Rucek Opublikowano 9 Marca 2018 Zgłoś Udostępnij Opublikowano 9 Marca 2018 Dzień dobry Starszy lapek, dosyć mocno zamulał. Przeglądarka IE nie chciała ściągać plików (np. Firefoxa) więc coś z nią jest nie tak, pewnie uszkodzona/adware.- Kaspersky w raporcie ma pozostałości po jakimś AdWare: not-a-virus:AdWare.win32.DealPly.heur plus Trojan.Script.Generic. - oba nieaktywne już, usunięte.- AdwCleaner znajduje kilka śmieci (log w załączniku) i potwierdza problem z IE- Malwarebytes też znajduje trochę śmieci (log w załączniku).Póki co wywaliłem pliki tymczasowe za pomocą FRST.Odinstalowałem kilka śmieci.Powywalałem część zbędnych usług i obciążeń. Trochę ruszył.Proszę o pomoc w doczyszczeniu z tego co zbędne FRST.txt Addition.txt Shortcut.txt AdwCleanerS0.txt malwarebytes.txt Odnośnik do komentarza
Miszel03 Opublikowano 9 Marca 2018 Zgłoś Udostępnij Opublikowano 9 Marca 2018 Rucek, skoro zacząłeś od skanu antywirusowego, to szkoda byłoby go marnować. 1. Zweryfikowałem detekcje obu skanerów, w tym przypadku AdwCleaner pokrywa w całości również Malwarebytes. Całość to komponenty odpadkowe - nie zrobią więc bałaganu usuwane metodą siłową. Dla wszystkich detekcji AdwCleaner zastosuj akcję Oczyść. Powtórz skan dla potwierdzenia wyniku zero detekcji. 2. Po tych zabiegach dostarcz log: z dezynfekcji AdwCleanerC0 oraz drugiego skanu potwierdzającego AdwCleanerS1, a także nowy zestaw raportów FRST. Odnośnik do komentarza
Rucek Opublikowano 9 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2018 Done, poszło chyba za 3 razem. AdwCleaner wywalił wszystko i już nic więcej nie znajduje. Logi: AdwCleanerC01.txt AdwCleanerC02.txt AdwCleanerS2.txt AdwCleanerS03.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 9 Marca 2018 Zgłoś Udostępnij Opublikowano 9 Marca 2018 Operacja pomyślnie wykonana. Przechodzimy do doczyszczeń. Przeprowadź następujące akcje: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\postgres.KaC-Komputer\Desktop\Bridge Master 2000.lnk C:\Users\postgres\Desktop\PokerTracker 3.lnk C:\Users\KaC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\f966724577ef19eb\PokerStars.EU.lnk C:\Users\KaC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KGS Online\CGoban 3.lnk C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pandanet IGS\GoPanda.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rodos 2010\Uaktualnij Rodos 2010.lnk C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DragonRoomGrandPoker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bridge Base Inc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDA-glGo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerTracker 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452609464&z=0b2f228cecc2316c38a99c2gfz1w5oaqee4t5zawft&from=ient12253&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452609464&z=0b2f228cecc2316c38a99c2gfz1w5oaqee4t5zawft&from=ient12253&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1014 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1159 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] R2 postgresql-8.4; c:/postgreSQL/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "c:/postgreSQL/data" -w [X] S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 sxuptp; system32\DRIVERS\sxuptp.sys [X] CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Powtórz całościowy skan Malwarebytes. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Rucek Opublikowano 10 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2018 - Skrypt wykonany.- Co do IE - dopisuję dwie spacje, ale jak ponownie wejdę to już robi się z dwóch - jedna spacja, wyglada to teraz dokładnie tak:"C:\Program Files\Internet Explorer\iexplore.exe" -extoff- MBAM nadal coś znajduje, log poniżej. Komp generalnie po tych moich i Twoich akcjach działa już znacznie szybciej Fixlog.txt MBAM.txt Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Marca 2018 Zgłoś Udostępnij Opublikowano 12 Marca 2018 - Co do IE - dopisuję dwie spacje, ale jak ponownie wejdę to już robi się z dwóch - jedna spacja, wyglada to teraz dokładnie tak: "C:\Program Files\Internet Explorer\iexplore.exe" -extoff Tak i ja w raporcie widzę to samo: ShortcutWithArgument: C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> -extoff ...ale nie wiem dlaczego tak się dzieję. Utworzymy ten skrót od nowa. - MBAM nadal coś znajduje, log poniżej. PUP.Optional.YourSites123.ShrtCln, PUP.Optional.Qone8, PUP.Optional.StartPage - odpadkowe elementy wyszukiwarek adware. Końcowe poprawki: 1. Zagrożenia wykryte przez Malwarebytes zadaj do kasacji. 2. Przeprowadź akcje odnowy argumentu skrótu IE. Skasuj skrót C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk. W lokalizacji C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools utwórz skrót o nazwie Internet Explorer (No Add-ons).lnk z elementem docelowym: "C:\Program Files\Internet Explorer\iexplore.exe" -extoff 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut w celu oceny. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Rucek Opublikowano 15 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2018 - MBAM - usuniete, juz nic wiecej nie znajduje - IE - 2 razy robiłem wg instrukcji, nadal jest 1 spacja z tego co widzę. - Logi poniżej. FRST.txt Addition.txt Shortcut.txt MBAM.txt Odnośnik do komentarza
Miszel03 Opublikowano 24 Marca 2018 Zgłoś Udostępnij Opublikowano 24 Marca 2018 Raporty wyglądają już OK. Jak podsumowujesz obecną sytuację? - IE - 2 razy robiłem wg instrukcji, nadal jest 1 spacja z tego co widzę. Tak, ale wydaję mi się, że ten argument zostanie poprawnie odczytany. Odnośnik do komentarza
Rucek Opublikowano 24 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2018 Dużo dużo lepiej Dzięki wielkie. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi