Madara Opublikowano 24 Marca 2017 Zgłoś Udostępnij Opublikowano 24 Marca 2017 Witam, Od jakiegoś czasu pojawiła mi się wyszukiwarka secure search, no i oczywiście przekierowywanie na różne strony typu bet at home i mymailblackxyz.. Z góry dziękuję za pomoc gmer.txt Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 24 Marca 2017 Zgłoś Udostępnij Opublikowano 24 Marca 2017 Brakuje trzeciego obowiązkowego raportu Shortcut genrowanego przez FRST - dołącz go. Odnośnik do komentarza
Madara Opublikowano 24 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2017 Zapomniałem zaznaczyć shortcut.txt. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 24 Marca 2017 Zgłoś Udostępnij Opublikowano 24 Marca 2017 W systemie widać infekcję adware, czyli m.in szkodliwe proxy, fałszywą przeglądarkę Google Chrome (a właściwie jej klona) i wiele więcej. Raczej szybko się z tym uporamy. Dość alarmujące jest to, że jest to drugi praktycznie identyczny przypadek na forum dziś i ja myślę, że zażarliście się z jednego źródła. Może Dobreprogramy? Jakieś cracki? Do poczytania: KLIK. 1. Spróbuj uruchomić ten plik deinstalacyjny: C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3682431006-442575408-3611827903-1000_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3682431006-442575408-3611827903-1000_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe => Brak pliku Task: {2F6551CE-3207-4D15-BB92-69B1A5F0F040} - System32\Tasks\{499C3D60-B08F-41BF-978A-50B4292B8AF3} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {07841A49-A64F-4790-A39C-5BF5A10C5AA8} - \YTAUpdate -> Brak pliku Task: {1D9F251B-5C37-4CD8-BA0F-9A3EFC27458F} - \YTAHelper -> Brak pliku Task: {A6B03982-0420-4F59-94F9-CDB6F02DE043} - \YTAUpdate_logon -> Brak pliku ShortcutWithArgument: C:\Users\UserPC\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list C:\Users\UserPC\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [116] AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [114] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-3682431006-442575408-3611827903-1000\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia AutoConfigURL: [s-1-5-21-3682431006-442575408-3611827903-1000] => hxxp://noblok.org/wpad.dat?06159ede6e6474357a54b6b3d50aa77d26699038 ManualProxies: 0hxxp://noblok.org/wpad.dat?06159ede6e6474357a54b6b3d50aa77d26699038 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> Brak pliku S3 HidNt; system32\DRIVERS\HIDNt.sys [X] S3 Mac606; system32\DRIVERS\Mac606.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] U3 ugrdapog; \??\C:\Users\UserPC\AppData\Local\Temp\ugrdapog.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2010 - Polski\Migracja ustawień niestandardowych\Migracja z poprzedniej wersji.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2010\Migrate Custom Settings\Export AutoCAD 2010 Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2010\Migrate Custom Settings\Import AutoCAD 2010 Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2010\Migrate Custom Settings\Migrate From a Previous Release.lnk C:\Users\UserPC\AppData\Roaming\Autodesk\AutoCAD 2010\R18.0\plk\Plotters\Dodaj ploter.lnk C:\Users\UserPC\AppData\Roaming\Autodesk\AutoCAD 2010\R18.0\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk C:\Users\UserPC\AppData\Roaming\Autodesk\AutoCAD 2010\R18.0\enu\Plotters\Add-A-Plotter Wizard.lnk C:\Users\UserPC\AppData\Roaming\Autodesk\AutoCAD 2010\R18.0\enu\Plotters\Plot Styles\Add-A-Plot Style Table Wizard.lnk CMD: netsh winsock reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść oraz zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą lub inną przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. Skromnie sugeruję by wybrać Google Chrome właśnie. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). program uruchamiający aplikacje chrome Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Madara Opublikowano 24 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2017 nie mogę usunąć youtube accelerator ponieważ wyskakuje że jest używany przez avast Odnośnik do komentarza
Madara Opublikowano 24 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2017 Przesyłam to co miałem przesłać, jedank dalej nie mogę usunąć youtube accelerator Addition.txt Fixlog.txt FRST.txt SearchReg.txt Shortcut.txt AdwCleanerS3.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Marca 2017 Zgłoś Udostępnij Opublikowano 25 Marca 2017 Skoro taki błąd wystąpił to dobrze, że pominąłeś - to i tak była tylko szczątka. Cześć wykonana pomyślnie, a cześć nie. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Uruchom wiersz poleceń CMD jako administrator, w oknie komend wklej: netsh winsock reset i kliknij ENTER. Po tym zabiegu uruchom ponownie system. 3. Zrób log FRST już bez Addition i Shortcut w celu oceny. Podsumuj obecny stan systemu. Odnośnik do komentarza
Madara Opublikowano 25 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2017 Przesyłam FRST log FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Marca 2017 Zgłoś Udostępnij Opublikowano 26 Marca 2017 Wygląda na to, że jest OK. Podsumuj sytuację z Twojej strony. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się