Zi84 Opublikowano 26 Października 2016 Zgłoś Udostępnij Opublikowano 26 Października 2016 (edytowane) Witam. Problem w tym, że od jakiegoś czasu a mianowicie od przeinstalowania systemu mam problem z przegladarkami internetowymi. Samoczynnie (nawet gdy nie ma mnie w domu a komputer jest włączony) instalują się jakieś "nakładki" do wyszukiwania imitujące Google oraz stronę startową Firefox'a typu "MyLucky123" lub "FVP" (problem dotyczy również IE z którego nie korzystam). Przeglądarka sama zmienia jezyk interfejsu na angielski i nie daję się zmienić na PL. Oprócz tego kilkukrotnie próbowałem odinstalować coś takiego jak "InterHop" w Panelu Sterowania ale po każdym restarcie systemu powraca. Około 2 tygodni miałem zainstalowane Malwarebytes Anti-Malware i sytuacja wydawała się pod kontrolą ale po zakończeniu okresu próbnego całe "badziewie" powróciło. Używane było też AdwCleaner i coś jeszcze nie pamietam co ale co znalazło to wyleciało lecz problem nie zniknął. Proszę o analizę i pomoc. EDIT: Z racji tego że temat już trochę zalega i w miedzyczasie sam coś działałem załączam aktualne logi FRST i GMER. Lecz w razie potrzeby mam też stare. Addition.txt FRST.txt GMER.txt Shortcut.txt Edytowane 1 Grudnia 2016 przez Zi84 Odnośnik do komentarza
jessica Opublikowano 1 Grudnia 2016 Zgłoś Udostępnij Opublikowano 1 Grudnia 2016 aż trudno uwierzyć, że używany był Adw-Cleaner - tyle śmieci! 1) Otwórz Notatnik i wklej w nim: Task: {12BAF4A5-3763-44A9-8AAE-3A5540639FE2} - \ChelfNotify Task -> Brak pliku <==== UWAGATask: {93F41D33-12FB-4725-A7E4-9EC11B215359} - System32\Tasks\Aritisp Launcher => C:\Program Files (x86)\Pleqok\phihuward.exe [2016-09-15] (Kunshan Aunbox software co.,Ltd)RemoveDirectory: C:\Program Files (x86)\PleqokRemoveDirectory: C:\Users\Abi\AppData\Roaming\adgadRemoveDirectory: C:\Program Files (x86)\amuleCRemoveDirectory: C:\ProgramData\hadhaRemoveDirectory: C:\Program Files (x86)\dcrsspp8RemoveDirectory: C:\Users\Abi\AppData\Roaming\Elex-techRemoveDirectory: C:\Program Files (x86)\Elex-techRemoveDirectory: C:\Program Files (x86)\obm0oxn3RemoveDirectory: C:\ProgramData\hadgaRemoveDirectory: C:\Program Files (x86)\8x8sotfgRemoveDirectory: C:\Program Files (x86)\i6avc9gbRemoveDirectory: C:\Program Files (x86)\gkqh9xkfRemoveDirectory: C:\Program Files (x86)\ej91022eRemoveDirectory: C:\Program Files (x86)\i66dxuu0RemoveDirectory: C:\Program Files (x86)\zt7unr47RemoveDirectory: C:\Program Files (x86)\mrbjlfncRemoveDirectory: C:\Program Files (x86)\i69oh8gfRemoveDirectory: C:\Program Files (x86)\rvez3dlxRemoveDirectory: C:\Program Files (x86)\lr72619iRemoveDirectory: C:\Program Files (x86)\pd473t2mRemoveDirectory: C:\Program Files (x86)\59eqg3eaRemoveDirectory: C:\ProgramData\adgadRemoveDirectory: C:\Program Files (x86)\jrzmp9x3RemoveDirectory: C:\ProgramData\dgadgRemoveDirectory: C:\Program Files (x86)\ii1mzx1cRemoveDirectory: C:\Program Files (x86)\jah71briRemoveDirectory: C:\Program Files (x86)\mwx1nqtfRemoveDirectory: C:\Program Files (x86)\qiv6jjliRemoveDirectory: C:\Program Files (x86)\n91uh75rRemoveDirectory: C:\Program Files (x86)\l5sa85emRemoveDirectory: C:\Program Files (x86)\pqyn4x8pRemoveDirectory: C:\Program Files (x86)\nvpf07x6RemoveDirectory: C:\Program Files (x86)\t5vssq1kShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470FirewallRules: [{A73742BF-FF51-49C1-AEA4-B4A27E848D8A}] => C:\Program Files (x86)\Firefox\Firefox.exeFirewallRules: [{D2E6034C-72FA-4E05-8994-A547B1BC4FD2}] => C:\Program Files\firefox.exeFirewallRules: [{D5EC07A8-A33E-43D9-AB8E-F1108B52AA6E}] => C:\Program Files\firefox.exeFirewallRules: [{61DF9586-2F83-4FB0-8F67-6F0350123A01}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exeFirewallRules: [{F1038587-C5A7-467B-94CE-5D9E244FEB57}] => C:\Program Files (x86)\Firefox\Firefox.exeHKLM\...\Providers\3y7l7wlg: C:\\local64spl.dllHKLM\...\Providers\6iv4ro33: D:\Program Files\MSUser.Default\Help_6_\local64spl.dllHKLM\...\Providers\l8hvw4er: D:\Program Files\MSUser.Default\Help_5_\local64spl.dllHKLM\...\Providers\m6flm9ao: D:\Program Files\MSUser.Default\Help_4\\local64spl.dllHKLM\...\Providers\qrz8pp6n: D:\Program Files\MSUser.Default\Help_5\\local64spl.dllHKLM\...\Providers\rhycv92n: D:\Program Files\MSUser.Default\Help_6\\local64spl.dllHKLM\...\Providers\tahallrq: D:\Program Files\MSUser.Default\Help_3_\local64spl.dllHKLM\...\Providers\vtcf1s1d: C:\_\local64spl.dllHKLM\...\Providers\ztayhaq0: D:\Program Files\MSUser.Default\Help_3\\local64spl.dllHKLM\...\Providers\zw0tvziw: D:\Program Files\MSUser.Default\Help_4_\local64spl.dllIFEO\MRT.exe: [Debugger] C:\Program Files (x86)\Pleqok\_ALLOWDEL_e11a\Gubed.exe -YrrehsShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak plikuHKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}HKU\S-1-5-21-635823440-3631937757-4027532726-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1478836232&z=bc426f1e991cd8d16f95459gcz1m4b0b9c5qbo7odt&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}HKU\S-1-5-21-635823440-3631937757-4027532726-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470HKU\S-1-5-21-635823440-3631937757-4027532726-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470HKU\S-1-5-21-635823440-3631937757-4027532726-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1478836232&z=bc426f1e991cd8d16f95459gcz1m4b0b9c5qbo7odt&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =SearchScopes: HKU\S-1-5-21-635823440-3631937757-4027532726-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =FF user.js: detected! => C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\7irwqnrp.default-1477335355283\user.js [2016-11-29]FF Homepage: Mozilla\Firefox\Profiles\7irwqnrp.default-1477335355283 -> hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470FF SearchPlugin: C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\7irwqnrp.default-1477335355283\searchplugins\amisites.xml [2016-11-08]FF SearchPlugin: C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\7irwqnrp.default-1477335355283\searchplugins\luck.xml [2016-11-29]FF SearchPlugin: C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\7irwqnrp.default-1477335355283\searchplugins\mylucky123.xml [2016-10-28]FF SearchPlugin: C:\Users\Abi\AppData\Roaming\Firefox\Firefox\Profiles\7irwqnrp.default-1477335355283\searchplugins\searchinme.xml [2016-10-25]StartMenuInternet: FIREFOX.EXE - c:\program files\firefox.exeR2 Convxxxx; C:\Users\Abi\AppData\Roaming\adgad\UvConverter.exe [393728 2016-12-01] () [brak podpisu cyfrowego]S2 ed2kidle; "C:\Program Files (x86)\amuleC\ed2k.exe" -downloadwhenidle [X]R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda)R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sysU0 aswVmm; Brak ImagePathS0 hitmanpro37duringboot; system32\drivers\hitmanpro37.sys [X]S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]2016-11-09 10:21 - 2016-11-09 10:22 - 00000000 ____D C:\Program Files (x86)\xqtxgjtn2016-11-09 10:06 - 2016-11-09 10:06 - 00000000 ____D C:\Program Files (x86)\r0lqjtau2016-11-08 22:21 - 2016-11-08 22:22 - 00000000 ____D C:\Program Files (x86)\5yl965dy2016-11-08 20:52 - 2016-11-08 20:52 - 00000000 ____D C:\Program Files (x86)\ju9ponb02016-11-08 20:42 - 2016-11-08 20:43 - 00000000 ____D C:\Program Files (x86)\5iphv6s72016-11-08 10:50 - 2016-11-08 10:50 - 00000000 ____D C:\Program Files (x86)\f5c9kmr62016-11-08 10:41 - 2016-11-18 10:38 - 00000000 ____D C:\ProgramData\BaofengUpdate_U2016-11-08 10:41 - 2016-11-08 10:41 - 00000000 ____D C:\ProgramData\bfibe2016-11-08 10:40 - 2016-11-08 10:40 - 00000000 ____D C:\Program Files (x86)\1stsr5032016-11-07 22:21 - 2016-11-07 22:22 - 00000000 ____D C:\Program Files (x86)\imf244qk2016-11-07 21:13 - 2016-11-07 21:14 - 00000000 ____D C:\Program Files (x86)\07b9papj2016-11-07 20:22 - 2016-11-07 20:22 - 00000000 ____D C:\Program Files (x86)\pkldaz1c2016-11-07 18:21 - 2016-11-07 18:22 - 00000000 ____D C:\Program Files (x86)\qmibopcj2016-11-07 17:23 - 2016-11-07 17:23 - 00000000 ____D C:\Program Files (x86)\bc311h732016-11-07 17:13 - 2016-11-07 17:13 - 00000000 ____D C:\Program Files (x86)\tgjd6w8a2016-11-04 19:56 - 2016-11-21 17:39 - 00000003 _____ C:\Windows\SysWOW64\hoewmds2016-11-04 00:49 - 2016-11-04 00:50 - 00000000 ____D C:\Program Files (x86)\xjcgnhw12016-11-04 00:21 - 2016-11-04 00:21 - 00000000 ____D C:\Program Files (x86)\m9k0pu8i2016-11-03 22:21 - 2016-11-03 22:22 - 00000000 ____D C:\Program Files (x86)\quhelnrl2016-11-03 21:17 - 2016-11-03 21:18 - 00000000 ____D C:\Program Files (x86)\ey8lzo522016-11-03 21:08 - 2016-11-03 21:08 - 00000000 ____D C:\Program Files (x86)\37okp02v2016-11-03 12:21 - 2016-11-03 12:22 - 00000000 ____D C:\Program Files (x86)\tgljefrt2016-11-03 11:18 - 2016-11-03 11:18 - 00000000 ____D C:\Program Files (x86)\3f7e11x52016-11-03 11:08 - 2016-11-03 11:09 - 00000000 ____D C:\Program Files (x86)\m5oxfae02016-11-03 00:21 - 2016-11-03 00:22 - 00000000 ____D C:\Program Files (x86)\9xduv2c62016-11-02 22:22 - 2016-11-02 22:22 - 00000000 ____D C:\Program Files (x86)\afjmkz3l2016-11-02 21:07 - 2016-11-02 21:07 - 00000000 ____D C:\Program Files (x86)\uuezwdq32016-11-02 20:57 - 2016-11-02 20:57 - 00000000 ____D C:\Program Files (x86)\iv5yuyow2016-11-02 10:45 - 2016-11-02 10:45 - 00000000 ____D C:\Program Files (x86)\swhe50oc2016-11-02 10:34 - 2016-11-02 10:35 - 00000000 ____D C:\Program Files (x86)\a1py1opk2016-11-02 00:22 - 2016-11-02 00:22 - 00000000 ____D C:\Program Files (x86)\px8uca7f2016-11-01 22:45 - 2016-11-01 22:45 - 00000000 ____D C:\Program Files (x86)\qz8z09w62016-11-01 22:22 - 2016-11-01 22:22 - 00000000 ____D C:\Program Files (x86)\zgde22nw2016-11-01 20:22 - 2016-11-01 20:22 - 00000000 ____D C:\Program Files (x86)\gwrskxaq2016-11-01 18:44 - 2016-11-01 18:45 - 00000000 ____D C:\Program Files (x86)\jqny14s72016-11-01 18:21 - 2016-11-01 18:22 - 00000000 ____D C:\Program Files (x86)\xzz3ae4s2016-11-01 16:22 - 2016-11-01 16:22 - 00000000 ____D C:\Program Files (x86)\w66nha6k2016-11-01 14:54 - 2016-11-01 14:54 - 00000000 ____D C:\Program Files (x86)\jhu570av2016-11-01 14:44 - 2016-11-01 14:44 - 00000000 ____D C:\Program Files (x86)\2lbo4pbb2016-11-01 10:35 - 2016-11-01 10:36 - 00000000 ____D C:\Program Files (x86)\kacmafne2016-11-01 10:25 - 2016-11-01 10:26 - 00000000 ____D C:\Program Files (x86)\lcanub7q2016-12-01 11:43 - 2016-09-15 15:21 - 00000000 ____D C:\Program Files (x86)\Pleqok2016-12-01 11:41 - 2016-10-31 18:43 - 00000000 ____D C:\Program Files (x86)\InterHop2016-12-01 11:41 - 2016-10-28 13:37 - 00000000 ____D C:\ProgramData\jcfjc2016-12-01 11:37 - 2016-10-25 13:05 - 00000000 _____ C:\Users\Public\Documents\report.dat016-12-01 11:02 - 2016-10-28 13:37 - 00000000 ____D C:\ProgramData\ttff2016-12-01 11:02 - 2016-10-28 13:37 - 00000000 ____D C:\ProgramData\QQBrowser2016-12-01 11:02 - 2016-10-25 13:05 - 00000000 _____ C:\Users\Public\Documents\temp.dat2016-10-24 20:12 - 2016-10-19 20:00 - 0509384 _____ (Mozilla Corporation) C:\Program Files\firefox.exe2016-10-24 20:12 - 2016-10-19 20:00 - 0000899 _____ () C:\Program Files\freebl3.chk2016-10-24 20:12 - 2016-10-19 20:00 - 0346056 _____ (Mozilla Foundation) C:\Program Files\freebl3.dll2016-10-24 20:12 - 2016-10-24 20:12 - 0023346 _____ () C:\Program Files\install.log2016-10-24 20:12 - 2016-10-19 20:00 - 0062408 _____ (Mozilla Foundation) C:\Program Files\lgpllibs.dll2016-10-24 20:12 - 2016-10-19 20:00 - 0083912 _____ (Mozilla Foundation) C:\Program Files\libEGL.dll2016-10-24 20:12 - 2016-10-19 20:00 - 1240008 _____ (Mozilla Foundation) C:\Program Files\libGLESv2.dll2016-10-24 20:12 - 2016-10-19 20:00 - 0172488 _____ (Mozilla Foundation) C:\Program Files\maintenanceservice.exe2016-10-24 20:12 - 2016-10-19 20:00 - 0155976 _____ (Mozilla Corporation) C:\Program Files\maintenanceservice_installer.exe2016-10-24 20:12 - 2016-10-19 20:00 - 1459656 _____ (Mozilla Foundation) C:\Program Files\mozavcodec.dll2016-10-24 20:12 - 2016-10-19 20:01 - 0175048 _____ (Mozilla Foundation) C:\Program Files\mozavutil.dll2016-10-24 20:12 - 2016-10-19 20:01 - 0112584 _____ (Mozilla Foundation) C:\Program Files\mozglue.dll2016-10-24 20:12 - 2016-10-19 20:01 - 1748424 _____ (Mozilla Foundation) C:\Program Files\nss3.dll2016-10-24 20:12 - 2016-10-19 20:01 - 0416200 _____ (Mozilla Foundation) C:\Program Files\nssckbi.dll2016-10-24 20:12 - 2016-10-19 20:01 - 0000899 _____ () C:\Program Files\nssdbm3.chk2016-10-24 20:12 - 2016-10-19 20:01 - 0096200 _____ (Mozilla Foundation) C:\Program Files\nssdbm3.dll2016-10-24 20:12 - 2016-10-20 02:29 - 9975070 _____ () C:\Program Files\omni.ja2016-10-24 20:12 - 2016-10-19 19:06 - 0000166 _____ () C:\Program Files\platform.ini2016-10-24 20:12 - 2016-10-19 20:01 - 0157128 _____ (Mozilla Corporation) C:\Program Files\plugin-container.exe2016-10-24 20:12 - 2016-10-19 20:01 - 0030664 _____ (Mozilla Corporation) C:\Program Files\plugin-hang-ui.exe2016-10-24 20:12 - 2016-10-20 02:30 - 0003573 _____ () C:\Program Files\precomplete2016-10-24 20:12 - 2016-10-19 20:01 - 0017352 _____ (Mozilla Foundation) C:\Program Files\qipcap.dll2016-10-24 20:12 - 2016-10-19 19:11 - 0000702 _____ () C:\Program Files\removed-files2016-10-24 20:12 - 2016-10-19 20:01 - 0000899 _____ () C:\Program Files\softokn3.chk2016-10-24 20:12 - 2016-10-19 20:01 - 0150472 _____ (Mozilla Foundation) C:\Program Files\softokn3.dll2016-10-24 20:12 - 2016-10-19 19:06 - 0000132 _____ () C:\Program Files\update-settings.ini2016-10-24 20:12 - 2016-10-19 20:01 - 0320456 _____ (Mozilla Foundation) C:\Program Files\updater.exe2016-10-24 20:12 - 2016-10-20 02:29 - 0001163 _____ () C:\Program Files\updater.ini2016-10-24 20:12 - 2016-10-19 17:36 - 0085840 _____ (Microsoft Corporation) C:\Program Files\vcruntime140.dll2016-10-24 20:12 - 2016-10-20 02:30 - 0005936 _____ () C:\Program Files\voucher.bin2016-10-24 20:12 - 2016-10-19 20:01 - 0101832 _____ (Mozilla Foundation) C:\Program Files\wow_helper.exe2016-10-24 20:12 - 2016-10-19 20:02 - 51604424 _____ (Mozilla Foundation) C:\Program Files\xul.dllC:\Users\Abi\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnkC:\Program Files (x86)\FirefoxHOSTS:EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW). 2) Uruchom FRST.W polu SEARCH (SZUKAJ) wklej: local64spl.dll kliknij na przycisk "Search Files (Szukaj Plików)".Raport z tego będzie tam, gdzie jest FRST.3) Uruchom FRST.W polu SEARCH (SZUKAJ) wklej: local64spl.dll kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).Raport z tego będzie tam, gdzie jest FRST. 4) Zrób nowe logi FRST. jessi Odnośnik do komentarza
Zi84 Opublikowano 5 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2016 (edytowane) Zadania wykonane. Dodam tylko, że teraz zamiast MyLucky123 jest jakieś "inme" Addition.txt FRST.txt Shortcut.txt Edytowane 10 Grudnia 2016 przez Zi84 Odnośnik do komentarza
Miszel03 Opublikowano 15 Grudnia 2016 Zgłoś Udostępnij Opublikowano 15 Grudnia 2016 Log FRST.TXT jest ucięty, dostarcz prawidłowy. Odnośnik do komentarza
Zi84 Opublikowano 21 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 21 Grudnia 2016 ok... zrobiłem wszystkie na nawo. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Grudnia 2016 Zgłoś Udostępnij Opublikowano 21 Grudnia 2016 System jest bardzo nowocześnie zainfekowany przez adware, widać wykorzystanie nowych tricków (m.in prefabrykowana przeglądarka FireFox, adware modyfikujące usułguę Themes tym samym uszkadzając kompozycję Aero). Wszystko to da się łatwo wyleczyć, więc od razu zaczynamy.1. Przez panel sterowania odinstaluj: amuleC 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:IFEO\MRT.exe: [Debugger] C:\Windows\TEMP\weaEF50.tmp\Gubed.exe -YrrehsR3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [524800 2016-12-15] () [brak podpisu cyfrowego] R2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]2016-12-01 11:02 - 2016-10-28 13:37 - 00000000 ____D C:\ProgramData\ttffR2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [106160 2016-12-08] ()C:\Program Files (x86)\FirefoxFirewallRules: [{559BF5D9-860E-48CA-8A58-D0F35DF1124F}] => C:\Program Files (x86)\Firefox\bin\FirefoxCommand.exeFirewallRules: [{9672D65A-5D9C-4C95-9D20-1769C4111470}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exeFirewallRules: [{FB14C3FA-891D-4707-84AC-B47625365C27}] => C:\Program Files (x86)\Firefox\Firefox.exeCMD: dir /a "C:\Program Files"CMD: dir /a "C:\Program Files (x86)"CMD: dir /a "C:\Program Files\Common Files\System"CMD: dir /a "C:\Program Files (x86)\Common Files\System"CMD: dir /a C:\ProgramDataCMD: dir /a C:\Users\Abi\AppData\LocalCMD: dir /a C:\Users\Abi\AppData\LocalLowCMD: dir /a C:\Users\Abi\AppData\RoamingReg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /sEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. W obecnym profilu FireFox znajduję się adware. Założymy nowy czysty profil. Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program Files\Mozilla Firefox\firefox.exe -p > skasuj wszystkie profile > załóż nowy. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Zi84 Opublikowano 23 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 23 Grudnia 2016 Zadanie 1. nie wykonałem w Panelu Sterowania nie widnieje amuleC. Zadanie odnośnie skasowania profili w Firefox i tworzenia nowego również nie ... bo nie bardzo wiem o co chodzi. Po wklejeniu komendy pojawia mi się zawartyość dysku C ale nie wiem co dalej. dodałem raport z AdwCleaner'a nie wiem czy był potrzebny ale tak wywnioskowałem z wypowiedzi. Reszta wykonana. Addition.txt FRST.txt Shortcut.txt AdwCleanerS0.txt Odnośnik do komentarza
Miszel03 Opublikowano 24 Grudnia 2016 Zgłoś Udostępnij Opublikowano 24 Grudnia 2016 Zadanie 1. nie wykonałem w Panelu Sterowania nie widnieje amuleC. W takim razie to był wpis odpadkowy (to też widzę po raporcie z AdwCleaner). Zadanie odnośnie skasowania profili w Firefox i tworzenia nowego również nie ... bo nie bardzo wiem o co chodzi. Po wklejeniu komendy pojawia mi się zawartyość dysku C ale nie wiem co dalej. Nie możliwe, po użyciu kombinacji klawiszy klawiszy: Windows + R wyświetla się okienko, która masz uzupełnić tak jak poniższej i kliknąć przycisk OK. Potem tylko kasacji profili i zakładasz nowy. Ewentualnie możesz to zrobić też przez menu Start. dodałem raport z AdwCleaner'a nie wiem czy był potrzebny ale tak wywnioskowałem z wypowiedzi. Dobrze wywnioskowałeś. Reszta wykonana. Nie dostarczyłeś raporty wynikowego, czyli pliku Fixlog.txt Odnośnik do komentarza
Zi84 Opublikowano 25 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 25 Grudnia 2016 Nie możliwe, po użyciu kombinacji klawiszy klawiszy: Windows + R wyświetla się okienko, która masz uzupełnić tak jak poniższej i kliknąć przycisk OK. Potem tylko kasacji profili i zakładasz nowy. Ewentualnie możesz to zrobić też przez menu Start. po wklejeniu komendy i wciśnięcu ok wyskakuje: gdy dam "przeglądaj" to wyskakuje zawartość dysku C. W załaczniku dodałem wynikowy fixlog którego wcześniej zapomniałem. Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Grudnia 2016 Zgłoś Udostępnij Opublikowano 27 Grudnia 2016 Błąd sugeruję, że wpisałeś tylko komendę C:\Program, a nie C:\Program Files\Mozilla Firefox\firefox.exe -p, sprawdź to. Idziemy dalej: usługa Themes wygląda już w porządku, w raportach (prócz FireFox) wszystko wygląda OK. 1. Uruchom AdwCleaner kliknij skanuj, a następnie oczyść. Dostarcz raport z tego działania. 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: C:\Users\Abi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk CMD: dir /a C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zniknął Ci skróty przeglądarki FireFox - możesz utworzyć sobie nowe przez PPM. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Zi84 Opublikowano 27 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 27 Grudnia 2016 Błąd sugeruję, że wpisałeś tylko komendę C:\Program, a nie C:\Program Files\Mozilla Firefox\firefox.exe -p, sprawdź to. Za każdym razem wklejałem całą komendę. AdwCleaner wyrzuca mi taki błąd dlatego nie mogę dostarczyć logu z jego dziąłania ... nigdy tak nie robił. Dzisiaj po raz kolejny zainstalował się amuleC ale udało się odinstalować. Pytanie: jakim cudem Firefox samoczynnie podpina mi się do paska zadań? Odpinałem go już chyba z 10 razy i za każdym razem sam się podpina. Zadania z FRST wykonane logi w załączniku. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
apostrofy Opublikowano 27 Grudnia 2016 Zgłoś Udostępnij Opublikowano 27 Grudnia 2016 (edytowane) Za każdym razem wklejałem całą komendę. ... Polecenie ma spacje w nazwie folderu spróbuj tak: "C:\Program Files\Mozilla Firefox\firefox.exe" -p lub firefox -p Edytowane 27 Grudnia 2016 przez apostrofy Odnośnik do komentarza
Zi84 Opublikowano 27 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 27 Grudnia 2016 Nadal taki sam komunikat .... ale po wcześniejszych operacjach wyglądało jakby FF został odinstalowany więc zainstalowałem na nowo i wygląda jakby wszystko wróciło do normy Strona domowa jest taka jak ma być a interfejs przeglądarki jest w języku polskim a nie tak jak do tej pory eng. Ale czekam jeszcze na analizę logów i pomoc w uruchomieniu AdwCleaner. Odnośnik do komentarza
apostrofy Opublikowano 28 Grudnia 2016 Zgłoś Udostępnij Opublikowano 28 Grudnia 2016 (edytowane) Nadal taki sam komunikat .... ale po wcześniejszych operacjach wyglądało jakby FF został odinstalowany więc zainstalowałem na nowo i wygląda jakby wszystko wróciło do normy Strona domowa jest taka jak ma być a interfejs przeglądarki jest w języku polskim a nie tak jak do tej pory eng. Ale czekam jeszcze na analizę logów i pomoc w uruchomieniu AdwCleaner. Ok już wiem czemu nie działa inna wersja Firefox (32 bitowa zainstalowana) a Miszel daje polecenie na taką dla 64 bit lub 32 bitowego Windowsa 7 (a takiego nie masz). Co do skrótu jak się nie będzie chciał odpinać zobacz katalog: %Appdata%\Microsoft\Internet Explorer\Quick Launch\User Pinned i tam ImplicitAppShortcuts, czasem chromowate przeglądarki tam mają skrót i on powraca i nie działa (może Firefox ma czasem podobnie). Co do adwcleaner możesz spróbować opcji odinstalowania (z paska narzędziowego plik > odinstaluj) - utrata kwarantanny (jakby usunął jakieś dobre pliki wcześniej to znikną z dysku) i pobrać na nowo program. Edytowane 28 Grudnia 2016 przez apostrofy Odnośnik do komentarza
Zi84 Opublikowano 28 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 28 Grudnia 2016 kurcze za szybko się pochwaliłem FF dzisiaj znowu ma język angielski a strona startowa "inme" :/ apostrofy dzięki za pomoc w uruchomieniu Adwcleaner'a zadziałało więc dodaję log z oczyszczenia do tego postu żeby sie nie cofać. AdwCleanerC0.txt Odnośnik do komentarza
Miszel03 Opublikowano 29 Grudnia 2016 Zgłoś Udostępnij Opublikowano 29 Grudnia 2016 Zi84 Zrób mi nowy zestaw raportów FRST. apostrofy Dziękuję za pomoc, masz rację podałem złą ścieżkę. Natomiast, następnym razem (zgodnie z regulaminem) poinformuj mnie o tym na PW, a ja na pewno wspomnę o Twojej uwadze w poście. Odnośnik do komentarza
Zi84 Opublikowano 30 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 30 Grudnia 2016 Zi84 Zrób mi nowy zestaw raportów FRST. Jasna sprawa. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 31 Grudnia 2016 Zgłoś Udostępnij Opublikowano 31 Grudnia 2016 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [119808 2016-12-27] () [brak podpisu cyfrowego]R2 Gubed_WMI; C:\Program Files (x86)\Gubed_WMI\Gubed_WMI.exe [109056 2016-12-23] () [brak podpisu cyfrowego]RemoveDirectory: C:\Program Files (x86)\GubedRemoveDirectory: C:\Program Files (x86)\Gubed_WMIRemoveDirectory: C:\Program Files (x86)\Firefox2016-12-23 21:27 - 2016-12-27 12:33 - 00000000 ____D C:\Program Files (x86)\WinArcherFirewallRules: [{5145B3CC-166D-4AE2-A1D4-991BA844CB76}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exeFirewallRules: [{DC0EE9A9-BFF5-4994-9664-A01DE16608DF}] => C:\Program Files (x86)\Firefox\Firefox.exeEmptyTemp:DeleteQuarantine: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program Files (x86)\Mozilla Firefox\firefox.exe -p > skasuj wszystkie profile > załóż nowy. 3. Przeskanuj system przez Malwarebytes' Anti-Malware i przedstaw raport wynikowy. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Zi84 Opublikowano 2 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 2 Stycznia 2017 Wszystkie zadania wykonane. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Raport wynikowy Malwarebytes' Anti-Malware.txt Odnośnik do komentarza
Zi84 Opublikowano 27 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2017 Jakieś kroki kończące czy coś ? Bo niby problem znikł ale nie wiem czy nie trzeba coś jeszcze zrobić na zakończenie Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się