dareko1 Opublikowano 26 Czerwca 2017 Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 Witam Picasso i innych z searchengines .Mam nadzieję że to forum obejdzie się bez problemów , które miały tam miejsce dla moderatorów .Mam komputer siostry i problem a mianowicie , zamiast strony google otwiera się wyszukiwarka Rambler google poza tym jeżeli chcę otworzyć jakikolwiek link ze strony najpierw otwiera się jakaś dziwna i niechciana inna strona internetowa .W załączniku odpowiednie logi Proszę o pomoc co to tam się poinstalowało Addition.txt FRST.txt Shortcut.txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2017 Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj niepożądany program ByteFence Anti-Malware oraz stare wersje Adobe AIR, Adobe Flash Player 24 PPAPI, Adobe Flash Player ActiveX. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware ExUptN. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /s HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA Winlogon\Notify\igfxcui: igfxdev.dll [X] DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\rxsmznjf.zcp C:\ProgramData\mntemp C:\ProgramData\SWCUTemp C:\Users\Kamila\Documents\mama\Monia\dental\ProDentis.lnk C:\Users\Kamila\Documents\mama\Games\The Sims™ 3 Zwierzaki.lnk C:\Users\Monika\AppData\Local\{C9950558-E853-4BB2-9F4E-81AB11D88FED} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy przekierowania nadal mają miejsce. Odnośnik do komentarza
dareko1 Opublikowano 26 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 Przekierowań nie ma - otwiera strony takie jakie chcę aby otwierał .Logi po działaniach w załącznikach Fixlog.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2017 Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 Wszystko pomyślnie usunięte, z wyjątkiem blokady Windows Defender (ona jakoby została usunięta, a znów w logu widoczna). Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /s HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA DeleteQuarantine: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
dareko1 Opublikowano 26 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 nowy plik Fixlog Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2017 Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 Dotychczas było tu sprawdzene konto Monika, ale jest jeszcze Kamila. Jeśli jest dostęp do tego konta, to zresetuj komputer (by odładować gałąź obecnego konta), zaloguj się na Kamilę i z tego poziomu zrób nowe raporty FRST (FRST.txt + Addition.txt, bez Shortcut). Odnośnik do komentarza
dareko1 Opublikowano 26 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 Logi z konta Kamila Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Ta blokada Windows Defender znowu widoczna, prawdopodobnie jest powiązana z obecnością Avast. Natomiast jeśli chodzi o wpisy relatywne do konta Kamila, to drobne śmieci do usunięcia: 1. Przez Panel sterowania odinstaluj WarThunder, to podróbka adware tworząca skróty uruchamiające adres monetyzacji "mmotraffic.com". 2. Po deinstalacji upewnij się, że zniknęły te elementy z dysku: C:\Users\Kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Kamila\AppData\Roaming\WarThunder 3. Przez SHIFT+DEL (omija Kosz) usuń z obu kont pobrany FRST i jego logi, oraz katalog C:\FRST. 4. Wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
dareko1 Opublikowano 27 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 ok zrobione .Czy wstawiać jeszcze jakieś logi czy też można uznać sprawę za zakończoną sukcesem ( jak zawsze ) Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Nie prosiłam o nowe raporty. To wszystko. Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi