcopy /e C:\Users\Admin\AppData\Roaming\Firefox C:\Users\Admin\Desktop\FF\Roaming EndBatch: Zip: C:\Program Files (x86)\Firefox;C:\Users\Admin\Desktop\FF R2 CommandHandler; C:\Program Files (x86)\Firefox\bin\FirefoxCommand.exe [272768 2016-09-18] () U2 ed2kidle; C:\Program Files (x86)\walalala co\aMuleCustom\ed2k.exe [236544 2016-09-12] (hxxp://www.amule.org/) [Brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [610688 2016-09-18] () R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [477400 2016-09-18] () S2 AdAppMgrSvc; "C:\Program Files (x86)\Common Files\Autodesk Shared\AppManager\R1\AdAppMgrSvc.exe" [X] ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKU\S-1-5-21-3933479072-2540534226-446759770-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKU\S-1-5-21-3933479072-2540534226-446759770-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} SearchScopes: HKU\S-1-5-21-3933479072-2540534226-446759770-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} BHO: Panda Security Toolbar -> {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} -> C:\Program Files (x86)\pandasecuritytb\pandasecurityDx64.dll => Brak pliku Toolbar: HKLM - Panda Security Toolbar - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - C:\Program Files (x86)\pandasecuritytb\pandasecurityDx64.dll Brak pliku Toolbar: HKLM-x32 - Panda Security Toolbar - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - Brak pliku MSCONFIG\Services: panda_url_filtering => 2 HKLM\...\StartupApproved\Run32: => "Panda Security URL Filtering" HKU\S-1-5-21-3933479072-2540534226-446759770-1000\...\Policies\Explorer: [] CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Firefox C:\Program Files (x86)\pandasecuritytb C:\Program Files (x86)\walalala co C:\Program Files (x86)\WinSaber C:\ProgramData\corss C:\ProgramData\sozy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\aMuleCustom C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2016 — Polski (Polish) C:\Users\Admin\AppData\Local\Firefox C:\Users\Admin\AppData\Roaming\aMule C:\Users\Admin\AppData\Roaming\Autodesk\AutoCAD 2016 C:\Users\Admin\AppData\Roaming\Corner Sunshine C:\Users\Admin\AppData\Roaming\Firefox C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj teraz *.lnk C:\Users\Admin\Desktop\Kontynuuj instalację Nero Free 9.4.12.3d.lnk C:\Users\Admin\Desktop\uczym się\h1019v1 — skrót.lnk C:\Users\Admin\Desktop\uczym się\Wykłady Taczanowskiego — skrót.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom skrót Firefox z Pulpitu (wg Shortcut kieruje na poprawny katalog) i ustaw poprzedniego Firefoxa jako domyślną przeglądarkę. Wyeksportuj zakładki, o ile jest co eksportować. Następnie zamknij Firefox. Klawisz z flagą Windows + R > w polu Uruchom wklej polecenie: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Załóż nowy profil, poprzedni usuń. Zaloguj się na nowy profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Ponadto, na Pulpicie powstał plik Upload.zip. Shostuj go gdzieś i na PW wyślij mi link do pliku. Odnośnik do komentarza
harvey Opublikowano 23 Września 2016 Autor Zgłoś Udostępnij Opublikowano 23 Września 2016 Usunąłem aMuleCustom zgodnie z zaleceniami, niemniej w pewnym momencie trzeba było kliknąć "Dalej" i niby nic w tym niezwykłego gdyby instalator nie pracował na chińskich literkach i zasadniczo nie mam bladego pojęcia jakie opcje klikając "Dalej" wybrałem, ale koniec końców - program udało się odinstalować. W prywatnej wiadomości, zgodnie z prośbą, przesyłam link do owego podejrzanego pliku "Upload". Poza nim, przesyłam także link do Fixloga - gdy dodaję go tutaj, na forum, otrzymuję komunikat, że plik jest za duży, aby go wysłać. FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 Fixlog ogromny, bo kopiowanie batch na Pulpit zostało wydrukowane linia po linii. Firefox wrócił do normy. Poprawki: 1. Zapomniałam podać, by odinstalować Panda Security Toolbar (to element typu "PUP" brandowany jako Visicom Media Inc.). Druga sprawa, AutoCAD 2016 został tu odinstalowany, ale na liście zainstalowanych nadal są ukryte wpisy od tej instalacji. Pozbędziesz się ich za pomocą Program Install and Uninstall Troubleshooter. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3933479072-2540534226-446759770-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Admin\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Admin\Desktop\FF CMD: del /q C:\Users\Admin\Desktop\Upload.zip CMD: del /q C:\Users\Admin\Downloads\b361l7i6.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. W kwestii WMI, dostarcz log z WMI Diagnosis Utility. Rozpakuj narzędzie do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji, klawisz z flagą Windows + X > Wiersz polecenia (administrator) > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki. Odnośnik do komentarza
harvey Opublikowano 24 Września 2016 Autor Zgłoś Udostępnij Opublikowano 24 Września 2016 Oto i log z WMIDiag. WMIDIAG-V2.2_WIN8.1_.CLI.RTM.64_PIOTR-MISIASZEK_2016.09.24_13.38.07-REPORT.TXT Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 Wykonałeś punkty 1 i 2? Jeśli chodzi o usterkę WMI, to wg raportu usługa Winmgmt jest wyłączona. Klawisz z flagą Windows + R > services.msc > dwuklik na usługę Instrumentacja zarządzania Windows > Typ uruchomienia ustaw na Automatyczny > zresetuj system. Po tej akcji wygeneruj nowy raport FRST Addition.txt i tylko ten plik dostarcz. Odnośnik do komentarza
harvey Opublikowano 24 Września 2016 Autor Zgłoś Udostępnij Opublikowano 24 Września 2016 Jakieś zamroczenie, usunąłem tą Pandę i zrobiłem pkt3, pkt 2 pominąłem. Czyli najpierw mam dostarczyć Pani pliki z posta #4 czy mam wykonać wszystkie akcje, z tymi z posta #6 włacznie? Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 Dane dostarcz razem, czyli plik fixlog.txt z punktu 2 (nie powtarzaj skryptu, jest jednorazowy) oraz nowy log Addition.txt zrobiony już po rekonfiguracji usługi WMI i restarcie systemu. Odnośnik do komentarza
harvey Opublikowano 24 Września 2016 Autor Zgłoś Udostępnij Opublikowano 24 Września 2016 Mam nadzieję, że tym razem w porządku Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 WMI pomyślnie naprawione. Jeszcze te dwa ukryte odpadki po AutoCAD 2016 zostały do usunięcia za pomocą Program Install and Uninstall Troubleshooter: AutoCAD 2016 — Polski (Polish) (Version: 20.1.49.0 - Autodesk) Hidden AutoCAD 2016 Language Pack – Polski (Polish) (Version: 20.1.49.0 - Autodesk) Hidden Natomiast widzę inną zmianę, obecnie na liście zainstalowanych są już dwa Firefoxy, 32-bit oraz 64-bit: Mozilla Firefox 48.0.2 (x86 en-US) (HKLM-x32\...\Mozilla Firefox 48.0.2 (x86 en-US)) (Version: 48.0.2 - Mozilla) Mozilla Firefox 49.0.1 (x64 pl) (HKLM\...\Mozilla Firefox 49.0.1 (x64 pl)) (Version: 49.0.1 - Mozilla) Poprzednio był tylko ten pierwszy. Jeśli obecnie używasz tylko edycji 64-bit, odinstaluj starszą edycję 32-bit. Odnośnik do komentarza
harvey Opublikowano 24 Września 2016 Autor Zgłoś Udostępnij Opublikowano 24 Września 2016 32-bitowy Firefox usunięty, pozostałe komponenty z Cada również. Można jeszcze wiedzieć coś nt. tego pliku "Upload.zip"? Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 Upload.zip był tylko dla poszerzenia mojej wiedzy w jaki sposób ten sfałszowany Firefox był skonstruowany i co było w jego profilach (poza widocznością skanu FRST). Wszystkie komponenty kopiowane do Upload.zip zostały już dawno usunięte w pierwszym podejściu. Wszystko zrobione. Teraz jeszcze na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
harvey Opublikowano 24 Września 2016 Autor Zgłoś Udostępnij Opublikowano 24 Września 2016 Skan z ADW AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 (edytowane) AdwCleaner znalazł szczątki adware/PUP. Uruchom go ponownie, wybierz po kolei opcje Skanuj + Oczyść i przedstaw log z usuwania. Edytowane 24 Października 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi