Deeway Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 Witam, 3 dni temu przez moją nieuwagę ściągnąłem jakiś dziwny plik, zainstalował on program Y2go- nie szło usunąć folderu, NOD32 zaczął wyć na alarm jak oszalały, pousuwał pliki jakieś, ale proces cały czas był w tle. Folder był zabezpieczony, jednak po kilku godzinach walki udało się go usunąć. W przeglądarce zaczęły się zmieniać strony na jakieś ruskie, zaczął wyskakiwać błąd, informujący, że system windows nie może znaleźć pliku WebControl.exe Pojawił się również program NotePad+ czy coś w tym rodzaju, udało się go od razu usunąć, Obecnie skanowanie ADWcleaner pokazuje jakieś 3 zagrożenia, których nie da się usunąć(logi niżej) Antimalware znalazł 8 zagrożeń, 6 usunął, przy usuwaniu 2 program się wyłączał, jednak z drobną pomocą znajomego udało się usunąć. ADWcleaner wykrywa zaplanowanie zadanie- wlanconnect. To z przeglądarek pojawia się po uruchomieniu Chrome. Co mam zrobić? AdwCleanerS19.txt GMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 Cytat ADWcleaner wykrywa zaplanowanie zadanie- wlanconnect. To z przeglądarek pojawia się po uruchomieniu Chrome. W raporcie AdwCleaner, który mi pokazałeś nie ma żadnej detekcji "wlanconnect", co potwierdza też skan Harmonogramu zrobiony przez FRST. Chyba miałeś na myśli coś innego, bo wlanconnect tu jest, ale w folderze Startup, i widzi go tylko FRST. Prócz tego widać w systemie poszkodowane przez adware skróty przeglądarek (będą usuwane) i różne odpadki. 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Adobe Flash Player 19 NPAPI, Java 8 Update 77 (NPAPI to edycja dla Firefox, którego tu nie ma) oraz Y2Go (o ile to możliwe, bo to szczątek). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA ShortcutWithArgument: C:\Users\szef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" Startup: C:\Users\szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2016-06-14] Task: {07A8B3FE-E157-4C9C-8C2E-9369B53D96C3} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {12DF5160-AA37-4437-B4EA-8378FBF95CA7} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {132CD984-D83E-4A8C-B680-AF2E52E44FE6} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {18A3F8E1-5B18-4E8A-8803-01E6ACFDB5DD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {2AF08598-B58A-414D-9575-C80E9FD3DCE4} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {308A01BD-D3E2-4561-B2F3-2691ACAFF621} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3EBDD542-6D68-4EBF-A870-BD10F7719306} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {403E6ADD-6BCC-4151-BBD1-AD632F07C64B} - System32\Tasks\Y2Go\Updater\Y2GoUpdater => C:\Program Files (x86)\Y2GoUpdater\updater.exe Task: {441740FD-CA28-4FAF-ACA1-41561EA700B0} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {44D8076C-D72E-472B-B9C8-19299B71B564} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {483E8D8B-6E76-4584-B82D-EAE193A90D7F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {49E410DC-4C67-4A44-A319-6B13541AA2FD} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {69BD4826-71A8-4112-8C1A-534BA60326F5} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {7CBCA9C2-95C2-4AFE-BEA3-93F38173D3ED} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {862B6D19-689E-4F79-8AA1-3F8F83C5E0CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {87EE9D59-5210-4288-AFBE-1B244AE92572} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {8B161DEB-16CC-4CBF-AA97-5776C4C1F008} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {95172110-1B24-41B8-ACFD-C3A3AB40676F} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {9BC99EF8-7768-4701-8F89-C518FFFAF16E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {A85D7188-1982-4636-BA05-6C2065DDE40C} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {AC9D81C8-9BB0-4544-AD88-BEA29AF25672} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {AD236905-01FE-4234-920A-F935EE07E413} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {AF03FF84-7E62-4FDF-AE5C-CC191F2BF1F5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {B347B61D-4A89-4781-B004-D7A4A89A0344} - System32\Tasks\Y2Go\Y2Go\Y2Go => C:\Program Files (x86)\Y2Go\bin\Y2Go.exe Task: {B9A0E03C-7D14-4F6E-866B-8880461D734D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {C49C678A-63CB-48A3-9402-98284501A7E1} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA Task: {C4BFEFA4-D381-4A51-B8A0-34B6214CA581} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {D2A0C977-01E2-4E46-A3C9-37E092C19EC9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {D44627F4-F513-49E8-A037-8C7DA7829236} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {D82E6043-F1B5-4AFC-AB62-315EF74713D4} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {E454C2FC-F831-4E18-9361-0670DAEA03CC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {E6C1EF5F-E66E-401F-961A-2AC4590A128D} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {EA3AF552-5978-4E10-B9B6-7A96A8CB463E} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {F58BD1FD-B93E-4EAD-B53C-D9B921D996BC} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {F85E5397-2810-41BB-A601-D99402BC4B73} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {FDE9D01A-0DA2-40BC-A57E-1F14B59620CC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {FF6D002A-78E9-4359-8145-5DFD8F8FA472} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA S3 gusvc; "C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe" [X] U3 idsvc; Brak ImagePath HKLM\...\StartupApproved\Run32: => "StartCCC" HKU\S-1-5-21-1744258245-1269414707-2549313799-1000\...\StartupApproved\Run: => "DAEMON Tools Lite" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Y2Go DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Y2Go DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\TEMP C:\Users\szef\AppData\Local\Microsoft\Windows\GameExplorer\{3897BF0A-4C3A-45B7-B639-4A338F490D10} C:\Users\szef\AppData\Local\Microsoft\Windows\GameExplorer\{5E08B4A0-0A4D-4A38-94FC-069DAB762A08} C:\Users\szef\AppData\Roaming\wlanconnect.vbs C:\Users\szef\AppData\Roaming\DAEMON Tools Lite C:\Users\szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехplоrеr.lnk C:\Users\szef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk C:\Users\szef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk C:\Users\szef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Gооglе Сhrоmе.lnk C:\Users\szef\Desktop\Gry\Dying Light.lnk C:\Users\szef\Desktop\Gry\Far Cry 4.lnk C:\Users\szef\Desktop\Gry\Grand Theft Auto IV - Episodes From Liberty City.lnk C:\Users\szef\Desktop\Gry\The Sims 4.lnk C:\Users\szef\Desktop\programy\DAEMON Tools Lite.lnk C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\Windows\System32\Tasks\Y2Go C:\WINDOWS\SysWOW64\data Hosts: RemoveProxy: StartBatch: netsh advfirewall reset type "D:\Muve\Muve Downloader\Launcher.bat" type "D:\Steam\steam\games\Euro Truck Simulator 2 Multiplayer\launcher.bat" type D:\TruckersMP\launcher_ets2mp.bat EndBatch: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zmień serwery DNS wg instrukcji: KLIK. 5. Klawisz z flagą Windows + R > certmgr.msc > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > usuń certyfikat Y2Go. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Deeway Opublikowano 24 Września 2016 Autor Zgłoś Udostępnij Opublikowano 24 Września 2016 Zaraz się wezmę za te DNSy Jak mam wejść w Zarządzaj połączeniami sieciowymi, na Win10? Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 Po lewej klik w Zmień ustawienia karty sieciowej. Prawie wszystko wykonane, ale wymagane poprawki: 1. Nie ma oznak wykonania tej operacji: picasso napisał: 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Nadal w logu widać strony startowe adware w Chrome. 2. Trzeba też usunąć niektóre skróty gier, zostały zmodyfikowane przez adware, by otwierać podejrzaną stronę: start "" /I /B /D"D:\Muve\Muve Downloader\" "D:\Muve\Muve Downloader\Launcher.exe" "http://goodle.su" start "" /I /B /D"D:\Steam\steam\games\EUROTR~1\" "D:\Steam\steam\games\EUROTR~1\launcher.exe" "http://goodle.su" start "" /I /B /D"D:\TRUCKE~1\" "D:\TRUCKE~1\LAUNCH~1.EXE" "http://goodle.su" Otwórz Notatnik i wklej w nim: CMD: ipconfig /flushdns C:\Program Files (x86)\Java C:\Users\szef\Desktop\Gry\Plаy Еurо Тruсk Simulаtоr 2 Мultiplаyеr.lnk C:\Users\szef\Desktop\Gry\Еurо Тruсk Simulаtоr 2 Мultiplаyеr.lnk C:\Users\szef\Desktop\Gry\Мuvе Dоwnlоаdеr.lnk Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. PS. Oczywiście odpowiadasz już w nowym poście, nie edytuj poprzedniego. Odnośnik do komentarza
Deeway Opublikowano 24 Września 2016 Autor Zgłoś Udostępnij Opublikowano 24 Września 2016 Wykonane. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 Fix FRST wykonany. Natomiast jeśli na pewno tym razem został wykonany reset Chrome, to się upewnij że zniknęły podane wtręty: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > ma być pusta lista. Odnośnik do komentarza
Deeway Opublikowano 24 Września 2016 Autor Zgłoś Udostępnij Opublikowano 24 Września 2016 Lista jest pusta. Również adwcleaner nic nie wykrywa. Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 Czyli zgodnie z planem usunięte. Na koniec zastosuj DelFix, a GMER i jego log dokasuj ręcznie. To wszystko. Odnośnik do komentarza
Deeway Opublikowano 24 Września 2016 Autor Zgłoś Udostępnij Opublikowano 24 Września 2016 Dziękuję bardzo za pomoc. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi