BigKonrad Opublikowano 29 Września 2016 Zgłoś Udostępnij Opublikowano 29 Września 2016 Witam, a więc mam takowy problem, że ostatnio zaczeły mi wyskakiwać reklamy typu pop-up lub otwierały się samoczynnie nowe karty w przeglądarce z różnymi stronami hazardowymi itp. Raz nawet pop-up wyskoczył w aplikacji Steam. Problem dotyczy także wyszukiwarki w Chromie. Non stop po otwarciu przeglądarki wyskakują mi wyszukiwarki inne niż Google np. Dozensearch, nawet po zmianie ustawień. Z góry dziękuję za pomoc Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2016 Zgłoś Udostępnij Opublikowano 30 Września 2016 Dużo elementów adware aktywnych. Poza tym, adware wstawiło dwie fałszywe przeglądarki imitujące Google Chrome i Firefox. Jest tu klon Chrome Bossseed z wbudowanym adware, który przejął wszystkie ustawienia Google Chrome. Jako domyślna przeglądarka jest z kolei ustawiony fałszywy Firefox. Wszystkie skróty "Firefox" i "Google Chrome" kierują do falsyfikatów. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 BossseedP; C:\ProgramData\Bossseed\Bossseed.exe [363904 2016-09-23] () R2 Hkhlp; C:\Program Files (x86)\Common Files\Apps\Hkhlp.dll [281600 2016-09-20] () [brak podpisu cyfrowego] R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [419048 2016-09-20] () S4 W3PCC; C:\ProgramData\Sun\Java\extension.dll [340480 2016-09-25] () [brak podpisu cyfrowego] R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [448216 2016-09-23] () S2 CornerSunshineSvc; "C:\Program Files (x86)\Corner Sunshine\CornerSunshineSvc.exe" {8A712DBD-E08B-4D5C-839D-1B9C185FE769} [X] S3 MSICDSetup; \??\G:\CDriver64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] U3 fwkdapog; \??\C:\Users\Konrad\AppData\Local\Temp\fwkdapog.sys [X] Task: {512B3E8D-21AD-4765-ADFC-86537CEA06B3} - System32\Tasks\{D9010DCF-4821-4AC5-87D7-18451886A146} => pcalua.exe -a "D:\Steam\steamapps\common\Left 4 Dead 2\bin\addoninstaller.exe" -d "C:\Users\Konrad\Desktop\Nowy folder (3)" -c C:\Users\Konrad\Desktop\NOWYFO~3\SOLDIE~1.VPK FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Firefox\Firefox.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WarThunder C:\Program Files\Plumbytes Software C:\Program Files (x86)\Bossseed C:\Program Files (x86)\Corner Sunshine C:\Program Files (x86)\Firefox C:\Program Files (x86)\WinSaber C:\Program Files (x86)\Common Files\Apps C:\ProgramData\Bossseed C:\ProgramData\corss C:\ProgramData\Sun C:\ProgramData\UvConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Konrad\AppData\Local\{698D0BA5-6E4B-44BD-9F9A-AA32F2E98D9A} C:\Users\Konrad\AppData\Local\Bossseed C:\Users\Konrad\AppData\Local\Chromium C:\Users\Konrad\AppData\Local\Firefox C:\Users\Konrad\AppData\Roaming\Corner Sunshine C:\Users\Konrad\AppData\Roaming\Firefox C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Konrad\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Konrad\Desktop\Mozilla Firefox.lnk C:\Users\Konrad\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Konrad\Downloads\pb-remover.exe C:\Users\Konrad\Downloads\ReimageRepair.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Documents\chrome C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\Reimage.ini C:\Windows\system32\log CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Usunięte zostały wszystkie skróty "Chrome" i "Firefox", utwórz sobie ręcznie skróty do tych przeglądarek. Następnie wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Ustaw jako domyślną przeglądarkę Internet Explorer. Na razie nie można ustawić Google Chrome, dopóki nie zostanie wyczyszczony rejestr ze skojarzeń klona. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Bossseed Odnośnik do komentarza
BigKonrad Opublikowano 30 Września 2016 Autor Zgłoś Udostępnij Opublikowano 30 Września 2016 Zrobiłem wszystko jak w opisie. Zaskakuje mnie tylko zawartość Search,txt Okazuje się że też te dziwne wyszukiwarki pojawiają się jako strona startowa w Internet Explorer. Addition.txt FRST.txt Search.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2016 Zgłoś Udostępnij Opublikowano 30 Września 2016 Brakuje pliku Fixlog.txt z wynikami usuwania. Nie uruchamiaj skryptu FRST ponownie, log jest w folderze z którego uruchomiłeś FRST. Zaskakuje mnie tylko zawartość Search,txt Tak, gdyż pomyliłeś opcje. Podawałam, by uruchomić Szukaj w rejestrze (Search Registry), a Ty uruchomiłeś Szukaj plików (Search Files). Powtarzaj wyszukiwanie. Okazuje się że też te dziwne wyszukiwarki pojawiają się jako strona startowa w Internet Explorer. Tak, bo w międzyczasie doinstalował się nowy chłam i konfiguracja przeglądarek została ponownie zmieniona (liczne przekierowania na mylucky123.com). Będziemy to wszystko ponownie usuwać, ale najpierw czekam na w/w log z szukania w rejestrze. Odnośnik do komentarza
BigKonrad Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 Przepraszam za mój błąd. Addition.txt Fixlog.txt FRST.txt SearchReg.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ CHR HomePage: Default -> hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ CHR StartupUrls: Default -> "hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ" DeleteKey: HKLM\SOFTWARE\Wow6432Node\Bossseed DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Bossseed DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\cc6d5ee0_0 DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\eeaf0632_0 Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\AVAST Software\Avast\PUB-Removed" /v 1d2164d87635cc3 /f Reg: reg delete "HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Bossseed\Application\chrome.exe" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Konrad\AppData\Local\Bossseed RemoveDirectory: C:\Users\Konrad\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
BigKonrad Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 Proszę. AdwCleanerS0.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Fix FRST wykonany. AdwCleaner wykrył drobne odpadki adware. Uruchom go ponownie, zastosuj po kolei opcje Skanuj + Oczyść i dostarcz log wynikowy. Odnośnik do komentarza
BigKonrad Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 Oto on. Nie byłem pewien, o który konkretnie chodzi więc wstawiłem te 2. AdwCleanerC0.txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2016 Zgłoś Udostępnij Opublikowano 2 Października 2016 W opisie obsługi AdwCleaner jest podane, że log z czyszczenia ma oznaczenie C w nazwie. Zostawiam tylko ten log, duplikat z poprzedniego usuwam. AdwCleaner wykonał robotę. 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder FRST i GMER z narzędziami logami. Następnie zastosuj jeszcze DelFix. 2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log. Odnośnik do komentarza
BigKonrad Opublikowano 3 Października 2016 Autor Zgłoś Udostępnij Opublikowano 3 Października 2016 Proszę. HitmanPro.txt DelFix.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2016 Zgłoś Udostępnij Opublikowano 6 Października 2016 1. Wszystkie wyniki Hitman to szczątki instalacji adware/PUP. Usuń je za pomocą programu. Sam Hitman jako taki możesz zostawić do skanów na żądanie przyszłości lub skasować z dysku. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania materiał edukacyjny na co uważać: KLIK. To wszystko. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się