MBC Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Dzień dobry, na komputerze pojawił się problem włączania się różnych niechcianych reklam oraz w google chrome pojawia się domyślna wyszukiwarka MyLucky123. Wyszukiwarki nie można zmienić na żadną inną. Na komputerze od miesiąca nic nie było instalowane od około miesiąca. Raport z programu GMER nie jest możliwy do wykonania w normalnym trybie windowsa. W trakcie gdy program skanuje folder google chrome następuje błąd i program GMER wyłącza się. Raport z GMER został wykonany w trybie awaryjnym. Bardzo proszę o pomoc. pozdrawiam Marcin Addition.txt FRST.txt Raport GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Adware wdarło się z "Asystenta pobierania" dobrychprogramów: KLIK. Świadczy o tym ten plik w Temp: C:\Users\natal\AppData\Local\Temp\ICReinstall_Free-Screen-Video-Recorder-33557-dp.exe W której przeglądarce jest zablokowana wyszukiwarka "mylucky" - Edge czy Google Chrome? Ja nie widzę standardowych polityk Chrome mogących to generować. A reset ustawień Edge dodam na wszelki wypadek. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [437248 2016-09-29] () [brak podpisu cyfrowego] SS4 Sunshinesvc; C:\Program Files (x86)\Corner Sunshine\sunshinesvc.dll [X] CHR StartupUrls: Default -> "hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z" Edge HomeButtonPage: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKU\S-1-5-21-994918294-1171295045-2541185440-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKU\S-1-5-21-994918294-1171295045-2541185440-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> {5586413B-D1E6-4D81-85FC-A32CE0B6D275} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f HKU\S-1-5-21-994918294-1171295045-2541185440-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\natal\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-994918294-1171295045-2541185440-1001\...\Policies\Explorer: [] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\13027460.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\13027460.sys => ""="Driver" DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\uvconvrx_00000000 C:\ProgramData\corss C:\ProgramData\cosun C:\ProgramData\McAfee C:\ProgramData\UvConverter C:\ProgramData\Tencent C:\Users\natal\AppData\Local\Legness C:\Users\natal\AppData\Roaming\version2.xml C:\Users\natal\AppData\Roaming\Corner Sunshine C:\Users\Public\Documents\temp.dat C:\WINDOWS\system32\log C:\WINDOWS\SysWOW64\data.bin CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Block site marki wips.com, to w istocie spyware: KLIK. Dodatkowo też sponsoringowe rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy we wszystkich przeglądarkach ustąpił problem z "mylucky". Odnośnik do komentarza
MBC Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 Problem występował w google chrome i edge. Po wykonaniu instrukcji wygląda, że problem w wyszukiwarce chrome ustał. W edge dalej jest wyszukiwarka mylucky. Wklejam raporty. FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Brak zmian w logu. Proszę otwórz Fixlog.txt i popatrz co zmajstrowałeś... Całkowicie zdewastowany skrypt do FRST. On wskazuje, że na stronie forum uruchomił Ci się translator Google i zaproponował "tłumaczenie strony" (ze względu na anglojęzyczne frazy w skrypcie). Niestety powierdziłeś i cały skrypt został zrujnowany translatorem. FRST nie przetworzy sztucznych ścieżek z dodanymi spacjami i innych artefaktów z translatora. Proszę powtórz wszystko od początku. Odnośnik do komentarza
MBC Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 Hmm. Kolejny raport fixlog wydaje się być identyczny jak ten który przesłałem wcześniej. Też nie klikałem nic aby raport był tłumaczony. Słowa po angielsku nie zostały przetłumaczone na j.polski. Wysyłam drugi raport. Generalnie kliknąłem kopiuj na tekst i potem wklej do notatnika. Nic więcej nie robię. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Nie wiem dlaczego nie widziałeś komunikatu o translatorze, ale pierwszy Fixlog definitywnie pochodził z translatora - charakterystyczne spacje w ścieżkach i niektóre słowa zmienione z angielskich na polskie. Trzeci właśnie dostarczony Fixlog jest za to prawidłowy i wszystko zostało wykonane. Małe poprawki: 1. Otwórz Notatnik i wklej w nim: S4 Sunshinesvc; C:\Program Files (x86)\Corner Sunshine\sunshinesvc.dll [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
MBC Opublikowano 2 Października 2016 Autor Zgłoś Udostępnij Opublikowano 2 Października 2016 Wklejam raporty Fixlog.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2016 Zgłoś Udostępnij Opublikowano 2 Października 2016 AdwCleaner wykrył szczątki adware, więc uruchom go ponownie, wybierz po kolei opcje Skanuj + Oczyść i przedstaw log z usuwania (zawiera "C" w nazwie pliku). Odnośnik do komentarza
MBC Opublikowano 2 Października 2016 Autor Zgłoś Udostępnij Opublikowano 2 Października 2016 Raport z usuwania w załączniku. AdwCleanerC0.txt Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Prawie kończymy: 1. Uruchom DelFix, by usunął AdwCleaner i FRST. GMER i jego log dokasuj ręcznie. 2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się