flymar Opublikowano 24 Stycznia 2017 Zgłoś Udostępnij Opublikowano 24 Stycznia 2017 Witam Zaczęło się najgorzej, jak mogło. Otworzyłem bardzo niezaufany instalator z azjatyckiego regionu. Mimo odklikania jednoczesnej instalacji różnych helperów zaczął on instalować mnóstwo niechcianych aplikacji. Event Monitory, Anti Malwery i chyba nawet Dropboxa. WinDefender zareagował, ale nie dał rady. Podjęte działania: * deinstalacja w "Programy i funkcje" wszystkich aplikacji zainstalowanych o tej porze - niektórych kilka razy, bo wracały. * wyrzucenie z Program Files i Program Files (x86) podejrzanych folderów * wyrzucenie z Autostartu podejrzanych procesów - CCleanerem * deaktywacja podejrzanych usług * Szybki skan Windows Defenderem - znalazł kilka zagrożeń - usunąłem. Pełny może się wykona za dwa dni. * Skanowanie Malwerbytes - znalazł kilkadziesiąt zagrożeń - usunąłem. * Przywrócenie domyślnych ustawień Chrome'a - jest kilka podstawowych rozszerzeń, ale nieaktywne. Obecnie do skrótu Chrome'a okresowo podpina się polecenie --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn (link zmieniony iksami) ale obawiam się, że to może być wierzchołek góry lodowej. Na komputerze jest Win 10 podnoszony z Win 7. Ogólnie trochę śmietnik, bo formata nie robiłem od kilku lat. Szukałem rozwiązań, ale oprócz magicznych programów naprawiających "wszystko" znalazłem tylko Wasz portal i widzę, że u innych użytkowników udało się problem rozwiązać. Bardzo proszę o pomoc. Pozdrawiam, Mariusz Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Stycznia 2017 Zgłoś Udostępnij Opublikowano 25 Stycznia 2017 Szukałem rozwiązań, ale oprócz magicznych programów naprawiających "wszystko" znalazłem tylko Wasz portal i widzę, że u innych użytkowników udało się problem rozwiązać. Uważaj na te "magiczne" programy naprawiające wszystko, to najczęściej programu o bardzo wątpliwej reputacji, a nawet fałszywe programy. Zapoznaj się również z lekturą jak uniknąć nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać. W systemie spory bałagan, ale wszystko łatwo da się uporządkować. Jeśli chodzi o problem tytułowy to to co Ty piszesz pokrywa się praktycznie w całości z tym co ja widzę w raportach - więc nie będzie problemów z usunięciem tego. Akcja. 1. Włącz przywracanie systemu (aktualnie jest wyłączone). 2. Przez panel sterowania odinstaluj: My Web Shield 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {2082DEC8-B85C-47D2-BE40-FC0D32CBD49A} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {23E1684E-22F5-4D27-A00A-28FE9E0BB857} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {49B263C3-9405-44CE-AA40-E743411A34C8} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe Task: {687ED4DC-4301-4FB7-93D9-C2452CC3E77F} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {6A7CFCED-FEC5-4EEF-A3B0-33E736587630} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6F9EE597-D177-4659-85A5-57E7D9110E14} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {80599B41-A09E-4E6B-8EB0-FEF0EFD9BA55} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {84743446-09C5-4A12-8AEA-FAF7476585BA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {B7181595-D120-4C4D-A856-3F001000DA47} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {CB3D8087-7D43-4C63-91C9-BBE32CC05EC4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {CF23F961-33AB-43FB-9C41-F34C63574E42} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DA2BB657-E7F1-4692-AE1F-993D2C3B554F} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {DB46AF3B-CD20-4CE1-B420-50D283D1D72F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {E5497EEF-5859-4C2A-BC2F-CD0F6E8778C6} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F326D667-20DB-499D-9B1C-015764E9FD98} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Flymar\Desktop\chrome.exe — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Flymar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk AlternateDataStreams: C:\ProgramData\TEMP:966F7784 [2400] Winlogon\Notify\WB: D:\PROGRA~3\Stardock\OBJECT~1\WINDOW~1\fast64.dll [X] HKLM\...\Policies\Explorer: [ForceActiveDesktopOn] 0 HKLM\...\Policies\Explorer: [NoActiveDesktop] 1 HKLM\...\Policies\Explorer: [NoActiveDesktopChanges] 1 HKLM\...\Policies\Explorer: [NoRecentDocsHistory] 0 HKU\S-1-5-21-548108095-2263111280-3268851415-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 145 SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Brak pliku SSODL-x32: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Brak pliku ShellExecuteHooks: Brak nazwy - {62B8A4F4-DE3C-11E6-A1B0-64006A5CFC23} - C:\Users\Flymar\AppData\Roaming\Dulary\Gheperent.dll -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm StartMenuInternet: Google Chrome - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" U3 idsvc; Brak ImagePath 2017-01-23 23:41 - 2017-01-23 23:41 - 0140288 _____ () C:\Users\Flymar\AppData\Roaming\Installer.dat C:\ProgramData\hash.dat DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Flymar\AppData\Local\Mozilla C:\Users\Flymar\AppData\Roaming\Mozilla C:\Users\Flymar\AppData\Roaming\Profile Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
flymar Opublikowano 25 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 25 Stycznia 2017 Dziękuję za szybką odpowiedź, Wszystko zrobione. AdwCleaner znalazł 45 zagrożeń. Na razie nic nie usuwałem. Addition.txt AdwCleanerS0.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Stycznia 2017 Zgłoś Udostępnij Opublikowano 26 Stycznia 2017 Wszystkie wykryte zagrożenia przez AdwCleaner daj do kasacji (używając opcji Oczyść). Podsumuj obecny stan systemu. Odnośnik do komentarza
flymar Opublikowano 26 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Stycznia 2017 Zrobione. Kolejny przebieg nie wykazał nic. System ma się chyba nieźle. Już wczoraj zniknął i nie wrócił objaw z tytułu wątku. Nie widzę jakichś szczególnych spowolnień, może nawet Flashowe rzeczy działają nieco szybciej, choć to może efekt placebo:) Bardzo dziękuję za błyskawiczną pomoc. Chylę czoła przed wiedzą i życzę, aby wszystkie interwencje kończyły się sukcesem. Odnośnik do komentarza
Miszel03 Opublikowano 26 Stycznia 2017 Zgłoś Udostępnij Opublikowano 26 Stycznia 2017 Kończymy.Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy (zauważyłem nieaktualny/e program/y) - KLIK / KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się