pjeruk Opublikowano 26 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2017 Witam, przy instalacji programów niestety natknąłem się na jakiegoś wirusa i od tego czasu mam problem z licznymi przekierowywaniami(21.08) do różnych dziwnych stron, głownie reklamy itd. Malwarebytes skutecznie je blokuje, ale tak czy siak pasowałoby się tego pozbyć. ADWCleaner pokazuje ciągle jedno wykryte zagrożenie lecz niestety nie jest wstanie go usunąć. Próbowałem reinstalować chroma i zresetować ustawienia, ale to również nic nie dało. Dołączam logi i proszę o pomoc. Edit. Dodam że przekierowywania również występują w przeglądarce na steamie, może to coś pomoże. FRST.txt Addition.txt AdwCleanerC5.txt Odnośnik do komentarza
jessica Opublikowano 26 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2017 1. Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: RemoveDirectory: C:\Program Files (x86)\YeaDesktop RemoveDirectory: C:\Users\Pjeruk\AppData\Local\Microsoft\TaskPlay ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ContextMenuHandlers1: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File ContextMenuHandlers6: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> No File <==== ATTENTION Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> No File <==== ATTENTION Task: {2077CDFB-E983-411A-8871-4DDFB24CC787} - System32\Tasks\{E2A0D7B5-CF6E-4195-B01B-D74E5B0FE54F} => C:\Windows\system32\pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_17_0_0_190_Plugin.exe -c -maintain plugin Task: {385F5F17-E35F-439F-9DF7-035027BBB4AA} - System32\Tasks\{24EC6635-04CA-4656-80A2-7CAB131AD7A9} => rundll32.exe "C:\Users\Pjeruk\AppData\Local\Microsoft\TaskPlay\caches.dat",StaticCache Task: {3C270B3F-5352-4087-8358-ED05DAC987C7} - System32\Tasks\{AFC2BF7D-BB52-42AC-8505-CCEE0D465A8B} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\YeaDesktop\BearUnInstall.exe" Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> No File <==== ATTENTION Task: {7D36B294-0D88-4C3E-AE11-3DFFF696AC29} - System32\Tasks\{397B38DA-E238-4411-BC57-76FF4C675DFD} => C:\Windows\system32\pcalua.exe -a C:\Users\Pjeruk\Downloads\ignition\ignition\SETUP.EXE -d C:\Users\Pjeruk\Downloads\ignition\ignition Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> No File <==== ATTENTION Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> No File <==== ATTENTION Task: {E3276ECC-7EE2-4052-A1F2-C90E45DDC56E} - System32\Tasks\{AFD8786D-F746-46B2-B6AE-1A6F1CCDA72C} => C:\Windows\system32\pcalua.exe -a "E:\Gta\SA-MP - San Andreas Multiplayer 0.3.7 [1].exe" -d E:\Gta HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 2017-08-21 18:00 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\zla0nz04gh4 2017-08-21 17:59 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\hpnqo1wlfs3 2017-08-21 17:58 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\czbgr5tkqlz 2017-08-21 17:58 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\a4e3exeydm5 2017-08-21 17:58 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\50apdqtiqzb 2017-08-21 17:55 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\itf05c12nqx 2017-08-21 17:55 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\iceyupgb4st 2017-08-21 17:55 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\5umud1luvqv 2017-08-21 17:55 - 2017-08-21 16:39 - 001954304 ___SH (Micrasaft Carparation) C:\Windows\C_iRUX.dat 2017-08-21 17:54 - 2017-08-21 17:55 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\chroma 2017-08-21 17:30 - 2017-08-21 17:30 - 000140800 _____ C:\Users\Pjeruk\AppData\Local\installer.dat 2017-08-06 17:54 - 2017-08-06 17:54 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\baidu 2017-08-06 17:54 - 2017-08-06 17:54 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\360se6 2015-10-06 19:06 - 2015-10-06 19:06 - 000000057 _____ () C:\ProgramData\Ament.ini HOSTS: EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). 2. Zrób nowe logi FRST - przed skanem zaznacz: Additional.txt Shortcut.txt, jessi Odnośnik do komentarza
pjeruk Opublikowano 26 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2017 Dziękuję za szybko odpowiedź, w załączniku nowe logi. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 26 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2017 Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: FF Plugin-x32: @haitao.com/npHaitaoPlugin -> C:\Users\Pjeruk\AppData\Local\htyh\application\htwebHelper.dll [No File] EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Wg mnie - powinno już być OK. jessi Odnośnik do komentarza
pjeruk Opublikowano 26 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2017 Niestety przekierowywania dalej występują zarówno w przeglądarce jak i na steamie. ADWCleaner ciągle znajduje ten sam plik oraz rejestr. AdwCleanerC0.txt RaportMalwarebytes.txt Odnośnik do komentarza
jessica Opublikowano 26 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2017 Deleted: [Data] - HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces| [208.67.222.222,208.67.220.220] To są OpenDNS. Ale rzeczywiście u Ciebie nie są potrzebne, bo korzystasz z 192.168.0.1 - 192.168.0.2 1. Uruchom FRST. W polu Szukaj wklej: liveadexchanger.com Kliknij na przycisk Szukaj Plików. Raport z tego będzie tam, gdzie jest FRST. 2. Uruchom FRST. W polu Szukaj wklej: liveadexchanger Kliknij na przycisk Szukaj w Rejestrze. Raport z tego będzie tam, gdzie jest FRST. jessi Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2017 Skoro problem jest zarówno w Chrome jak i Steam, to przyczyna nie jest w obszarze przeglądarki i być może właśnie DNS i/lub jego bufor to clou. A Firefox tu w ogóle nie jest zainstalowany, więc Fix z posta #4 nie miał żadnego znaczenia. Kolejna sprawa to dużo domyślnych usług Windows bez podpisu cyfrowego: S3 AxInstSV; C:\Windows\System32\AxInstSV.dll [111104 2014-10-29] (Microsoft Corporation) [File not signed] S3 EFS; C:\Windows\system32\efssvc.dll [41472 2014-10-29] (Microsoft Corporation) [File not signed] S3 fhsvc; C:\Windows\system32\fhsvc.dll [121856 2014-10-29] (Microsoft Corporation) [File not signed] S4 SCardSvr; C:\Windows\System32\SCardSvr.dll [194048 2014-10-29] (Microsoft Corporation) [File not signed] S3 ScDeviceEnum; C:\Windows\System32\ScDeviceEnum.dll [131072 2014-10-29] (Microsoft Corporation) [File not signed] S3 SCPolicySvc; C:\Windows\System32\certprop.dll [156160 2014-10-29] (Microsoft Corporation) [File not signed] R2 Winmgmt; C:\Windows\system32\wbem\WMIsvc.dll [230400 2014-10-29] (Microsoft Corporation) [File not signed] S3 WinRM; C:\Windows\system32\WsmSvc.dll [2608640 2014-10-29] (Microsoft Corporation) [File not signed] S3 wlidsvc; C:\Windows\system32\wlidsvc.dll [1639424 2014-10-29] (Microsoft Corporation) [File not signed] S3 wmiApSrv; C:\Windows\system32\wbem\WmiApSrv.exe [201728 2014-10-29] (Microsoft Corporation) [File not signed] 1. Z klawiatury klawisz z flagą Windows + X > Połączenia sieciowe > Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na połączenie > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Z klawiatury klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep komendę sfc /scannow i ENTER. Gdy skan zostanie ukończony: 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: ipconfig /flushdns netsh advfirewall reset findstr /c:"[SR]" %windir%\logs\cbs\cbs.log EndBatch: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" EndRegedit: BootExecute: sdnclean64.exe SearchScopes: HKLM-x32 -> DefaultScope value is missing StartMenuInternet: IEXPLORE.EXE - iexplore.exe ContextMenuHandlers2: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File HKLM\...\StartupApproved\Run32: => "HP Software Update" HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui" DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Pjeruk\AppData\Local\Mozilla C:\Users\Pjeruk\AppData\Roaming\Mozilla C:\Windows\System32\config\systemprofile\appdata\local\installationconfiguration.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart Przedstaw wynikowy fixlog.txt. I wypowiedz się czy problem przekierowań nadal występuje. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się