markym Opublikowano 20 Marca 2015 Zgłoś Udostępnij Opublikowano 20 Marca 2015 Po nieopatrznym udostępnieniu kilkunastoletniej latorośli pc na kilka dni bez należytej opieki rodzicielskiej zauważyłem jakiegoś Search protect koło zegara i ogólnie pcet troszkę przymula. Coś pościągał ale oczywiście nie wie co i skąd :angry: zauważyłem też że avast raz wyświetlił jakąś dziwną ikonkę o bezpiecznej linii ?? - nigdy tego wcześniej nie widziałem pcet działa na starym ale jarym xp, przesyłam logi i czekam na pomysły i rady z góry dzięki za pomoc m Addition.txt FRST.txt Shortcut.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 20 Marca 2015 Zgłoś Udostępnij Opublikowano 20 Marca 2015 Układ adware pasuje do "Asystenta pobierania" któregoś portalu (mógł być to portal dobreprogramy.pl): KLIK. Są też ślady korzystania z serwisu Instalki.pl (modyfikacja strony Nowej karty w IE), ale wydaje się że to odrębna sprawa. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158816 2015-03-10] (XTab system) R2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe [493712 2015-03-19] (SysTool PasSame LIMITED) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-1390067357-583907252-842925246-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKU\S-1-5-21-1390067357-583907252-842925246-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {3E11A34D-CD50-4A89-82BA-571B0AB8EB7C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll [2015-03-10] (Thinknice Co. Limited) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\MM\Dane aplikacji\Mozilla\Firefox\Profiles\jr22v0pi.default-1367269415453\extensions\searchengine@gmail.com FF HKLM\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Documents and Settings\MM\Dane aplikacji\Mozilla\Firefox\Profiles\jr22v0pi.default-1367269415453\extensions\istart_ffnt@gmail.com C:\Documents and Settings\All Users\Dane aplikacji\IHProtectUpDate C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\MM\FIX.REG C:\Documents and Settings\MM\Dane aplikacji\do-search C:\Program Files\Mozilla Firefox\plugins C:\Program Files\XTab C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\do-search uninstall" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
markym Opublikowano 21 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 21 Marca 2015 niestety praca frst została przerwana wyświetliło to co jet w miniaturze przesyłam też tego fixloga który sie zrobił Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 22 Marca 2015 Zgłoś Udostępnij Opublikowano 22 Marca 2015 Fix uruchomiłeś dwa razy - skrypty są jednorazowe, prawie wszystko już zostało zrobione w pierwszym podejściu, mimo błędu. Wg zawartości Fixlog FRST odmawia posłuszeństwa, gdy ma przejść do czyszczenia Tempów. 1. Kolejne podejście. Otwórz Notatnik i wklej w nim: CloseProcesses: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Ma nastąpić restart (opuść Tryb awaryjny) i powstać kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
markym Opublikowano 22 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2015 witam 1 zrobiłem Fix za pomocą FRST w trybie awaryjnym - log poniżej 2 Zrobiłem Scan za pomocą FRST - log poniżej 3 Wykonałem pkty 3 i 4 z postu nr 2 dotyczące FF i Chrome 4 Search protect zniknął 5 Komp wciąż wydaje się przymulony - Firefoxa uruchamia 45 sekund !, aczkolwiek po uruchomieniu działa on płynnie 6 Czy trzeba coś działać w tym temacie "Układ adware pasuje do "Asystenta pobierania" któregoś portalu (mógł być to portal dobreprogramy.pl): KLIK. Są też ślady korzystania z serwisu Instalki.pl (modyfikacja strony Nowej karty w IE), ale wydaje się że to odrębna sprawa." ? Fixlog.txt FRST.txt Odnośnik do komentarza
markym Opublikowano 27 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2015 czy w związku z wykonanym Gmer'em i następującą informacją (zrzut g1) mam wykonac "By naprawić usterkę, wystarczy z prawokliku odinstalować kanał na którym wykryto PIO i zresetować system."? czyli odinstalowac prawoklikiem ten podswietlony kanał? (zrzut g2) pytam bo nie chcę czegoś spierniczyc - jak go odinstaluję to np nie zniknie mi cały dysk rozumiem ze reset przywraca poprawne ustawienia btw czekam na odpowiedz na poprzedniego posta pzdro m Odnośnik do komentarza
cyrkiel85 Opublikowano 28 Marca 2015 Zgłoś Udostępnij Opublikowano 28 Marca 2015 Dobrze rozumiesz, powinno przywrócić poprawne ustawienie. Na pewno nie zniknie Ci dysk Odnośnik do komentarza
markym Opublikowano 28 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2015 thanx cyrkiel - działam Odnośnik do komentarza
markym Opublikowano 1 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2015 ok dysk nie zninął i komp działa szybciej ale wciąż czekam na odpowiedź na post nr 5, a szczególnie na pkt 6 ww posta czyżby wszyscy byli zajęci porządkami przedświątecznymi i nie mają czasu zerknąć na posty? Odnośnik do komentarza
zebord37 Opublikowano 3 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2015 Latorośli każ nic nie instalować bez twojej obecności na własnym sprzęcie - pkt 6 (moja porada) Odnośnik do komentarza
markym Opublikowano 3 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2015 takoż miał przykazane ale niesubordynowany jest mocno - taki wiek Odnośnik do komentarza
markym Opublikowano 12 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Kwietnia 2015 wciąż czekam na odpowiedź na post nr 5, a szczególnie na pkt 6 ww posta Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2015 Jeśli chodzi o czyszczenie z adware, to teraz: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner. ok dysk nie zninął i komp działa szybciej ale wciąż czekam na odpowiedź na post nr 5, a szczególnie na pkt 6 ww posta Widzę tu sprzeczność, skoro wykonałeś zadanie deinstalacji kanału i PIO zmieniło się w DMA, cały post numer 6 jest nieaktualny... czyżby wszyscy byli zajęci porządkami przedświątecznymi i nie mają czasu zerknąć na posty? W dziale malware, w przeciwieństwie do innych działów forum, pomocy mogą udzielać tylko autoryzowane osoby, w zasadach działu jest napisane kto, konkretnie tylko dwie osoby. A że delikwent Landuss jest nieobecny na forum od ponad roku bez żadnego powiadomienia (sic!), zostałam z tym sama na lodzie. Jeśli jestem nieobecna / niezdolna odpowiedzieć, odpowiedź nie nadchodzi. Ostatnio nie jestem w dobrej formie, ciągną się za mną pewne kłopoty ze zdrowiem, od końcówki 2013. Odnośnik do komentarza
markym Opublikowano 18 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 18 Kwietnia 2015 Szanowna Pani Przesyłam log (mam nadzieję że o taki chodziło - bo uruchomiłem tego skana, czekałem z pół godziny a program pokazywał tylko "Waiting for action. Please uncheck elements you want to keep." No chyba że byłem zbyt niecierpliwy) Odnośnie Twej uwagi "Widzę tu sprzeczność, skoro wykonałeś zadanie deinstalacji kanału i PIO zmieniło się w DMA, cały post numer 6 jest nieaktualny..." chciałbym zauważyć że chodziło o pkt 6 postu nr 5, który brzmiał "6 Czy trzeba coś działać w tym temacie "Układ adware pasuje do "Asystenta pobierania" któregoś portalu (mógł być to portal dobreprogramy.pl): KLIK. Są też ślady korzystania z serwisu Instalki.pl (modyfikacja strony Nowej karty w IE), ale wydaje się że to odrębna sprawa." ?" i mam wrażenie że ten AdwCleaner właśnie tym się zajmuje (no offence taken ) thank you from the mountain m ps mam nadzieję że ze zdrówkiem lepiej - bo zdrówko mamy tylko jedno AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 20 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 20 Kwietnia 2015 "6 Czy trzeba coś działać w tym temacie "Układ adware pasuje do "Asystenta pobierania" któregoś portalu (mógł być to portal dobreprogramy.pl): KLIK. Są też ślady korzystania z serwisu Instalki.pl (modyfikacja strony Nowej karty w IE), ale wydaje się że to odrębna sprawa." ?" (...) i mam wrażenie że ten AdwCleaner właśnie tym się zajmuje To był tylko komentarz ogólny, a widoczne wpisy w logu, w tym wpisy portalu Instalki, już dawno zostały przetworzone w Fixie FRST. AdwCleaner nie zajmuje się konkretnie polskimi Asystentami tylko skutkami ich działania, ale w niekompletnym zakresie. Co wykrył: szczątki adware, w tym stare, niektóre niekoniecznie pochodzą od "Asystentów". Kolejna porcja czynności: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres do-search.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy do-search.com. 2. Dopiero po tych akcjach uruchom ponownie AdwCleaner i wybierz opcje Szukaj + Usuń, dostarcz wynikowy log AdwCleanerS0.txt. Odnośnik do komentarza
markym Opublikowano 10 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2015 Dear Picasso, pkt 1 wykonano pkt 2 wykonano - log attached jakieś dalsze akcje? pzdro m AdwCleanerS0.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się