jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
jak usunąć adware w Firefox?
Pewnie chodzi o to rozszerzenie:
FF Extension: Real Summer Sale - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\aa5nr8rp.default\Extensions\realsummersale1@realsummersale.com [2013-08-07]
Otwórz Notatnik i wklej w nim:
FF Extension: Real Summer Sale - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\aa5nr8rp.default\Extensions\realsummersale1@realsummersale.com [2013-08-07]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
jessi
-
Daję też do usuwania instalkę Unlockera z DobrychProgramów, bo do niej może być przyklejony jakiś śmieć.
Otwórz Notatnik i wklej w nim:
Task: {4C477156-51A2-4762-B739-E14B9F142371} - System32\Tasks\{B0BD1CC9-7BFA-4DE0-9CB8-0DA9597D0CB4} => pcalua.exe -a C:\Users\woint\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=smt
C:\Users\woint\AppData\Roaming\istartsurf
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Windows\Minidump\062515-11341-01.dmp
C:\Windows\Minidump\062515-10764-01.dmp
C:\Users\woint\Downloads\Unlocker(12240)-dp.exe
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.jessi
-
Nic się nie usunęło.
Spróbuj w Trybie Awaryjnym (F8 przed startem Systemu)
jessi
-
1) Odinstaluj:
uTorrentControl2 Toolbar (HKLM-x32\...\uTorrentControl2 Toolbar) (Version: 6.15.0.27 - uTorrentControl2) <==== ATTENTION
2) Ja głosuję na Avasta, ale nie mam zamiaru nikomu go narzucać - każdy musi wybrać sam.
jessi
-
Zapisałem ten FIX.REG, ale w momencie uruchamiania niestety wyskakuje błąd.
"Cannot import C:\Users\Jurek\Desktop\FIX.REG: Not all data was successfully written to the registry. Some keys are open by the system or the processes."
W takim razie rób następne kroki, potem do tego wrócimy.
jessi
-
możliwe, że infekcja to utrudnia.
Przejdź do następnego kroku, a potem zrób nowe logi FRST - zobaczymy, co się usunęło, a co nie.
jessi
-
1) Adw-Cleaner nie zaplanował usuwania niczego "dobrego", wiec pozwolimy mu usunąć to, co wykrył:
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
2) Otwórz Notatnik i wklej w nim:
C:\Users\woint\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
Startup: C:\Users\woint\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk [2015-06-22]
ShortcutTarget: u.lnk -> C:\Users\woint\AppData\Roaming\obsxaeimql.exe ()
C:\Users\woint\AppData\Roaming\obsxaeimql.exe
R2 VSSS; C:\Users\woint\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]
C:\Program Files\kprocesshacker.sys
C:\Program Files\3O9K5YR4.exe
:\Users\woint\Downloads\RKill(39918)-dp.exe
C:\Users\woint\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk
EmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.jessi
-
Process C:\Users\woint\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe (*** suspicious ***) @ C:\Users\woint\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [2076] (Microsoft® Volume Shadow Copy Service/Microsoft Corporation)(2015-06-23 08:11:29) 0000000000400000
Library C:\Users\woint\AppData\Local\Temp\cdo465657273.dll (*** suspicious ***) @ C:\Windows\SysWOW64\msiexec.exe [2664] (Microsoft CDO for Windows Library/Microsoft Corporation)(2015-06-24 18:46:01) 0000000000370000
chyba się worek rozpruł z tym - to kolejny podobny temat.
dałeś dwa logi Additional.txt, a żadnego FRST.txt - uzupełnij to.
Dodatkowo:
Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
Zrób log z Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323
jessi
-
1) Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> > z prawokliku Scal
2) Otwórz Notatnik i wklej w nim:
HKLM\...\Policies\Explorer\Run: [1540457261] => C:\ProgramData\msequ.exe
C:\Windows\Minidump\*.dmp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XnView\XnView - Help.lnk
C:\found.004
EmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.3) Zrób nowy log z FSS
4) Zrób nowe logi z FRST - już bez Shortcut.
5) Napisz, jaka sytuacja z Antywirusem?
jessi
-
Ja w logach nie widzę niczego podejrzanego.
Otwórz Notatnik i wklej w nim:
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1414606442&from=cor&uid=SanDiskXSDSSDHP128G_142046401072
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\...\Run: [] => [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.jessi
-
Otwórz Notatnik i wklej w nim:
C:\Users\pikus\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
R2 VSSS; C:\Users\pikus\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
HKLM\...\Run: [EfficientStickyNotes] => [X]
HKU\S-1-5-21-3383955824-2591044982-1744693773-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msdfn.exe <===== ATTENTION
C:\ProgramData\msdfn.exe
SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://startsear.ch/?aff=2&src=sp&cf=76cc6838-476c-11e1-8738-00235aeb9396&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3383955824-2591044982-1744693773-1000 -> {70D46D94-BF1E-45ED-B567-48701376298E} URL = http://127.0.0.1:4664/search&s=hchNhnlcDDw3nQtIBXE15sMJ-Bo?q={searchTerms}
BHO: IE5BarLauncherBHO Class -> {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} -> C:\Program Files\StartSearch plugin\ssBarLcher.dll No File
Toolbar: HKLM - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll No File
Toolbar: HKU\S-1-5-21-3383955824-2591044982-1744693773-1000 -> StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll No File
FF SearchEngineOrder.1: Web Search
FF Keyword.URL: hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=
FF SearchPlugin: C:\Users\pikus\AppData\Roaming\Mozilla\Firefox\Profiles\nxkq2psm.default\searchplugins\web-search.xml [2011-02-17]
S3 LgBttPort; system32\DRIVERS\lgbtport.sys [X]
S3 lgbusenum; system32\DRIVERS\lgbtbus.sys [X]
S3 LGVMODEM; system32\DRIVERS\lgvmodem.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
3 andnetadb; System32\Drivers\lgandnetadb.sys [X]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]
2015-06-23 18:59 - 2015-06-23 18:59 - 01169408 _____ (wj32) C:\Program Files\KS08GOW6.exe
2015-06-23 18:59 - 2015-06-23 18:59 - 01169408 _____ (wj32) C:\Program Files\086EMU2C.exe
2015-06-23 18:58 - 2015-06-23 18:58 - 01169408 _____ (wj32) C:\Program Files\CKS086E8.exe
2015-06-23 17:13 - 2015-06-23 17:13 - 01169408 _____ (wj32) C:\Program Files\86EMU20A.exe
2015-06-23 17:12 - 2015-06-23 17:12 - 01169408 _____ (wj32) C:\Program Files\U208GOW6.exe
2015-06-23 15:44 - 2015-06-23 15:44 - 01169408 _____ (wj32) C:\Program Files\FNV3BJRL.exe
2015-06-23 10:15 - 2015-06-23 10:15 - 01169408 _____ (wj32) C:\Program Files\Z75DLT1V.exe
2015-06-23 10:15 - 2015-06-23 10:15 - 01169408 _____ (wj32) C:\Program Files\V3BJRZ71.exe
2015-06-23 10:15 - 2015-06-23 10:15 - 01169408 _____ (wj32) C:\Program Files\PX53BJRL.exe
2015-06-23 10:15 - 2015-06-23 10:15 - 01169408 _____ (wj32) C:\Program Files\19HPX5D7.exe
2015-06-23 10:14 - 2015-06-23 10:14 - 01169408 _____ (wj32) C:\Program Files\T197FNVP.exe
C:\Users\pikus\AppData\Local\Temp*.html
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób nowe logi FRST - już bez Shortcut.
Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
jessi
-
Otwórz Notatnik i wklej w nim:
C:\Users\Jurek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
R2 VSSS; C:\Users\Jurek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-3202079706-1851762946-1585998374-1002\...\Run: [] => [X]
HKU\S-1-5-21-3202079706-1851762946-1585998374-1002\...\Run: [backgroundContainerV2] => "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\Jurek\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun
HKU\S-1-5-21-3202079706-1851762946-1585998374-1002\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
URLSearchHook: [s-1-5-21-3202079706-1851762946-1585998374-1002] ATTENTION ==> Default URLSearchHook is missing
BHO: Hotspot Shield Class -> {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -> C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll No File
BHO-x32: uTorrentControl2 Toolbar -> {687578b9-7132-4a7a-80e4-30ee31099e03} -> C:\Users\Jurek\AppData\LocalLow\uTorrentControl2\prxtbuTo2.dll [2014-09-23] (ClientConnect Ltd.)
Toolbar: HKLM-x32 - uTorrentControl2 Toolbar - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Users\Jurek\AppData\LocalLow\uTorrentControl2\prxtbuTo2.dll
FF SearchPlugin: C:\Users\Jurek\AppData\Roaming\Mozilla\Firefox\Profiles\2tv9h9un.default\searchplugins\conduit.xml [2012-06-07]
2015-06-24 16:34 - 2015-06-24 16:34 - 01415680 _____ (wj32) C:\Program Files\JNKU9C0V.exe
2015-06-24 16:34 - 2015-06-24 16:34 - 01415680 _____ (wj32) C:\Program Files\DSVZEHL0.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\S6K0KY8G.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\GVADSWVK.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\FIX1GJNK.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\DN1LV9T3.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\BEHTWY14.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\7AEHW037.exe
2015-06-24 16:32 - 2015-06-24 16:32 - 01415680 _____ (wj32) C:\Program Files\A0M7TK5R.exe
2015-06-24 15:48 - 2015-06-24 15:48 - 01415680 _____ (wj32) C:\Program Files\TE0MCYJ5.exe
2015-06-24 15:48 - 2015-06-24 15:48 - 01415680 _____ (wj32) C:\Program Files\JM158C5T.exe
2015-06-24 15:48 - 2015-06-24 15:48 - 01415680 _____ (wj32) C:\Program Files\GFSOKXWR.exe
2015-06-24 15:48 - 2015-06-24 15:48 - 01415680 _____ (wj32) C:\Program Files\BIMKU15J.exe
2015-06-24 15:48 - 2015-06-24 15:48 - 01415680 _____ (wj32) C:\Program Files\59D6DHLD.exe
2015-06-24 15:32 - 2015-06-24 15:32 - 01415680 _____ (wj32) C:\Program Files\LSW0704W.exe
2015-06-24 15:32 - 2015-06-24 15:32 - 01415680 _____ (wj32) C:\Program Files\LSW04X1T.exe
2015-06-24 15:32 - 2015-06-24 15:32 - 01415680 _____ (wj32) C:\Program Files\IM1GJY2H.exe
2015-06-24 15:32 - 2015-06-24 15:32 - 01415680 _____ (wj32) C:\Program Files\HL037APK.exe
2015-06-24 15:32 - 2015-06-24 15:32 - 01415680 _____ (wj32) C:\Program Files\DHOHLPWA.exe
C:\found.00*
C:\ProgramData\msequ.exe
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób nowe logi FRST.
Zrób log z b]Farbar Service Scanner[/b] >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
jessi
-
W logu widać to tylko w Operze:
Otwórz Notatnik i wklej w nim:
OPR Extension: (Faster Light) - C:\Documents and Settings\Marcin.ANONIM\Dane aplikacji\Opera Software\Opera Stable\Extensions\hmcjnmimmnjbdcebkealcbleinlfpikh [2015-06-04]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.jessi
-
HKU\S-1-5-21-1343024091-1450960922-725345543-1004\...\MountPoints2: {0b4b9824-9c6f-11de-a184-00248c7ecc1c} - J:\EXPLORER.EXE
Niezbyt to mi się podoba, ale być może to tylko ślad - "J" nie był podpięty w czasie robienia logów.
Na razie nie kończymy, bo może jeszcze @Picasso coś doda.
A jeśli nic nie doda, to wtedy zrobisz to:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
jessi
-
Otwórz Notatnik i wklej w nim:
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Alwil Software <====== ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 nmwcd; system32\drivers\ccdcmb.sys [X]
S3 nmwcdc; system32\drivers\ccdcmbo.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]
S3 SymIM; system32\DRIVERS\SymIM.sys [X]
S3 SymIMMP; system32\DRIVERS\SymIM.sys [X]
S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [X]
S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltj.sys [X]
EmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób nowe logi FRST. (już bez Shortcut)
Napisz, czy to poprawiło sytuację?
jessi
-
MediaGet2 - to chyba raczej nie powinno być usuwane, ale najwyżej sobie potem przeinstalujesz (tylko aby nie z "Dobrych Programów!).
FileViewPro - jak wyżej.
Adw-Cleaner: najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Potem zrób nowe logi FRST, sprawdzimy, czy samoczynnie zniknęło to:
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Alwil Software <====== ATTENTION
jessi
-
1. Odinstaluj te programy: FunDoeals, saavoE nEt, SaaveLotss, SkypEmoticons, SNT, SW_Sustainer 1.80, YoutubeAdblocker.
2. Zrób log z AdwCleaner. Sprawdzimy, czy nie chce usunąć czegoś "dobrego".
jessi
-
virustotal zgłosił 2 na 56
to za mało, by uznać plik za "zły"
-
Będę czekać.
Na wszelki wypadek w międzyczasie zrób log z GMER https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
bo @Picasso na pewno by tego wymagała
R2 VSSS; C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [98895424 2015-06-23] (Microsoft Corporation) [File not signed]Przy okazji sprawdź ten plik na --> JOTTI/ albo na VIRUSTOTAL
Plik nie ma sygnatury Microsoftu. U mnie w tej lokalizacji nie ma takiego pliku.
jessi
-
R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]
KProcessHacker2 => Service could not remove
Tego się nie da usunąć, nie wiem, dlaczego.
Pliku nie ma, ale to dalej działa.
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1HKLM\...\Policies\Explorer: [HideSCAHealth] 1
To zostało niby zmienione, ale w nowym logu jest dalej tak samo.
==================== Restore Points =========================ATTENTION: System Restore is disabled
To nie zgadza się z logiem FSS:
System Restore:============
FSS nie wykrył tu nic podejrzanego.
Ja już tu nic nie wymyślę, musisz czekać na @Picasso lu @Naathim.
Nie wiem, kiedy tu zajrzą, i czy w ogóle zajrzą.
jessi
-
Usuniemy to:
Otwórz Notatnik i wklej w nim:
Task: {8C684380-A92A-4360-8818-9F7D0CDFFEA5} - System32\Tasks\Soft installer => C:\Users\Korek\AppData\Local\Host installer\202798632_installcube.exe [2015-06-22] (welcome back)
C:\Users\Korek\AppData\Local\Host installer
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.jessi
-
pierwszy raz na oczy to widze
dopisałam jeszcze w swoim poprzednim poście
-
========================= File: C:\Program Files\A09WD3KS.exe ========================
MD5: CD5E5EB5EBF1524A258684D3EE2DF642
Creation and modification date: 2015-06-23 21:40 - 2015-06-23 21:40
Size: 1415680
Attributes: ----A
Company Name: wj32
Internal Name: Process Hacker
Original Name: ProcessHacker.exe
Product Name: Process Hacker
Description: Process Hacker
File Version: 2.30.0.5267
Product Version: 2.30.0.5267
Copyright$creamod: Licensed under the GNU GPL, v3.
+
C:\Program Files\kprocesshacker.sysKojarzy Ci to z czymś?
To niby uznane jest za OK http://www.threatexpert.com/files/kprocesshacker.sys.html
------------------------------
Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>Z prawokliku plik Fix.REG wybierz opcję Scal
Otwórz Notatnik i wklej w nim:
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1HKLM\...\Policies\Explorer: [HideSCAHealth] 1
R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]
C:\Program Files\kprocesshacker.sys
C:\found.00*
G:\*lnk
CMD: attrib /d /s -s -h G:\*
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
Wejdź na dysk G - na nim jest folder bez nazwy, do którego infekcja przeniosła Twoje pliki.
Przenieś je o poziom wyżej, a folder bez nazwy usuń poprzez Shift+DEL.
Użyj USBFix z opcji VACCINATE.
Zrób nowy log USBFix LISTING.
Zrób nowe logi FRST - już bez Shortcut.
jessi
-
to stary fixlog
Brak możliwości uruchomienia/zainstalowania/odinstalowania antywirusa
w Dział pomocy doraźnej
Opublikowano
Jeśli @Picasso nie zgłosi jakichś zastrzeżeń, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
FSS - usuń ręcznie.
jessi