Xebritas Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 Dobry wieczór, Zwracam się z prośbą o pomoc z oczyszczeniem laptopa z syfu. Laptop należy do brata, twierdzi on, że strasznie muli, dodatkowo wyświetlają mu się reklamy i zmieniła się wyszukiwarka. Odpaliłem raz AdwCleaner'a -> trochę zdziałał wyglądało to tak, jakby Chrome nie był prawdziwym Chrome bo po restarcie skrót, który wcześniej prowadził do przeglądarki przestał działać. Po użyciu Adw problem z wyszukiwarkami nadal istnieje. Załączam logi. Proszę o pomoc Addition.txt Shortcut.txt FRST.txt gmer.txt AdwCleanerC0.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 Czy na pewno po czyszczeniu AdwCleaner nadal występuje zamulenie? Obecnie w raporcie tyllo jeden aktywny proces od niepożądanej instalacji Bing, brak innych procesów które zapewne były wcześniej. A Chrome nie działa, gdyż zostało podstawione fałszywym klonem SeaBlue i niektóre skróty nadal kierują na już usunięte pliki klona. Działania do przeprowadzenia 1. Odinstaluj stare wersje Bonjour, Java 8 Update 31. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Seablue_protect; "C:\ProgramData\Seablue\protect\protect.exe" [X] S2 Seablue_update; "C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe" [X] S2 eamonm; system32\DRIVERS\eamonm.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 huawei_wwanecm; \SystemRoot\system32\DRIVERS\ew_juwwanecm.sys [X] S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\Run: [bingSvc] => C:\Users\Hubert\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-11] (© 2015 Microsoft Corporation) HKLM\...\StartupApproved\Run: => "egui" HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\StartupApproved\Run: => "HEXelon MAX" Task: {1AC794CC-ABC2-4D13-AC6C-166E35E228A9} - System32\Tasks\SeablueBrowserUpdateCore => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe Task: {2A835466-9965-4F17-AB38-E5031CC6BF30} - System32\Tasks\SeablueCheckTask => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe Task: {6484112A-0A68-4CD1-A42F-7675513A0DA8} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 4.2\upgrade.exe [2016-09-21] (ESET) Task: {841E4D03-7D0C-4809-9B93-720A6728E6EA} - System32\Tasks\SeablueBrowserUpdateUA => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku CustomCLSID: HKU\S-1-5-21-3762805509-169700252-1295638891-1002_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Hubert\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.nuesearch.com/?type=sc&ts=1472037228&z=ef84cdaa81f52dde355f7fcg8z8mco0e4c6mbo9odq&from=eve0822&uid=ST500LT012-1DG142_S3PDHCNR StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.nuesearch.com/?type=sc&ts=1466496565&z=631a8414d8b51b633b39a2bgdz8q0qdzft4q2wbqbw&from=wpm0616&uid=ST500LT012-1DG142_S3PDHCNR HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=131183153839929765&GUID=E7DE74A2-97E2-1576-501F-E9E3701E06D5 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=131183153839939764&GUID=E7DE74A2-97E2-1576-501F-E9E3701E06D5 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE12&ocid=UE12DHP SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-3762805509-169700252-1295638891-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms} SearchScopes: HKU\S-1-5-21-3762805509-169700252-1295638891-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 4.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Hubert\AppData\Local\Google\Chrome\User Data\Guest Profile C:\Users\Hubert\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Hubert\AppData\Local\Microsoft\BingSvc C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Hubert\Desktop\WarThunder.lnk C:\Users\Hubert\Desktop\tekli muzyczka\Mobile Partner.lnk C:\Windows\SysWOW64\*.html C:\Windows\SysWOW64\_TSpm Folder: C:\Windows\system32\setup Folder: C:\Windows\SysWOW64\setup CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. SeaBlue jest domyślną przeglądarką, ustaw Firefox lub Internet Explorer jako domyślną. Na razie nie można tego zrobić dla Chrome (dopóki nie zostanie wyczyszczony rejestr z klas SeaBlue). Następnie wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Seablue Dołącz też plik fixlog.txt. Odnośnik do komentarza
Xebritas Opublikowano 25 Września 2016 Autor Zgłoś Udostępnij Opublikowano 25 Września 2016 Dzień dobry, dziękuję za zainteresowanie. Laptop faktycznie może trochę mniej zamula, ale nadal nie jest to myślę pełna płynność - myślę, że może to być spowodowane jednak słabą konfiguracją sprzętową, no chyba że w logach widnieje coś jeszcze co mogłoby spowalniać pracę. Wszystkie kroki wykonałem, logi w załącznikach. Fixlog.txt Addition.txt FRST.txt SearchReg.txt Odnośnik do komentarza
picasso Opublikowano 25 Września 2016 Zgłoś Udostępnij Opublikowano 25 Września 2016 Nie ma oznak wykonania tych akcji: 1. SeaBlue jest domyślną przeglądarką, ustaw Firefox lub Internet Explorer jako domyślną. Na razie nie można tego zrobić dla Chrome (dopóki nie zostanie wyczyszczony rejestr z klas SeaBlue). Nadal domyślną przeglądarką jest falsyfikat Chrome: Internet Explorer Wersja 11 (Domyślna przeglądarka: "C:\Program Files (x86)\Seablue\Seablue\chrome.exe" "%1") Proszę ustaw co należy, a po tym ponów wyszukiwanie w rejestrze i dostarcz nowy SearchReg.txt. 2. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. W Chrome nadal strony startowe adware. Odnośnik do komentarza
Xebritas Opublikowano 25 Września 2016 Autor Zgłoś Udostępnij Opublikowano 25 Września 2016 Hmmm... dzwne, widocznie coś źle kliknąłem W międzyczasie włączyłem skanowanie Malwarebytsem i wykrył pare zagrożeń, nie usuwałem póki co, log z tego w załączniku. Ustawiłem mozzille jako domyślną i zresetowałem ustawienia chrome jeszcze raz. Powinno być ok malwarebytes.txt SearchReg.txt Odnośnik do komentarza
picasso Opublikowano 25 Września 2016 Zgłoś Udostępnij Opublikowano 25 Września 2016 Log Search Registry uległ redukcji, więc przestawienie domyślnej przeglądarki wykonane przy tym podejściu. MBAM widzi tylko dwa odpadkowe klucze i nie są to wpisy SeaBlue oraz zip fakturki. Doczyszczanie: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\StartupApproved\Run: => "BingSvc" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder05 DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\{EB52F1AB-3C2B-424F-9794-833C687025CF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Seablue DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\irc DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\mailto DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\MMS DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\news DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\nntp DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\sms DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\smsto DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\tel DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\urn DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\webcal DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Clients\StartMenuInternet\ChromeHTML DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Seablue DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\25c87c77_0 DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ff7e8424_0 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\ProgramData\Seablue\protect\protect.exe" /f Reg: reg delete "HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe" /f Reg: reg delete "HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Seablue\Seablue\chrome.exe" /f CMD: del /q C:\Users\Hubert\Desktop\pobierz_Fakturka_V1.46.zip RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Hubert\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Zresetuj system. Teraz Google Chrome powinno być ustawialne jako domyślna przeglądarka. Odnośnik do komentarza
Xebritas Opublikowano 25 Września 2016 Autor Zgłoś Udostępnij Opublikowano 25 Września 2016 Wykonane, log w załączniku Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 25 Września 2016 Zgłoś Udostępnij Opublikowano 25 Września 2016 Czyszczenie z adware/PUP pomyślnie zakończone. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. GMER dokasuj ręcznie. Laptop faktycznie może trochę mniej zamula, ale nadal nie jest to myślę pełna płynność Sprawdź czy na czystym rozruchu jest jakaś różnica: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi