Msyoda Opublikowano 26 Czerwca 2017 Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 Witam, ostatnio formatowałem komputer i nie wiem skąd (zdarzyło Mi się to pierwszy raz) pojawiły się na komputerze i internecie złośliwe oprogramowanie, między innymi default-search oraz jakis VidSquare :/ Proszę o pomoc gdyż nie znam się na tym za dobrze. Używam przeglądarki Google Chrome. W załączniku wstawiam diagnostykę z FRST. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2017 Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 Mam pytanie, czy to oryginalny plik Addition.txt wyprodukowany przez FRST (i nie zapisywany ręcznie ponownie)? Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware WindowsTM. Następnie uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Online Application. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: R2 mptpmdxm; C:\Windows\system32\mptpmdxm.dll [479528 2017-06-22] () <==== UWAGA R2 TMService; C:\Program Files\WindowsTM\TMService.exe [242344 2017-06-22] (Smart Software, Inc.) <==== UWAGA S2 vVHwNKdxeWi8 Updater; C:\Program Files\vVHwNKdxeWi8 Updater\vVHwNKdxeWi8 Updater.exe [X] R1 cfidsk; C:\Windows\System32\drivers\cfidsk.sys [179240 2017-06-20] () R2 UefGdstor; C:\Windows\system32\drivers\UefGdstor.sys [195104 2016-08-23] () <==== UWAGA S2 {27AFBEDD-7BFE-45b5-B43B-98DB66D54A2D}; \??\C:\Windows\system32\drivers\TMKernel.sys [X] HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [{6AED9678-26AA-61FD-3994-F47F0CD7F266}] => C:\Program Files\Windows Loader\438641d2b06cdabf7e056667013abbd6.exe [156191 2017-01-09] () HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [YeaDesktop] => C:\Program Files\YeaDesktop\YeaDesktop.exe /autostart <==== UWAGA HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [85n-7çH5çq.exe] => C:\Program Files\vVHwNKdxeWi8\OTPYQ5I4DKIDPLC36431BACT\85n-7çH5çq.exe [196096 2017-06-22] () HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [ARPworks] => C:\Users\Wukong\AppData\Local\ARPworks\438641d2b06cdabf7e056667013abbd6.exe [156191 2017-01-09] () Tcpip\..\Interfaces\{692DD529-B8AA-44B8-A325-C4C3521849C6}: [NameServer] 82.163.142.8,95.211.158.136 Task: {946AC8F9-67AB-4868-A841-2264214BDC5D} - System32\Tasks\PPI Update => C:\Windows\explorer.exe "hxxp://insightcdn.online/download/index.php?mn=9995" Task: {9C30B21D-F168-4102-B1B5-91E00432C238} - System32\Tasks\Updater_Online_Application => C:\Program Files\Microleaves\Online Application\Online Application Updater.exe [2017-04-18] (Microleaves) <==== UWAGA Task: {A418945D-A61D-4B6A-9B2B-A8C8E9404113} - System32\Tasks\Online Application V2G1 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA Task: {FCFD761A-B09A-4FF2-8905-EB23126ADB3D} - System32\Tasks\Online Application V2G3 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA Task: {FF1CAB03-2F77-4719-94F6-BA0CA1C5D6C5} - System32\Tasks\Online Application V2G2 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA WMI_ActiveScriptEventConsumer_ASEC: <==== UWAGA ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/ C:\Program Files\mgdisk C:\Program Files\Microleaves C:\Program Files\Norton Internet Security C:\Program Files\pccleanplus C:\Program Files\Temp C:\Program Files\vVHwNKdxeWi8 C:\Program Files\Windows Loader C:\Program Files\WindowsTM C:\Program Files\YeaDesktop C:\ProgramData\Microleaves C:\ProgramData\Norton C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mgdisk C:\ProgramData\Microsoft\Windows\Start Menu\WindowsTM C:\Users\Wukong\AppData\Local\AdvinstAnalytics C:\Users\Wukong\AppData\Local\ARPworks C:\Users\Wukong\AppData\Local\CrashRpt C:\Users\Wukong\AppData\Roaming\Microleaves C:\Users\Wukong\AppData\Roaming\UCChannel C:\Users\Wukong\AppData\Roaming\vnlgp C:\Users\Wukong\Downloads\Registry_Activation C:\Users\Wukong\Downloads\WiperSoft-installer.exe C:\Users\Wukong\Downloads\WiperSoft-installer (1).exe C:\Users\Public\Documents\XMUpdate C:\Windows\system32\*.tmp C:\Windows\system32\mptpmdxm.dll C:\Windows\system32\Drivers\cfidsk.sys StartBatch: ipconfig /flushdns netsh advfirewall reset EndBatch: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Msyoda Opublikowano 27 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Zrobione z tego co widzę to już nie ma pojawiających się stron oraz szybciej chodzi komputer FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Nie zostały usunięte dwa elementy w usługach / sterownikach. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R2 mptpmdxm; C:\Windows\system32\mptpmdxm.dll [479528 2017-06-22] () <==== UWAGA R2 UefGdstor; C:\Windows\system32\drivers\UefGdstor.sys [195104 2016-08-23] () <==== UWAGA C:\Users\Public\Documents\XMUpdate C:\Windows\system32\mptpmdxm.dll C:\Windows\system32\drivers\UefGdstor.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Przejdź w tryb awaryjny Windows. Uruchom FRST i klik w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu, opuść tryb awaryjny. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Msyoda Opublikowano 27 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Zrobione. Wyniki w załącznikach. Coś jeszcze ? Adware wykrył 26 zagrożeń, lecz nie klikałem oczyść by nic nie zepsuć xD. Nie wiem czy dobry plik AdwCleanera załączam mam nadzieje, że tak. Fixlog.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 AdwCleaner wykrył drobne odpadki adware w rejestrze. Uruchom program ponownie, tym razem zastosuj sekwencję Skanuj + Oczyść i dostarcz log wynikowy z czyszczenia. Odnośnik do komentarza
Msyoda Opublikowano 28 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2017 Zrobione. AdwCleanerC0.txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2017 Zgłoś Udostępnij Opublikowano 3 Lipca 2017 Kończymy: 1. Zastosuj DelFix, by usunąć narzędzia i ich kwarantanny. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj stare niebezpieczne wersje Adobe, jeśli potrzebne zainstaluj nowe. Link do Adobe Reader również w w/w przyklejonym. ==================== Zainstalowane programy ====================== Acrobat.com (HKLM\...\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1) (Version: 1.1.377 - Adobe Systems Incorporated) Adobe AIR (HKLM\...\Adobe AIR) (Version: 1.0.4990 - Adobe Systems Inc.) Adobe Reader 9 (HKLM\...\{AC76BA86-7AD7-1033-7B44-A90000000001}) (Version: 9.0.0 - Adobe Systems Incorporated) Odnośnik do komentarza
Rekomendowane odpowiedzi