jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Ponawiam prośbę o pomoc.
https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/
Nie wiem, kiedy @Picasso lib @Naathim zaczną pomagać.
1) Odinstaluj:
bestadblocker (HKLM-x32\...\{4820778D-AB0D-6D18-C316-52A6A0E1D507}) (Version: - ) <==== ATTENTION
Google Update Helper (x32 Version: 1.3.23.0 - DealPly Technologies Ltd) Hidden <==== ATTENTION
Quebles Emoticons (HKLM-x32\...\{AD11DADE-C597-45D9-D8C5-1D2EB0B89613}) (Version: - ) <==== ATTENTION
2) Otwórz Notatnik i wklej w nim:
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635
HKLM-x32\...\Run: [NPSStartup] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-3484077856-2024222258-2036092784-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-3484077856-2024222258-2036092784-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3484077856-2024222258-2036092784-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
BHO: No Name -> {B4B3EC85-72C1-4A89-99AA-C2B1B73CDFF7} -> No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
C:\Program Files (x86)\Quebles Emoticons
C:\Program Files (x86)\PriuceMinuss
C:\ProgramData\{5c964c43-f602-5fc6-5c96-64c43f60310f}
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
3) Zrób log z Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323
4) Zrób nowe logi z FRST.
jessi
-
https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/
Nie wiem, kiedy @Picasso lub @Naathim zaczną pomagać.
W logach FRST nie widzę niczego podejrzanego.
Zrób log z USBFix, z opcji LISTING https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=74
jessi
-
W logu USBFix nie ma niczego podejrzanego.
Nie mam więcej pomysłów, z czego może wynikać problem.
jessi
-
Otwórz Notatnik i wklej w nim:
C:\Users\Ewa\AppData\Roaming\BackUp4132664122.exe
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
jessi
-
https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/
Nie wiem, kiedy @Picasso lub @Naathim będą mogli pomagać.
1) Odinstaluj UpdateChecker,
2) Otwórz Notatnik i wklej w nim:
Task: {09EFFAE9-1578-4C75-985E-C99C7BB653DB} - System32\Tasks\{BCBF357F-F5A5-4AD4-838F-61C8D0DF93F9} => pcalua.exe -a C:\Users\Ewa\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor <==== ATTENTION
C:\Users\Ewa\AppData\Roaming\omiga-plus
AlternateDataStreams: C:\Users\Ewa\Ustawienia lokalne:aoscX5mybzVCQHF9IvWlgRtQ0C
AlternateDataStreams: C:\Users\Ewa\Ustawienia lokalne:icj2nmKDa8sogFCXzAVJ
AlternateDataStreams: C:\Users\Ewa\AppData\Local:aoscX5mybzVCQHF9IvWlgRtQ0C
AlternateDataStreams: C:\Users\Ewa\AppData\Local:icj2nmKDa8sogFCXzAVJ
AlternateDataStreams: C:\Users\Ewa\AppData\Local\Dane aplikacji:aoscX5mybzVCQHF9IvWlgRtQ0C
AlternateDataStreams: C:\Users\Ewa\AppData\Local\Dane aplikacji:icj2nmKDa8sogFCXzAVJ
AlternateDataStreams: C:\Users\Ewa\AppData\Local\Temp:DVGdltGpTeqnrFUoXiMywOmQj4
C:\$Recycle.Bin\S-1-5-21-1842668911-658831082-982835230-1001\$3801e37e7992727409e1276672521dc8
C:\$Recycle.Bin\S-1-5-21-1842668911-658831082-982835230-1001
C:\ProgramData\libnspr4.dll
C:\Users\Ewa\acrobatreader.exe
C:\Users\Ewa\conhost.exe
C:\windows\Minidump\*.dmp
S3 BS4132664122; \??\C:\Users\Ewa\AppData\Local\Temp\NTFS.sys [X]
CHR HKLM-x32\...\Chrome\Extension: [fjbbjfdilbioabojmcplalojlmdngbjl] - C:\Users\Ewa\AppData\Local\Temp\swlfiles\smileyswelovetoolbar.crx
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-1842668911-658831082-982835230-1001\...\Winlogon: [shell] explorer.exe, <==== ATTENTION
HKLM\...\Run: [VideoDownloadConverter Home Page Guard 64 bit] => "C:\PROGRA~2\VIDEOD~2\bar\1.bin\AppIntegrator64.exe"
C:\PROGRA~2\VIDEOD~2\bar\1.bin\AppIntegrator64.exe
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
3) Zrób nowe logi FRST.
4) Znasz to?
2009-07-14 01:19 - 2009-07-14 03:14 - 0600064 _____ (Sun Microsystems, Inc.) C:\Users\Ewa\AppData\Roaming\BackUp4132664122.exe
jessi
-
W nowych logach - nic ciekawego.
Chyba możemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).W USBFix kliknij na przycisk UNINSTALL.
Zaktualizuj Javę https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/?do=findComment&comment=43590
jessi
-
Spigot to tylko sponsorski, drobny śmietek, nic poważnego.
Możesz użyć Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Powinien usunąć tego "spigota".
jessi
-
W logach wygląda to dobrze, a jak jest w rzeczywistości?
jessi
-
Nie wiem, czy to zadziała, bo stronę startową chyba trzeba ustawiać ręcznie, ale spróbować można.
Otwórz Notatnik i wklej w nim:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = jhh
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = jhh
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = jhh
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = jhh
HKU\S-1-5-21-973633878-3127659-858757103-1000\Software\Microsoft\Internet Explorer\Main,Start Page = jhh
FF Homepage: jhh
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób nowy log FRST.
jessi
-
Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 192.168.1.1
W logach nic nie wskazuje na zainfekowanie routera.
Może zrób log z USBFix https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=74- z opcji LISTING. (Oczywiście z podpiętymi iphone i ipad)
jessi
-
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = jhh
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = jhh
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = jhh
FF Homepage: jhh
Chodzi o tę stronę? W logach jest widoczna tylko ta strona, a nie "splitter"
-
W logach nie widzę niczego podejrzanego.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
HKLM\...\Run: [] => [X]
URLSearchHook: HKU\S-1-5-21-1275210071-1303643608-725345543-1003 - pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No File
SearchScopes: HKU\S-1-5-21-1275210071-1303643608-725345543-1003 -> {A5F1AEAE-2900-420C-B7F6-02C4AFA0BB6B} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=302398&p={searchTerms}
BHO: pdfforge Toolbar -> {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No File
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.dodam, że nie mam jak wykonać trybu awaryjnegoto znaczy?
https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/
Musisz czekać na @Picasso lub @Naathim, by przesunęli temat do bardziej odpowiedniego działu forum, bo nie sądzę, by problem wynikał z infekcji.
jessi
-
Tylko kosmetyka:
Otwórz Notatnik i wklej w nim:
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X]
S3 NTIOLib_FastBoot; \??\C:\Program Files (x86)\MSI\Fast Boot\NTIOLib_X64.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
C:\ProgramData\boost_interprocess
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.Potem:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).jessi
-
Brak logu Additional.txt oraz Shortcut.txt (z FRST).
Files to move or delete:
====================
C:\Users\Mirko\ace_upgrade.exe
C:\Users\Mirko\acronis_api_vs.dll
C:\Users\Mirko\adjperm.dll
C:\Users\Mirko\deployPkg.dll
C:\Users\Mirko\drvInst64.exe
C:\Users\Mirko\elevated.dll
C:\Users\Mirko\farexec-service.exe
C:\Users\Mirko\glib-2.0.dll
C:\Users\Mirko\glibmm-2.4.dll
C:\Users\Mirko\gmodule-2.0.dll
C:\Users\Mirko\gobject-2.0.dll
C:\Users\Mirko\gthread-2.0.dll
C:\Users\Mirko\gvmomi.dll
C:\Users\Mirko\hqtray.exe
C:\Users\Mirko\iconv.dll
C:\Users\Mirko\icudt38l.dat
C:\Users\Mirko\iCustBundleGen.dll
C:\Users\Mirko\intl.dll
C:\Users\Mirko\libcurl.dll
C:\Users\Mirko\libeay32.dll
C:\Users\Mirko\libeaynf32.dll
C:\Users\Mirko\liblber.dll
C:\Users\Mirko\libldap.dll
C:\Users\Mirko\libldap_r.dll
C:\Users\Mirko\libxml2.dll
C:\Users\Mirko\mkisofs.exe
C:\Users\Mirko\mspack.dll
C:\Users\Mirko\p2vHlpr.dll
C:\Users\Mirko\p2vJobManager.dll
C:\Users\Mirko\p2vSupport.dll
C:\Users\Mirko\p2vWizard.dll
C:\Users\Mirko\p2vXML.dll
C:\Users\Mirko\pixops.dll
C:\Users\Mirko\pkgGen.dll
C:\Users\Mirko\reconfigurationDataStore.dat
C:\Users\Mirko\sbimageapi.dll
C:\Users\Mirko\sigc-2.0.dll
C:\Users\Mirko\singleJobRunner.dll
C:\Users\Mirko\ssleay32.dll
C:\Users\Mirko\ssleaynf32.dll
C:\Users\Mirko\sysimgbase.dll
C:\Users\Mirko\tibdll.dll
C:\Users\Mirko\TPClnRDP.dll
C:\Users\Mirko\TPClnt.dll
C:\Users\Mirko\TPClntdeu.dll
C:\Users\Mirko\TPClntjpn.dll
C:\Users\Mirko\TPClntloc.dll
C:\Users\Mirko\TPClnVM.dll
C:\Users\Mirko\TPView.dll
C:\Users\Mirko\TPViewdeu.dll
C:\Users\Mirko\TPViewjpn.dll
C:\Users\Mirko\types.dll
C:\Users\Mirko\ufa-agent.dll
C:\Users\Mirko\ufa-client.dll
C:\Users\Mirko\ufa-common.dll
C:\Users\Mirko\ufa-slave.dll
C:\Users\Mirko\ufa-sysMigration.dll
C:\Users\Mirko\ufa-sysReconfig.dll
C:\Users\Mirko\ufa-types.dll
C:\Users\Mirko\ufa-vmImporter.dll
C:\Users\Mirko\ufa-vmsvc.dll
C:\Users\Mirko\unzip.exe
C:\Users\Mirko\V2iDiskLib.dll
C:\Users\Mirko\vixDiskMountApi.dll
C:\Users\Mirko\vixDiskMountServer.exe
C:\Users\Mirko\vm-support.vbs
C:\Users\Mirko\vmacore.dll
C:\Users\Mirko\vmappcfg.dll
C:\Users\Mirko\vmappsdk.dll
C:\Users\Mirko\vmapputil.dll
C:\Users\Mirko\vmauthd.dll
C:\Users\Mirko\vmclientcore.dll
C:\Users\Mirko\vmdbCOM.dll
C:\Users\Mirko\vmdkShellExt.dll
C:\Users\Mirko\vmeventmsg.dll
C:\Users\Mirko\vmnat.exe
C:\Users\Mirko\vmnetBridge.dll
C:\Users\Mirko\vmnetcfg.exe
C:\Users\Mirko\VMnetDHCP.exe
C:\Users\Mirko\vmnetmgr.dll
C:\Users\Mirko\vmnetui.dll
C:\Users\Mirko\vmomi.dll
C:\Users\Mirko\vmPerfmon.dll
C:\Users\Mirko\vmplayer-service.exe
C:\Users\Mirko\vmplayer.exe
C:\Users\Mirko\vmrun.exe
C:\Users\Mirko\vmss2core.exe
C:\Users\Mirko\vmUpdateLauncher.exe
C:\Users\Mirko\vmware-acetool.exe
C:\Users\Mirko\vmware-authd.exe
C:\Users\Mirko\vmware-fullscreen.exe
C:\Users\Mirko\vmware-remotemks-debug.exe
C:\Users\Mirko\vmware-remotemks.exe
C:\Users\Mirko\vmware-tray-helper.dll
C:\Users\Mirko\vmware-tray.exe
C:\Users\Mirko\vmware-ufad.exe
C:\Users\Mirko\vmware-unity-helper.exe
C:\Users\Mirko\vmware-vdiskmanager.exe
C:\Users\Mirko\vmware.exe
C:\Users\Mirko\vmwarebase.dll
C:\Users\Mirko\vmwarecui.dll
C:\Users\Mirko\vmwarestring.dll
C:\Users\Mirko\vmwarewui.dll
C:\Users\Mirko\vnetinst.dll
C:\Users\Mirko\vnetlib.dll
C:\Users\Mirko\vnetlib.exe
C:\Users\Mirko\vnetlib64.dll
C:\Users\Mirko\vnetlib64.exe
C:\Users\Mirko\vnetsniffer.exe
C:\Users\Mirko\vnetstats.exe
C:\Users\Mirko\vprintproxy.exe
C:\Users\Mirko\vsocklib.dll
C:\Users\Mirko\vssSnap2003.dll
C:\Users\Mirko\vssSnapVista64.dll
C:\Users\Mirko\vssSnapVista64.exe
C:\Users\Mirko\vssSnapXP.dll
C:\Users\Mirko\xmlparse.dll
C:\Users\Mirko\xmlrpc.dll
C:\Users\Mirko\xmltok.dll
C:\Users\Mirko\zip.exe
C:\Users\Mirko\zlib1.dllW tej lokalizacji nie powinno być takich plików - sam je tam "wsadziłeś"?
Użyj Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txtOtwórz Notatnik i wklej w nim:
SearchScopes: HKU\S-1-5-21-2069368038-4120700897-3865020589-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={A86C0227-42E7-4EF7-8FAF-F58F8126CC2C}&mid=bb8fce32168c47d0b81341ed98b3c78b-7ff30000b65a47035569cc87fe7244b31e66f610&lang=pl&ds=xn011&pr=sa&d=2012-10-2722:33:07&v=13.2.0.5&sap=dsp&q={searchTerms}
Toolbar: HKU\S-1-5-21-2069368038-4120700897-3865020589-1004 -> No Name - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No File
C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Program Files (x86)\SFT_Polska
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.>>GMER>>
Rozwiń>>>zakładka CMD>>zaznacz CMD ---w górne czarne pole wklej to:
f51rscno -del file "C:\Documents and Settings\Monisia\Dane aplikacji\Kadadk.exe"
f51rscno -reboot
Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.Zrób nowe logi GMER i FRST.
jessi
-
nie mogę uruchomić usługi audio
Błąd 0x800706cc: punkt końcowy jest duplikatem.
Platform: Windows 8.1 (X64)
+
AVG 2015 (HKLM\...\AVG) (Version: 2015.0.5961 - AVG Technologies)
Masz win 8 oraz AVG - więc prędzej czy później musiało do tego dojść; AVG powoduje to uszkodzenie.
To znany problem, ale brak na niego lekarstwa.
Przeszukałam trochę internet; było tysiące prób naprawienia tego, ale tylko niektórym użytkownikom się udało, większość musiała sformatować dysk, wgrać System od nowa - już bez tego szkodliwego AVG.
Otwórz Notatnik i wklej w nim:
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Audiosrv"
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
Potem czekaj, aż @Picasso lub @Naathim przesunie temat do bardziej odpowiedniego działu forum (nie wiem, kiedy to nastąpi!).
jessi
-
Z logów wynika, że FRST usunął wszystko, co miał usunąć.
Nie wiadomo tylko, czy opróżnił foldery TEMP, czy może właśnie na nich się zawiesił.
Najważniejsze, że główny problem (SpyHunter) został usunięty.
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.jessi
-
Zrób nowe logi FRST - zobaczymy, czy cokolwiek się usunęło, czy nic.
jessi
-
Otwórz Notatnik i wklej w nim:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S3 HWiNFO32; \??\C:\Users\Joanna\AppData\Local\Temp\HWiNFO64A.SYS [X]
S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\ProgramData\fontcacheev1.dat
C:\ProgramData\hash.dat
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.jessi
-
Zostało trochę resztek SpyHuntera, więc je usuniemy.
Przy okazji usuniemy trochę sponsorskich śmieci z przeglądarek.
Otwórz Notatnik i wklej w nim:
Task: {DF1B36A4-A0E1-4843-9501-23DBF68FFED1} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe
C:\Program Files\Enigma Software Group
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X]
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-06-11] ()
C:\Windows\System32\DRIVERS\EsgScanner.sys
C:\WINDOWS\System32\Tasks\SpyHunter4Startup
C:\sh4ldr
C:\Users\SONY\Start Menu\Programs\SpyHunter\SpyHunter.lnk
C:\Users\SONY\Start Menu\Programs\SpyHunter\Uninstall.lnk
C:\Users\SONY\AppData\Roaming\Enigma Software Group
ShortcutWithArgument: C:\Users\SONY\Start Menu\Programs\SpyHunter\SpyHunter Emergency Startup.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.com"
C:\Users\SONY\Start Menu\Programs\SpyHunter\SpyHunter Emergency Startup.lnk
Task: C:\WINDOWS\Tasks\AVG_SYS_TASK_0615tb_DELETE.job => C:\ProgramData\Avg_Update_0615tb\AVG-Secure-Search-Update_0615tb.exe
Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task[pr].job => c:\programdata\{1ed40f9a-1757-e833-1ed4-40f9a1753e68}\kms activator ultimate 2015 v2.5 is here ! [latest].exe <==== ATTENTION
c:\programdata\{1ed40f9a-1757-e833-1ed4-40f9a1753e68}
Task: C:\WINDOWS\Tasks\0215tb_RML.job => C:\Program Files (x86)\AVG Web TuneUp\AVG-Secure-Search-Update_0215tb.exe
Task: C:\WINDOWS\Tasks\0814avUpdateInfo.job => C:\ProgramData\Avg_Update_0814av\0814av_AVG-Secure-Search-Update.exe
Task: {EF368030-B911-4E7E-BC0B-A34866253CF3} - System32\Tasks\Bidaily Synchronize Task[pr] => c:\programdata\{1ed40f9a-1757-e833-1ed4-40f9a1753e68}\kms activator ultimate 2015 v2.5 is here ! [latest].exe <==== ATTENTION
Task: {9FF308DC-A395-4517-9FA5-C46A9106F101} - System32\Tasks\AVG_SYS_TASK_0615tb_DELETE => C:\ProgramData\Avg_Update_0615tb\AVG-Secure-Search-Update_0615tb.exe
Task: {90801446-9E9E-4EFF-B79A-107B983093EA} - System32\Tasks\0215tb_RML => C:\Program Files (x86)\AVG Web TuneUp\AVG-Secure-Search-Update_0215tb.exe
Task: {28415945-22A0-4C24-B574-B1C1C9CEE4B3} - System32\Tasks\0814avUpdateInfo => C:\ProgramData\Avg_Update_0814av\0814av_AVG-Secure-Search-Update.exe [2014-08-12] ()
HKLM\...\Run: [VideoDownloadConverter Home Page Guard 64 bit] => "C:\PROGRA~2\VIDEOD~2\bar\1.bin\APPINT~2.EXE"
HKU\S-1-5-21-2790697635-1812040645-2754823994-1002\...\Run: [AVG-Secure-Search-Update_0615tb] => "C:\ProgramData\Avg_Update_0615tb\AVG-Secure-Search-Update_0615tb.exe" /PROMPT /CMPID=0615tb
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-2790697635-1812040645-2754823994-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1399073601&from=cor&uid=HGSTXHTS541075A9E680_131014JD12001A03ML3AX&q={searchTerms}
HKU\S-1-5-21-2790697635-1812040645-2754823994-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1399073601&from=cor&uid=HGSTXHTS541075A9E680_131014JD12001A03ML3AX
HKU\S-1-5-21-2790697635-1812040645-2754823994-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1399073601&from=cor&uid=HGSTXHTS541075A9E680_131014JD12001A03ML3AX
HKU\S-1-5-21-2790697635-1812040645-2754823994-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1399073601&from=cor&uid=HGSTXHTS541075A9E680_131014JD12001A03ML3AX&q={searchTerms}
URLSearchHook: HKU\S-1-5-21-2790697635-1812040645-2754823994-1001 - (No Name) - {93a3111f-4f74-4ed8-895e-d9708497629e} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zSrcAs.dll No File
URLSearchHook: HKU\S-1-5-21-2790697635-1812040645-2754823994-1002 - (No Name) - {93a3111f-4f74-4ed8-895e-d9708497629e} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zSrcAs.dll No File
SearchScopes: HKU\S-1-5-21-2790697635-1812040645-2754823994-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1399073601&from=cor&uid=HGSTXHTS541075A9E680_131014JD12001A03ML3AX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2790697635-1812040645-2754823994-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1399073601&from=cor&uid=HGSTXHTS541075A9E680_131014JD12001A03ML3AX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2790697635-1812040645-2754823994-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={AECBA2BD-111A-46F0-A3C7-65297B5FEE97}&mid=838d1458c58f47d29dc4ed3ea03a9c9d-094ce7ff1f9be0662b10703a42c60faa1bf3f5a8&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0415tb&pr=fr&d=2014-11-1011:50:52&v=4.1.0.411&pid=wtu&sg=&sap=dsp&q={searchTerms}
BHO-x32: Toolbar BHO -> {312f84fb-8970-4fd3-bddb-7012eac4afc9} -> C:\PROGRA~2\VIDEOD~2\bar\1.bin\4zbar.dll No File
C:\WINDOWS\Minidump\*.dmp
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.jessi
-
Czy problem z odinstalowaniem dalej aktualny?
Pytam, bo temat założony tydzień temu, ale widzę, że codziennie tu zaglądasz.
jessi
-
@jessica co masz na myśli?
http://www.herdprotect.com/swjob.exe-b5600c2dfa1860e7f4ece06d2b12a1d775a269ba.aspx
więc Zadanie jest mocno podejrzane :
Task: {824EE1F6-1D24-44A0-8745-1F0CCF63C0F5} - System32\Tasks\Softcomp Software Job => C:\Program Files (x86)\Softcomp Software\swjob.exeA to też nie jest Systemowe:
Task: {65337AF0-18BC-4ECD-9B8E-27DF6CAF2D55} - System32\Tasks\Windows Updater => C:\Users\Bartosz\AppData\Roaming\Updater\winupd.exe [2015-05-23] () <==== ATTENTIONMoże MBAM to wykryje i usunie ...
jessi
-
Task: {65337AF0-18BC-4ECD-9B8E-27DF6CAF2D55} - System32\Tasks\Windows Updater => C:\Users\Bartosz\AppData\Roaming\Updater\winupd.exe [2015-05-23] () <==== ATTENTIONTask: {824EE1F6-1D24-44A0-8745-1F0CCF63C0F5} - System32\Tasks\Softcomp Software Job => C:\Program Files (x86)\Softcomp Software\swjob.exe
Nie podobają mi się te Zaplanowane Zadania.
-
W logach nie widzę żadnej infekcji.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Task: {230D4445-DD54-4D3E-90DC-59CC4B429077} - \Program aktualizacji online firmy Adobe. No Task File <==== ATTENTION
HR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
R4 AVGIDSDriver; system32\DRIVERS\avgidsdriverx.sys [X]
R4 AVGIDSShim; system32\DRIVERS\avgidsshimx.sys [X]
R4 Avgrkx86; system32\DRIVERS\avgrkx86.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
jessi
-
W nowych logach nie widzę już śmieci, więc powinno być OK.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
Task: {A857F396-98B4-4A0E-88D9-97625CD84917} - \Driver Booster Update No Task File <==== ATTENTION
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll No File
FF DefaultSearchUrl: https://www.google.com/search/?trackid=sp-006
FF Homepage: https://www.google.com/?trackid=sp-006
FF Keyword.URL: https://www.google.com/search/?trackid=sp-006
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.Potem chyba możemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
jessi
Dysk zewnętrzny nie widzi folderów i plików
w Dział pomocy doraźnej
Opublikowano
Otwórz Notatnik i wklej w nim:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
Zrób nowy log USBFix LISTING.
jessi