woza77 Opublikowano 6 Marca 2017 Zgłoś Udostępnij Opublikowano 6 Marca 2017 (edytowane) Dzisiaj 06.03.2017 zlapalem jakies goowno.Cały czas startuje IE z reklamami i nie da się tego wywalić za pomocą ADWCleanera.Może ktoś wie jak to usunąć. Addition.txt FRST.txt GMER.txt Shortcut.txt Edytowane 8 Marca 2017 przez Rucek Sprzątam. Łączę. Odnośnik do komentarza
Miszel03 Opublikowano 6 Marca 2017 Zgłoś Udostępnij Opublikowano 6 Marca 2017 Cały czas startuje IE z reklamami i nie da się tego wywalić za pomocą ADWCleanera. Dostarcz raport z tych działań. System w agnolanym stanie. Nadal masa nowoczesnych infekcji adware / PUP m.in podmieniających Publishera, profile w przeglądarce Google Chrome, 1. Włącz przywracanie systemu. 2. Przez panel sterowania odinstaluj: Adware / PUP: youndoo - Uninstall.Spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) z poziomu tego folderu: C:\Program Files\żěŃą. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {04DC6D30-3192-48A1-A28D-2D32B5BAE25C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {0B06A115-D0B3-44A9-832B-66854E1F6CBE} - \WPD\SqmUpload_S-1-5-21-914323923-818451107-1949208214-1001 -> Brak pliku Task: {1040B3E3-6EA9-41BB-9BB4-779D6B9051C6} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {20552A47-1135-4AE6-BC8F-CD698C9D151E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {23DAFCB4-2764-4544-9169-E798985E20E2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {3530905F-1D2D-4424-82FC-D54713FE04FA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {452697BD-BF46-4BA3-A0DE-86152C956594} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {605DB07A-D60C-488E-B4ED-E492D44A3458} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {6C298250-6598-495B-A80A-D272F13F3B82} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C47E48AA-8E0D-4167-901F-75F1EC3C8E0D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D78D1B1E-F3F0-4049-A326-1F599920F561} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {E9EEE381-CB4E-4BDB-A5DB-F7A49B5FB908} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8D073577-24C3-4AE7-9F3D-209DA339AAD2} - System32\Tasks\Churektokatain Agent => C:\Program Files (x86)\Shepashkuderward\xprudom.exe [2017-03-06] (Glarysoft Ltd) Task: {FC9A4CDE-D146-4C59-B664-318B6E800855} - System32\Tasks\Dilerch Engine => C:\Program Files (x86)\Drarainganipition\xsohgh.exe [2017-03-06] (Glarysoft Ltd) C:\Program Files (x86)\Shepashkuderward C:\Program Files (x86)\Drarainganipition AlternateDataStreams: C:\ProgramData\TEMP:890CC2F3 [127] AlternateDataStreams: C:\ProgramData\TEMP:B449BECA [146] HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "KDXXRSLU12" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "NFYXAUY0YH" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "L5DG1X0EZY" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "7UN75BDMO6" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "WXRBX2DCD6" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "0TSE51TOHZ" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "0UKJWQG3XL" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "G6JYIKZ2BS" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "92EY39J2QI" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "17CXHBUUSZ" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "JX6EBTUEWP" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "BGA9X00WY8" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "3NE469LKVP" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "0734RUXOMV" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "560OH6FGBS" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "DYHRDL5N6G" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "VEYR6TGVKH" HKLM\...\Run: [&SIEdyupQx.exe] => C:\Users\Wojciech\AppData\Local\Temp\{8bc-62-90-194de-a3788-eb3c-eb662}\&SIEdyupQx.exe -r1_5 -r2_1 HKLM\...\RunOnce: [OMEWPRODUCT_XVOL7] => C:\Program Files (x86)\PubHotspot\O37KVU6GVHWXPDC.exe [547840 2017-03-06] (RU921WQ) HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [VEYR6TGVKH] => C:\Program Files (x86)\PubHotspot\9S5GV.exe [892416 2017-03-06] (RU921WQ) C:\Program Files (x86)\PubHotspot HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [OAV4DME9QP] => C:\Program Files\449WT2ALRA\449WT2ALR.exe [1070080 2017-03-06] (D) C:\Program Files\449WT2ALRA HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [VDJQCPATK5] => C:\Program Files\PJX1SZHGMK\PJX1SZHGM.exe [1070080 2017-03-06] (D) C:\Program Files\PJX1SZHGMK HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [CUERTFHGT4] => C:\Program Files\2F40TKKZ7W\2F40TKKZ7.exe [1051136 2017-03-06] (DQ8Z@DU) C:\Program Files\2F40TKKZ7W HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [T9KTUNJFV8] => C:\Program Files\OX4X14C6LM\OX4X14C6L.exe [1051136 2017-03-06] (DQ8Z@DU) C:\Program Files\OX4X14C6LM HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [O4YER3GF4P] => "C:\Program Files\J8FY3XHN82\J8FY3XHN8.exe" C:\Program Files\J8FY3XHN82 HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [4YXHAWJ5BB] => "C:\Program Files\FSML9AAB8E\FSML9AAB8.exe" C:\Program Files\FSML9AAB8E HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [POUQEIFA8K] => "C:\Program Files\KQLRU43QX0\KQLRU43QX.exe" C:\Program Files\KQLRU43QX0 HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [VOJFVJKGC3] => "C:\Program Files\9173FW30HX\9173FW30H.exe" C:\Program Files\9173FW30HX HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [C7ISVHDISR] => "C:\Program Files\OG7JWS5P6O\OG7JWS5P6.exe" C:\Program Files\OG7JWS5P6O HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [DZ8L8VFMFO] => "C:\Program Files\3JYU80I4UG\3JYU80I4U.exe" C:\Program Files\3JYU80I4UG HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [GRDFGBUERG] => "C:\Program Files\DZ8L8VFMFO\DZ8L8VFMF.exe" C:\Program Files\DZ8L8VFMFO HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [WUK1R8KDBF] => "C:\Program Files\IRUQF06XON\IRUQF06XO.exe" C:\Program Files\IRUQF06XO HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [F5Y1N4JRKH] => C:\Program Files\53U6WEHYYB\53U6WEHYY.exe [1055744 2017-03-06] (YY61M@T) C:\Program Files\53U6WEHYYB HKLM\...\Providers\thnlsb6c: C:\Program Files (x86)\Dilerch Engine\local64spl.dll C:\Program Files (x86)\Dilerch Engine ShellExecuteHooks: Brak nazwy - {18F9F110-FFD8-11E6-8FE5-64006A5CFC23} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {7F5D6A2C-FFD8-11E6-B984-64006A5CFC23} - C:\Users\Wojciech\AppData\Roaming\Coezoward\Vitersestekadom.dll -> Brak pliku C:\Users\Wojciech\AppData\Roaming\Coezoward ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-03-06] () C:\Program Files\żěŃą SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 huawei_wwanecm; \SystemRoot\System32\drivers\ew_juwwanecm.sys [X] 2017-03-06 08:19 - 2017-03-06 08:19 - 1120768 _____ () C:\Users\Wojciech\AppData\Roaming\Joy-Lex.exe 2017-03-06 08:19 - 2017-03-06 08:19 - 1892429 _____ () C:\Users\Wojciech\AppData\Roaming\Joy-Lex.tst 2017-03-06 08:20 - 2017-03-06 08:20 - 1938536 _____ () C:\Users\Wojciech\AppData\Roaming\Medhotstring.bin 2017-03-06 08:19 - 2017-03-06 08:19 - 0278510 _____ () C:\Users\Wojciech\AppData\Roaming\SilString.bin C:\Users\Wojciech\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Daum Potplayer-64 Bits.lnk C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Wojciech\AppData\Local CMD: dir /a C:\Users\Wojciech\AppData\LocalLow CMD: dir /a C:\Users\Wojciech\AppData\Roaming DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Wojciech\AppData\Local\Mozilla C:\Users\Wojciech\AppData\Roaming\Mozilla C:\Users\Wojciech\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Otwórz przeglądarkę Google Chrome, następnie przejdź do Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Dodaj Osobę, zaloguj się na nią, okno poprzedniego profilu zamknij > wejdź ponownie do Ustawień i skasuj wszystkie poprzednie osoby. Uwaga: ta operacja wymaże wszelkie dane z przeglądarki. 5. Zresetuj ustawienia przeglądarki Internet Explorer - KLIK. Uwaga: ta operacja wymaże wszelkie dane z przeglądarki. 6. Upewnij się, że AdwCleaner już niczego nie wykrywa. Jeśli wykrywa to wszystko daj do kasacji, a skan powtarzaj do wyniku zero infekcji. Dostarcz raport z tego działania. 7. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, zaktualizuj bazy sygnatur wirusów). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 8. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
woza77 Opublikowano 6 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2017 Zrobiłem jak napisałeś. Załączam pliki logów. Wszystko wydaje się być dobrze, ale sprawdź, bo może coś jeszcze zostało. WIELKIE DZIĘKI. JESTEŚ WIELKI!!! Addition.txt AdwCleaner.txt Fixlog.txt FRST.txt Malwarebytes.txt Odnośnik do komentarza
Miszel03 Opublikowano 6 Marca 2017 Zgłoś Udostępnij Opublikowano 6 Marca 2017 Nie wykonałeś pkt. 1 i znowu zapomniałeś o raporcie Shortcut. Nie napisałeś również czy udało się uruchomić deinstalator. P.S: O ile się nie mylę to widzę tutaj elementy lewych aktywatorów (czytaj cracków), to niebezpieczne twory. W miarę możliwość odwróć ich działanie i odinstaluj. Wygląda to już o wiele, wiele lepiej. Poprawki. 1. Włącz przywracanie systemu (poprzednio tego nie zrobiłeś, bo widzę w logach, że jest nadal wyłaczone). 2. Wszystkie zagrożenia wykryte przez Malwarebytes daj do kasacji. Dostarcz również raport z przeprowadzenia tego działania.3. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:C:\Program Files\1Z1JLLKAQMC:\Program Files\8GGBW6IWP4C:\Program Files\IRUQF06XONC:\Program Files (x86)\Churektokatain AgentHKLM\...\StartupApproved\Run: => "&SIEdyupQx.exe"HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "T9KTUNJFV8"HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "CUERTFHGT4"HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "VDJQCPATK5"HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "OAV4DME9QP"2017-03-06 08:19 - 2017-03-06 08:19 - 00000882 _____ C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk2017-03-06 08:21 - 2017-03-06 08:21 - 00000000 ____D C:\Users\Wojciech\AppData\Local\UCBrowser2017-03-06 08:18 - 2017-03-06 08:19 - 00000000 ____D C:\Users\Wojciech\AppData\Local\QefotojughtEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Poprzednia metoda coś zawiodła jeśli chodzi o modyfikacje profili, więc decyduję się na najprostszą metodę, czyli kompleksową reinstalację przeglądarki. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
woza77 Opublikowano 7 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2017 Albo coś robię nie tak albo jestem niedouczony i nie wiem gdzie uruchomić przywracanie systemu. Wywala mi błąd 0x80070015 i przerywa wykonanie kopi zapasowej. Chrome nie posiadam. Korzystam tylko z Opery i Edge. Skasowałem zagrożenia z kwarantanny w Malwarebytes. Przeskanowałem i było 0 zagrożeń. Wykonałem ostatni skrypt i także przeskanowałem FRST. Załączam raporty. Addition.txt Fixlog.txt malwarbytes obecnie.txt malwerebytes.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 8 Marca 2017 Zgłoś Udostępnij Opublikowano 8 Marca 2017 Albo coś robię nie tak albo jestem niedouczony i nie wiem gdzie uruchomić przywracanie systemu. Wywala mi błąd 0x80070015 i przerywa wykonanie kopi zapasowej. 1. Zrób raport z narzędzia Farbar Service Scanner i dodatkowo pokaż mi wygląd całego klucza odpowiedzialnego za usługę przywracania systemu. Uruchom SystemLook, w dużym, białym oknie wklej zawartość: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt następnie kliknij w Look. Dostarcz wynikowy raport. 2. Przeczytaj dokładnie jeszcze raz pkt. 5 mojego ostatniego posta i dostarcz to o co proszę (brak raportu FRST). Odnośnik do komentarza
woza77 Opublikowano 10 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2017 Witam. Wczoraj nie mogłem, bo praca i takie tam. Dzisiaj przesyłam. Addition.txt FRST.txt FSS.txt Shortcut.txt SystemLook.txt Odnośnik do komentarza
Miszel03 Opublikowano 14 Marca 2017 Zgłoś Udostępnij Opublikowano 14 Marca 2017 Usługa wygląda w porządku i nie mam pomysłu co z tym fantem zrobić. Reszta też OK. 1. Zróbmy weryfikacje plików systemowych. Z klawiatury + X > z menu wybierz pozycję Wiersz polecenia (administrator). W polu komend użyj: sfc /scanow Następnie kliknij ENTER, rozpocznie się skanowanie. Po jego ukończeniu użyj: findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt" Na pulpicie powstanie log SFC - dostarcz go. 2. Nie zauważyłem, że przeglądarka Google Chrome jest tylko szczątkowa. Podam skrypt usuwający, tylko muszę go znaleźć. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się