jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.jessi
-
Usługa nie jest uszkodzona, ale jest wyłączona.
Do Notatnika wklej:
Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\Services\bfe]
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.Spróbuj teraz włączyć BFE.
.
-
https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/
Raczej trudno będzie doczekać się pomocy.
--------------------------------------------------------
Skąd ściągałeś programy "Napisy24" oraz "Print Friendly PDF".
Pytam, bo wygląda na to, że razem z nimi zainstalowały się śmieci.
Otwórz Notatnik i wklej w nim:
Task: {C64A7DD1-5FE3-4CD7-BABD-10351723DC8D} - System32\Tasks\FineSuits => c:\programdata\{d9a9efe2-deb1-c5ed-d9a9-9efe2debbf8b}\423951640964459986b.exe [2014-06-16] () <==== ATTENTION
c:\programdata\{d9a9efe2-deb1-c5ed-d9a9-9efe2debbf8b}
Task: C:\Windows\Tasks\Bidaily Synchronize Task[973b].job => c:\programdata\{69009b1e-a642-a12d-6900-09b1ea646c7a}\the-newsroom-5-1-pol-5464381.exe <==== ATTENTION
Task: C:\Windows\Tasks\FineSuits.job => c:\programdata\{d9a9efe2-deb1-c5ed-d9a9-9efe2debbf8b}\423951640964459986b.exe <==== ATTENTION
c:\programdata\{69009b1e-a642-a12d-6900-09b1ea646c7a}
Task: {BA6F4DCB-92C6-438C-B435-2E7CB7ED0111} - System32\Tasks\Bidaily Synchronize Task[973b] => c:\programdata\{69009b1e-a642-a12d-6900-09b1ea646c7a}\the-newsroom-5-1-pol-5464381.exe [2015-06-09] () <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: cOmpareItApplic -> {91CD173B-38E0-4E3E-A021-5ADC30302676} -> C:\Program Files (x86)\cOmpareItApplic\P2xb2JLsxZpweY.x64.dll [2015-06-16] ()
BHO-x32: cOmpareItApplic -> {91CD173B-38E0-4E3E-A021-5ADC30302676} -> C:\Program Files (x86)\cOmpareItApplic\P2xb2JLsxZpweY.dll [2015-06-16] ()
C:\Program Files (x86)\cOmpareItApplic
FF Extension: DiscountSmasher - C:\Users\Iksu\AppData\Roaming\Mozilla\Firefox\Profiles\ixi3d5gk.default\Extensions\jmjvrdbbfoxhkde@tg_pge_lgtozhw.com [2015-06-16]
CHR Extension: (cOmpareItApplic) - C:\Users\Iksu\AppData\Local\Google\Chrome\User Data\Default\Extensions\fipbenplanbmamfnmoidjoaeconfcple [2015-06-16]
C:\ProgramData\569731879768056210
C:\ProgramData\boost_interprocess
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób nowe logi FRST.
jessi
-
Czy jest szansa, że ktoś zajmie się opisanym problemem?
Szansa jest znikoma, bo:
https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/
--------------------------------------------------------------------------------------
MSCONFIG\Services: BFE => 2Usługa BFE (Podstawowy aparat filtrowania) została wyłączona poprzez "msconfig", a bez tej usługi nie będzie działać Zapora.
Być może wystarczy spowrotem włączyć BFE,, a Zapora zacznie działać?
O ile BFE nie została uszkodzona.
Możesz, na wszelki wypadek, zrobić log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko). Choć nie wiem, czy dla @Picasso się przyda.
jessi
-
Na razie trzeba czekać, aż zajrzy tu @Picasso lub @Naathim
--------------------------
W międzyczasie można załatwić jedną sprawę: na liście Twoich programów nie ma "SpyHunter", a w logach widać resztki z niego.
Usuniemy te resztki:
Otwórz Notatnik i wklej w nim:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CHR StartupUrls: Default -> "hxxp://us.yhs4.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_25¶m1=1¶m2=f%3D7%26b%3DChrome%26cc%3Dpl%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtAtDyE0FtByC0EyD0AtAzztD0B0AtN0D0Tzu0StCtByCtBtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1Czu1TtN1L1G1B1V1N2Y1L1Qzu2SyEzytAzztA0AyEtDtGtA0E0B0AtG0ByEzy0CtGyEyDzzzytGtDyBzz0FyEyEtCyB0AyB0DtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzzyEzzyByC0A0F0AtGtD0F0BtDtGyEyDtB0BtG0AyB0EyDtGtCtAtAtA0ByEyBtDyBtBtDyB2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzztDtD%26cr%3D1085758685%26a%3Dwncy_ir_15_25%26os%3DWindows 7 Ultimate"
CHR DefaultSearchKeyword: Default -> mystartsearch
CHR DefaultSearchURL: Default -> hxxp://www.mystartsearch.com/web/?type=ds&ts=1430497516&from=wpc&uid=ST3500418AS_5VM2XMD2XXXX5VM2XMD2&q={searchTerms}
S4 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe
C:\Program Files\Enigma Software Group
S4 vToolbarUpdater18.4.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.4.0\ToolbarUpdater.exe
C:\Program Files\Common Files\AVG Secure Search
S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys
C:\Windows\System32\DRIVERS\EsgScanner.sys
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\Howoj\Desktop\SpyHunter.lnk
C:\Users\Howoj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\SpyHunter.lnk
C:\Users\Howoj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
C:\Users\Howoj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\SpyHunter.lnk
ShortcutWithArgument: C:\Users\Howoj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\SpyHunter Emergency Startup.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "%PROGRAMFILES%\Enigma Software Group\SpyHunter\SH4.com"
ShortcutWithArgument: C:\Users\Howoj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk -> C:\Windows\System32\msiexec.exe (Microsoft Corporation) -> /X {AF549236-6258-4AC6-A043-5B5B89C6EB61}
C:\Users\Howoj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\SpyHunter Emergency Startup.lnk
C:\Users\Howoj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
jessi
-
A przy sprzątaniu tematów to każdego można złapać na tym, że omyłkowo pominął temat.
co innego miałam na myśli: pomiędzy 25 lutego a 10 czerwca @ Naathim nie napisał żadnego postu w żadnym temacie.
Natomiast masz rację, co do aktywności nie związanej z pisaniem postów/tematów na forum.
jessi
-
Powinno już być OK.
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
jessi
-
To jest winowajca:
Task: {B3C9B153-4E3A-4B68-86E3-31078C1A23BD} - System32\Tasks\Origin => C:\Users\x\AppData\Roaming\Origin\update.vbe [2015-03-15] () <==== ATTENTION
1. Użyj AdwCleaner. Nnajpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
2. Otwórz Notatnik i wklej w nim:
Task: {B3C9B153-4E3A-4B68-86E3-31078C1A23BD} - System32\Tasks\Origin => C:\Users\x\AppData\Roaming\Origin\update.vbe [2015-03-15] () <==== ATTENTION
C:\Users\x\AppData\Roaming\Origin\update.vbe
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
C:\Users\x\AppData\Local\temp023423.vbe
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
3. Zrób nowe logi FRST.
jessi
-
Hmm, wyszukiwanie nic nie dało, nic nie zostało wykryte.
Tak więc nie wiadomo, co wpływa na powtarzalność problemu.
jessi
-
nie zostałam przygotowana na nieobecność
a powinnaś być przygotowana - wystarczy porównać daty pisania ostatnich postów na forum MBAM:
10 June 2015 - 04:02 PM (
v
25 February 2015 - 05:37 AM (https://forums.malwarebytes.org/index.php?/topic/164835-starts-prescan-but-never-gets-past-that/&do=findComment&comment=943045)
Ponad 3 miesiące różnicy - to powinno dać do myślenia
jessi
-
https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/?do=findComment&comment=168911
Nie ma kto odpowiadać.
Ja w logach nie widzę niczego podejrzanego, oprócz tych dziwnych strumieni ADS:
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm
AlternateDataStreams: C:\Users\Bartosz\Cookies:b02gglCsVz7SwBzN7Vo3XfEAmWNIP
AlternateDataStreams: C:\Users\Bartosz\Ustawienia lokalne:qRG1KPm9M2YkiMxS9wkt
AlternateDataStreams: C:\Users\Bartosz\AppData\Local:qRG1KPm9M2YkiMxS9wkt
AlternateDataStreams: C:\Users\Bartosz\AppData\Local\Dane aplikacji:qRG1KPm9M2YkiMxS9wkt
AlternateDataStreams: C:\Users\Bartosz\AppData\Local\Temporary Internet Files:oqfts0epkstBnkxcQKzWR44jRoKSXNie daję ich do usuwania, bo po prostu nie znam ich, nie wiem, czy są "dobre", czy "złe".
Kosmetyka:
Otwórz Notatnik i wklej w nim:
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-1061675351-2835192545-3130966363-1000\...\Run: [AdobeBridge] => [X]
HKLM-x32\...\Run: [] => [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.jessi
-
W logach nie ma niczego podejrzanego.
Otwórz Notatnik i wklej w nim:
HKU\S-1-5-21-143067275-3816198268-3330578952-1000\...\Run: [ASRock A-Tuning] => [X]
HKU\S-1-5-21-143067275-3816198268-3330578952-1000\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-143067275-3816198268-3330578952-1000\...\RunOnce: [AsrOMG_Day0] => [X]
HKU\S-1-5-21-143067275-3816198268-3330578952-1000\...\RunOnce: [AsrOMG_Day1] => [X]
HKU\S-1-5-21-143067275-3816198268-3330578952-1000\...\RunOnce: [AsrOMG_Day2] => [X]
HKU\S-1-5-21-143067275-3816198268-3330578952-1000\...\RunOnce: [AsrOMG_Day3] => [X]
HKU\S-1-5-21-143067275-3816198268-3330578952-1000\...\RunOnce: [AsrOMG_Day4] => [X]
HKU\S-1-5-21-143067275-3816198268-3330578952-1000\...\RunOnce: [AsrOMG_Day5] => [X]
HKU\S-1-5-21-143067275-3816198268-3330578952-1000\...\RunOnce: [AsrOMG_Day6] => [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Windows\Minidump\*.dmp
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.
Uruchom FRST i kliknij przycisk Fix.Uruchom FRST.
W polu SEARCH wklej:nvxasync*.*
kliknij na przycisk "Search Files".
Raport z tego będzie tam, gdzie jest FRST.
Uruchom FRST.
W polu SEARCH wklej:nvxasync
kliknij na przycisk "Search Registry".
Raport z tego będzie tam, gdzie jest FRST.jessi
-
Nikt nie da rady mi pomoc ? :c
https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/?do=findComment&comment=168862
to chyba wyjaśnia sprawę?
----------------------------------------------
1) Odinstaluj te programy:
AnyProtect (HKLM\...\AnyProtect) (Version: 1.0.0.4 - CMI Limited) <==== ATTENTION
AnySend (HKLM\...\ASPackage) (Version: 1.0.0.0 - CMI Limited) <==== ATTENTION!
CinemaPlus-3.2cV08.06 (HKLM\...\CinemaPlus-3.2cV08.06) (Version: 1.36.01.22 - Cinema PlusV08.06) <==== ATTENTION
Crossbrowse (HKLM\...\Crossbrowse) (Version: 39.6.2171.95 - The Crossbrowse Authors) <==== ATTENTION!
GamesDesktop 008.130 (HKLM\...\gmsd_pl_130_is1) (Version: - GAMESDESKTOP) <==== ATTENTION
IePluginService12.27.0.3326 (HKLM\...\IePlugins) (Version: 12.27.0.3326 - Cherished Technololgy LIMITED) <==== ATTENTION
Origin Packages (HKU\S-1-5-21-1266292625-858870729-1075496977-1001\...\Origin Packages) (Version: - ) <==== ATTENTION
Punctuation Pop-up (HKLM\...\ConvertAd) (Version: 1.0.0.0 - Punctuation Pop-up) <==== ATTENTION
RegClean-Pro (HKLM\...\RegClean-Pro_is1) (Version: 6.21 - systweak.com) <==== ATTENTION
Shopper-Pro (HKLM\...\ShopperPro) (Version: - ) <==== ATTENTION
WinZipper (HKLM\...\WinZipper) (Version: 1.5.95 - Taiwan Shui Mu Chih Ching Technology Limited.) <==== ATTENTION
YAC(Yet Another Cleaner!) (HKLM\...\iSafe) (Version: - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION
YouTube Accelerator (HKLM\...\YouTube Accelerator) (Version: 3396(build_133) - Goobzo Ltd.) <==== ATTENTION
2) Otwórz Notatnik i wklej w nim:
Task: {00552E96-3195-4242-B61C-0986BBB58C0F} - System32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore => C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [2014-03-23] (PriceMeter) <==== ATTENTIONTask: {012020E2-9AA1-4CD4-BC2D-67EE42F47255} - System32\Tasks\SPBIW_UpdateTask_Time_3838323035323333332d3423412a55452a4123576c32 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 <==== ATTENTION
Task: {025C31A6-B6FE-4A63-AA7B-8E1D93823CDF} - System32\Tasks\RegClean Pro => C:\Program Files\RCP\RegCleanPro.exe [2015-02-19] () <==== ATTENTION
Task: {180BD6A6-B14F-426C-9286-EC428FDF4924} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files\RCP\RegCleanPro.exe [2015-02-19] () <==== ATTENTION
Task: {1EF8F809-D91E-49E9-BAFD-44771DA086BE} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Kasia\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) <==== ATTENTION
Task: {2A052E7C-C29C-4800-BE02-CDE6BB20DB9E} - System32\Tasks\ShopperProJSUpd => C:\Program Files\ShopperPro\updater.exe [2015-06-08] (Goobzo) <==== ATTENTION
Task: {31608755-B9CD-44EA-A2BE-F0BD2AFF81D7} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files\RCP\RegCleanPro.exe [2015-02-19] () <==== ATTENTION
Task: {3D959BE3-D9EA-4852-80DA-FCDA3FA966F4} - System32\Tasks\45ea0ed5-a7e1-4cd0-a81d-e7c600c974ff-5_user => C:\Program Files\CinemaPlus-3.2cV08.06\45ea0ed5-a7e1-4cd0-a81d-e7c600c974ff-5.exe [2015-06-08] (Cinema PlusV08.06) <==== ATTENTION
Task: {3EC9B0E2-5A4A-4ECA-A401-1BF27D5E5D4C} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe [2015-06-08] (AnyProtect.com) <==== ATTENTION
Task: {451B5E43-5C9F-4884-978C-E7C08045BB01} - System32\Tasks\pricemeterdownloader => C:\Users\Kasia\AppData\Local\PriceMeter\pricemeterd.exe <==== ATTENTION
Task: {4D39A20D-78C9-4C16-ACD9-F659A0E61C86} - System32\Tasks\Crossbrowse => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe [2015-06-08] () <==== ATTENTION
Task: {8FC29BEA-B7F3-4502-9C42-24935D25B2FE} - System32\Tasks\SPDriver => C:\Program Files\ShopperPro\JSDriver\1.42.1.1957\jsdrv.exe [2015-06-08] () <==== ATTENTION
Task: {A35D0FEA-8161-4637-A554-7E6CE3EED5F5} - System32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA => C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [2014-03-23] (PriceMeter) <==== ATTENTION
Task: {A8D907DC-B033-4237-A138-591ABC9FE197} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe [2015-06-08] (AnyProtect.com) <==== ATTENTION
Task: {BAFF4319-523C-4106-B7FE-4191400E44E6} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe [2015-06-08] (AnyProtect.com) <==== ATTENTION
Task: {BD77A3C9-6A8C-459C-BB60-F78AD47259CE} - System32\Tasks\45ea0ed5-a7e1-4cd0-a81d-e7c600c974ff-5 => C:\Program Files\CinemaPlus-3.2cV08.06\45ea0ed5-a7e1-4cd0-a81d-e7c600c974ff-5.exe [2015-06-08] (Cinema PlusV08.06) <==== ATTENTION
Task: {F3B12D9F-AA78-4146-BDA1-5851437F59C0} - System32\Tasks\ShopperPro => C:\Program Files\ShopperPro\ShopperPro.exe [2015-06-08] (Goobzo LTD) <==== ATTENTION
Task: C:\Windows\Tasks\45ea0ed5-a7e1-4cd0-a81d-e7c600c974ff-5.job => C:\Program Files\CinemaPlus-3.2cV08.06\45ea0ed5-a7e1-4cd0-a81d-e7c600c974ff-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\45ea0ed5-a7e1-4cd0-a81d-e7c600c974ff-5_user.job => C:\Program Files\CinemaPlus-3.2cV08.06\45ea0ed5-a7e1-4cd0-a81d-e7c600c974ff-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe <==== ATTENTION
Task: C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job => C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job => C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe <==== ATTENTION
Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe <==== ATTENTION
C:\Program Files\PriceMeterLiveUpdate
C:\ProgramData\ShopperPro
C:\Program Files\RCP
C:\Users\Kasia\AppData\Local\SmartWeb
C:\Program Files\ShopperPro
C:\Program Files\CinemaPlus-3.2cV08.06
C:\Program Files\AnyProtectEx
C:\Users\Kasia\AppData\Local\PriceMeter
C:\Program Files\Crossbrowse
C:\Program Files\Elex-tech
C:\Users\Kasia\AppData\Roaming\ASPackage
C:\Users\Kasia\AppData\Local\gmsd_pl_130
C:\Program Files\gmsd_pl_130
C:\Program Files\WinZipper
HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe
C:\Program Files\Mobogenie
HKLM\...\Run: [sPDriver] => C:\Program Files\ShopperPro\JSDriver\1.42.1.1957\jsdrv.exe [3225088 2015-06-08] ()
HKLM\...\Run: [smartWeb] => C:\Users\Kasia\AppData\Local\SmartWeb\SmartWebHelper.exe [270368 2015-02-17] (SoftBrain Technologies Ltd.)
HKLM\...\Run: [gmsd_pl_130] => C:\Program Files\gmsd_pl_130\gmsd_pl_130.exe [3984040 2015-06-08] ()
HKLM\...\Run: [Windesk Winsearch] => C:\Program Files\WindeskWinsearch\Windesk Winsearch.exe [1060744 2015-04-08] (Windesk Winsearch)
HKLM\...\RunOnce: [upgmsd_pl_130.exe] => C:\Users\Kasia\AppData\Local\gmsd_pl_130\upgmsd_pl_130.exe [3304904 2015-06-08] ()
HKU\S-1-5-21-1266292625-858870729-1075496977-1001\...\Run: [GoobzoYouTubeAccelerator] => "C:\Program Files\YouTube Accelerator\YouTubeAccelerator.exe"
HKU\S-1-5-21-1266292625-858870729-1075496977-1001\...\Run: [sPDriver] => C:\Program Files\ShopperPro\JSDriver\1.42.1.1957\jsdrv.exe [3225088 2015-06-08] ()
HKU\S-1-5-21-1266292625-858870729-1075496977-1001\...\Run: [GoogleChromeAutoLaunch_2AC7278C60DDE6B56FEC908AFCD7161A] => C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
Startup: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-06-08]
ShortcutTarget: crossbrowse.lnk -> C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe (Crossbrowse)
Startup: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-06-08]
ShortcutTarget: SmartWeb.lnk -> C:\Users\Kasia\AppData\Local\SmartWeb\SmartWebHelper.exe (SoftBrain Technologies Ltd.)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com?type=hp&ts=1433602323&from=mych123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=4580f1040437e88351953e3gez5cacfq3efobc7g7e
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1389292992&from=cor&uid=ST9320325AS_5VE2AN4CXXXX5VE2AN4C&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com?type=hp&ts=1433602323&from=mych123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=4580f1040437e88351953e3gez5cacfq3efobc7g7e
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1389292992&from=cor&uid=ST9320325AS_5VE2AN4CXXXX5VE2AN4C&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com?type=hp&ts=1433602323&from=mych123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=4580f1040437e88351953e3gez5cacfq3efobc7g7e
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com?type=hp&ts=1433602323&from=mych123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=4580f1040437e88351953e3gez5cacfq3efobc7g7e
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com?type=hp&ts=1433602323&from=mych123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=4580f1040437e88351953e3gez5cacfq3efobc7g7e
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com?type=hp&ts=1433602323&from=mych123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=4580f1040437e88351953e3gez5cacfq3efobc7g7e
HKU\S-1-5-21-1266292625-858870729-1075496977-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST9320325AS_5VE2AN4CXXXX5VE2AN4C&ts=1393414217&type=default&q={searchTerms}
HKU\S-1-5-21-1266292625-858870729-1075496977-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com?type=hp&ts=1433602323&from=mych123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=4580f1040437e88351953e3gez5cacfq3efobc7g7e
HKU\S-1-5-21-1266292625-858870729-1075496977-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com?type=hp&ts=1433602323&from=mych123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=4580f1040437e88351953e3gez5cacfq3efobc7g7e
HKU\S-1-5-21-1266292625-858870729-1075496977-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST9320325AS_5VE2AN4CXXXX5VE2AN4C&ts=1393414217&type=default&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1431421794&from=zzgbkk123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=92dcc741690e4eae49a8536g3zfccgdz6o6gbm4tdo&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389292992&from=cor&uid=ST9320325AS_5VE2AN4CXXXX5VE2AN4C&q={searchTerms}
SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1431421794&from=zzgbkk123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=92dcc741690e4eae49a8536g3zfccgdz6o6gbm4tdo&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1266292625-858870729-1075496977-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1431421794&from=zzgbkk123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=92dcc741690e4eae49a8536g3zfccgdz6o6gbm4tdo&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1266292625-858870729-1075496977-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST9320325AS_5VE2AN4CXXXX5VE2AN4C&ts=1393414217&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1266292625-858870729-1075496977-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1431421794&from=zzgbkk123&uid=st9320325as_5ve2an4cxxxx5ve2an4c&z=92dcc741690e4eae49a8536g3zfccgdz6o6gbm4tdo&q={searchTerms}
BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll [2015-06-08] (Goobzo Ltd.)
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\aartemis.xml [2013-11-25]
CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2014-01-09]
CHR HKLM\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - No Path Or update_url value
FF Plugin: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=3 -> C:\Program Files\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll [2014-03-23] (PriceMeter)
FF Plugin: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=9 -> C:\Program Files\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll [2014-03-23] (PriceMeter)
R2 iSafeService; C:\Program Files\Elex-tech\YAC\iSafeSvc.exe [118048 2015-05-04] (Elex do Brasil Participações Ltda)
S2 pricemeterliveUpdate; C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [150504 2014-03-23] (PriceMeter)
S3 pricemeterliveUpdatem; C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [150504 2014-03-23] (PriceMeter)
R2 serveras; C:\Users\Kasia\AppData\Roaming\ASPackage\ASSrv.exe [183808 2015-06-08] () [File not signed]
R2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe
R2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe
R1 iSafeKrnl; C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys [226024 2015-05-04] (Elex do Brasil Participações Ltda)
S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [48784 2015-05-04] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys [96424 2015-05-04] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlMon; C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [43536 2015-05-04] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys [71744 2015-05-04] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [44712 2015-04-17] (Elex do Brasil Participações Ltda)
C:\Windows\System32\DRIVERS\iSafeNetFilter.sys
C:\Program Files\Common Files\ShopperPro
R3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
c:\Users\Public\Desktop\Crossbrowse.lnk
C:\Users\Kasia\AppData\Local\Crossbrowse
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse
C:\Users\Kasia\AppData\Local\nsh922B.tmp
C:\Users\Kasia\Desktop\AnyProtect.lnk
C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
C:\Users\Kasia\AppData\Local\nsvE3A5.tmp
C:\Program Files\WindeskWinsearch
C:\Users\Kasia\AppData\Local\Windesk_Winsearch
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindeskWinsearch
C:\Users\Public\Desktop\WindeskWinsearch.lnk
C:\Users\Kasia\AppData\Local\nssEEF4.tmp
C:\Users\Kasia\AppData\Roaming\AnyProtectEx
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro
C:\Program Files\Infonaut_1.10.0.14
C:\ProgramData\ShopperPro
C:\Users\Public\Documents\ShopperPro
C:\Users\Public\Documents\GOOBZO
C:\Program Files\YouTube Accelerator
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator
C:\ProgramData\boost_interprocess
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
3) Zrób log z Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323
4) Zrób nowe logi FRST.
jessi
-
to jest tylko coś w rodzaju systemowego linku umownego - a tak naprawdę folder z obrazami istnieje w innej lokalizacji.
Tak więc zostaw ten folder w spokoju.
jessi
EDIT: dopiero teraz zauważyłam, że temat jest w dziale mającym swojego Moderatotora, który jest uprawniony do udzielania odpowiedzi.
-
SpyHunter -Odinstaluj, ale w ten sposób:
kliknij na tę ikonkę C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk (czyli >>START >>Programy>>Spy Hunter>>Unnistal)
wyskoczy okienko, ale zamiast klikać wielki zielony guzik "continue" kliknij "no, thanks". To drugie odinstalowuje.Otwórz Notatnik i wklej w nim:
HKU\S-1-5-21-2932149468-3538548085-1955584924-1000\Software\Classes\.exe: exefile => <===== ATTENTION!
HKU\S-1-5-21-2932149468-3538548085-1955584924-1000\Software\Classes\exefile: <===== ATTENTION!
Task: C:\Windows\Tasks\SpyHunter4.job => C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe
C:\Program Files\Enigma Software Group
Task: {B785BFEB-2A3A-4AAE-94F4-FCDC17E53790} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe
Task: {FF7A0896-A478-43A6-B949-57EA6EA1D040} - System32\Tasks\SpyHunter4 => C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter" /f
C:\Users\Mako\Start Menu\Programs\SpyHunter
C:\Users\Mako\Desktop\SpyHunter.lnk
ShortcutWithArgument: C:\Users\Mako\Start Menu\Programs\SpyHunter\SpyHunter Emergency Startup.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.com"
ShortcutWithArgument: C:\Users\Mako\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\Mako\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh
C:\Users\Mako\AppData\Roaming\Enigma Software Group
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2932149468-3538548085-1955584924-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe
S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys
C:\Windows\System32\DRIVERS\EsgScanner.sys
S0 szkgfs; system32\drivers\szkgfs.sys [X]
C:\sh4ldr
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.
Uruchom FRST i kliknij przycisk Fix.jessi
-
W logu Adw-Cleaner'a nie widzę niczego, czego nie powinien by usuwać, wiec pozwól mu usunąć, to, co wykrył:
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Napisz, jak teraz oceniasz sytuację, czy nastąpiła poprawa?
jessi
-
HKU\S-1-5-21-3917850209-3315541947-2670492561-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://hi.ru/search/?q={searchTerms}
HKU\S-1-5-21-3917850209-3315541947-2670492561-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://hi.ru/?10
W nowym logu jeszcze widzę to powyższe, więc:
Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-3917850209-3315541947-2670492561-1001\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.google.com/" [HKEY_USERS\S-1-5-21-3917850209-3315541947-2670492561-1001\Software\Microsoft\Internet Explorer\Main] "Search Page"="http://www.google.com/"
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>plik uruchom (dwuklik i OK).
Zrestartuj komputer.
Sprawdź, czy "hi.ru" przestała się pokazywać?
jessi
-
https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/?do=findComment&comment=168862
------------------------------------
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTIONOdinstaluj ten program.
Otwórz Notatnik i wklej w nim:
Task: {172D4215-5C37-45A2-844F-7595EB2E6860} - System32\Tasks\1f603e93-6ed1-48bd-a875-4aadbe98c91f-1-6 => C:\Program Files (x86)\SavePass 1.1\1f603e93-6ed1-48bd-a875-4aadbe98c91f-1-6.exe <==== ATTENTION
Task: {2371D913-F666-4DE2-949E-1F357CF8B782} - System32\Tasks\Super Optimizer Schedule => C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe <==== ATTENTION
C:\Program Files (x86)\Super Optimizer
C:\Program Files (x86)\SavePass 1.1
C:\Program Files (x86)\globalUpdate
Task: {68D46E18-852A-42C5-8967-16CE7F7B6758} - System32\Tasks\1f603e93-6ed1-48bd-a875-4aadbe98c91f-1-7 => C:\Program Files (x86)\SavePass 1.1\1f603e93-6ed1-48bd-a875-4aadbe98c91f-1-7.exe <==== ATTENTION
Task: {6935E694-A347-4048-96F6-DF4DD8215544} - System32\Tasks\1f603e93-6ed1-48bd-a875-4aadbe98c91f-5_user => C:\Program Files (x86)\SavePass 1.1\1f603e93-6ed1-48bd-a875-4aadbe98c91f-5.exe <==== ATTENTION
Task: {71130F85-16E0-4A38-8B39-CCED24FFEF60} - System32\Tasks\1f603e93-6ed1-48bd-a875-4aadbe98c91f-4 => C:\Program Files (x86)\SavePass 1.1\1f603e93-6ed1-48bd-a875-4aadbe98c91f-4.exe <==== ATTENTION
Task: {7B787772-5688-4C29-935D-16A5263D57F4} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-06-10] (globalUpdate) <==== ATTENTION
Task: {87FEEE68-9F4B-4461-AF7F-403EADE6C489} - System32\Tasks\1f603e93-6ed1-48bd-a875-4aadbe98c91f-5 => C:\Program Files (x86)\SavePass 1.1\1f603e93-6ed1-48bd-a875-4aadbe98c91f-5.exe <==== ATTENTION
Task: {E9303B91-7AC8-48BB-900F-1563A8826AB2} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-06-10] (globalUpdate) <==== ATTENTION
Task: C:\Windows\Tasks\1f603e93-6ed1-48bd-a875-4aadbe98c91f-1-6.job => C:\Program Files (x86)\SavePass 1.1\1f603e93-6ed1-48bd-a875-4aadbe98c91f-1-6.exe <==== ATTENTION
Task: C:\Windows\Tasks\1f603e93-6ed1-48bd-a875-4aadbe98c91f-1-7.job => C:\Program Files (x86)\SavePass 1.1\1f603e93-6ed1-48bd-a875-4aadbe98c91f-1-7.exe <==== ATTENTION
Task: C:\Windows\Tasks\1f603e93-6ed1-48bd-a875-4aadbe98c91f-10_user.job => C:\Program Files (x86)\SavePass 1.1\1f603e93-6ed1-48bd-a875-4aadbe98c91f-10.exe <==== ATTENTION
Task: C:\Windows\Tasks\1f603e93-6ed1-48bd-a875-4aadbe98c91f-4.job => C:\Program Files (x86)\SavePass 1.1\1f603e93-6ed1-48bd-a875-4aadbe98c91f-4.exe <==== ATTENTION
Task: C:\Windows\Tasks\1f603e93-6ed1-48bd-a875-4aadbe98c91f-5.job => C:\Program Files (x86)\SavePass 1.1\1f603e93-6ed1-48bd-a875-4aadbe98c91f-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\1f603e93-6ed1-48bd-a875-4aadbe98c91f-5_user.job => C:\Program Files (x86)\SavePass 1.1\1f603e93-6ed1-48bd-a875-4aadbe98c91f-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
R2 cae99edb; c:\Program Files (x86)\Super Optimizer\SupOptStats.dll [3117104 2015-06-10] ()
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-06-10] (globalUpdate) [File not signed] <==== ATTENTION
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-06-10] (globalUpdate) [File not signed] <==== ATTENTION
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\Maciek\AppData\Local\nsw681D.tmp
C:\ProgramData\{da8bf5fd-d0c4-c19c-da8b-bf5fdd0cd7f7}
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób log z Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323
Zrób nowe logi FRST
Potem pozostanie już tylko czekanie, albo na @Picasso, albo na @Naathim
jessi
-
https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/?do=findComment&comment=168547
--------------------------------------------
Zarażone są skróty , z których uruchamiasz przeglądarki.
Dodatkowo nie podobają mi się te DNS:
Tcpip\Parameters: [DhcpNameServer] 146.185.239.242 8.8.8.8
Jeśli używasz routera, to:
Zaloguj się do routera:
- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami:
http://multimo.telestrada.pl/uwaga1
http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie:
http://cert.orange.pl/modemscan/Otwórz Notatnik i wklej w nim:
ShortcutWithArgument: C:\Users\Michal\Desktop\Google Chrome.lnk -> C:\Users\Michal\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hi.ru/?10
ShortcutWithArgument: C:\Users\Michal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Users\Michal\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hi.ru/?10
ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://hi.ru/?10
HKLM-x32\...\Run: [] => [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób nowe logi FRST.
jessi
-
Otwórz Notatnik i wklej w nim:
Task: {90AF88A9-7499-4423-9164-E285BC8008E3} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
C:\Program Files (x86)\MyPC Backup
C:\Program Files (x86)\XTab
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413656238&from=cor&uid=SAMSUNGXHD103SJ_S246J9KB517054&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413656238&from=cor&uid=SAMSUNGXHD103SJ_S246J9KB517054&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419009666&from=wpm12173&uid=SAMSUNGXHD103SJ_S246J9KB517054
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419009666&from=wpm12173&uid=SAMSUNGXHD103SJ_S246J9KB517054
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413656238&from=cor&uid=SAMSUNGXHD103SJ_S246J9KB517054&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413656238&from=cor&uid=SAMSUNGXHD103SJ_S246J9KB517054&q={searchTerms}
HKU\S-1-5-21-2600933460-2923366163-2236149894-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1419009666&from=wpm12173&uid=SAMSUNGXHD103SJ_S246J9KB517054&q={searchTerms}
HKU\S-1-5-21-2600933460-2923366163-2236149894-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419009666&from=wpm12173&uid=SAMSUNGXHD103SJ_S246J9KB517054
HKU\S-1-5-21-2600933460-2923366163-2236149894-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419009666&from=wpm12173&uid=SAMSUNGXHD103SJ_S246J9KB517054
HKU\S-1-5-21-2600933460-2923366163-2236149894-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1419009666&from=wpm12173&uid=SAMSUNGXHD103SJ_S246J9KB517054&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2600933460-2923366163-2236149894-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1430880290&from=wpm05063&uid=SAMSUNGXHD103SJ_S246J9KB517054&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2600933460-2923366163-2236149894-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1430880290&from=wpm05063&uid=SAMSUNGXHD103SJ_S246J9KB517054&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1413656238&from=cor&uid=SAMSUNGXHD103SJ_S246J9KB517054
FF NewTab: chrome://quick_start/content/index.html
FF SelectedSearchEngine: delta-homes
FF Homepage: chrome://speeddial/content/speeddial.xul
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml [2014-12-19]
FF Extension: Search Enginer - C:\Users\cfirek\AppData\Roaming\Mozilla\Firefox\Profiles\edgsez7u.default\Extensions\sweetsearch@gmail.com [2015-05-06]
FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\cfirek\AppData\Roaming\Mozilla\Firefox\Profiles\edgsez7u.default\extensions\quick_searchff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\cfirek\AppData\Roaming\Mozilla\Firefox\Profiles\edgsez7u.default\extensions\sweetsearch@gmail.com
R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158816 2015-04-30] () [File not signed]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób log z Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323
Zrób nowe logi FRST.
jessi
-
Czyli wiemy, że nic nie wiemy.
Otwórz Notatnik i wklej w nim:
Folder: I:\B L U E
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.jessi
-
OK, wykonane.
Nie kończymy, bo temat zaczęła @Picasso, więc właściwie to Ona powinna zakończyć.
jessi
-
Nie, problem znikl po pierwszym fix'ie.
Skoro problem znikł, to wyszukiwanie dodatkowe było niepotrzebne.
Chyba możemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
jessi
-
W logach nie widzę niczego podejrzanego.
W sprawie problemu musisz czekać na @Picasso - jest chora, więc nie wiadomo, kiedy będzie miała możliwość pomagania tu.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-448808044-3182844176-1093121363-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-448808044-3182844176-1093121363-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com?cid={D8996255-AFB2-4B5F-A72C-51E7FBB9E3BA}&mid=efac6e9480ca47cdb93d0119dfcad56d-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-12-2818:44:13&v=4.0.5.7&pid=wtu&sg=&sap=hp
Toolbar: HKU\S-1-5-21-448808044-3182844176-1093121363-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 NTIOLib_1_0_4; \??\C:\Program Files (x86)\MSI\Live Update\NTIOLib_X64.sys [X]
S3 X6va022; \??\C:\Windows\SysWOW64\Drivers\X6va022 [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMS\espanyol.txt.lnk -> E:\Luq Biznes Zone\MAILING YAMS\espanyol.txt (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMS\help.txt.lnk -> E:\Luq Biznes Zone\MAILING YAMS\help.txt (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMS\indonesia.txt.lnk -> E:\Luq Biznes Zone\MAILING YAMS\indonesia.txt (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMS\nederlands.txt.lnk -> E:\Luq Biznes Zone\MAILING YAMS\nederlands.txt (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMS\portugues.txt.lnk -> E:\Luq Biznes Zone\MAILING YAMS\portugues.txt (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMS\Uninstall.lnk -> E:\Luq Biznes Zone\MAILING YAMS\uninstall.exe (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMS\yams.exe.lnk -> E:\Luq Biznes Zone\MAILING YAMS\yams.exe (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\License Agreement.lnk -> C:\11111\RAR Password Cracker\License.txt (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker Registration.lnk -> C:\11111\RAR Password Cracker\rpc.exe (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker Wizard.lnk -> C:\11111\RAR Password Cracker\rpc.exe (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker.lnk -> C:\11111\RAR Password Cracker\rpc.exe (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\Readme.lnk -> C:\11111\RAR Password Cracker\Readme.txt (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\Äë˙ đóńńęčő.lnk -> C:\11111\RAR Password Cracker\Äë˙ đóńńęčő.txt (No File)
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.jessi
Podejrzenie infekcji, svchost.exe mocno obciążony
w Dział pomocy doraźnej
Opublikowano
https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/
Nie wiem, kiedy @Picasso lub @Naathim będą mogli pomagać.
-----------------------------------------------
1) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
2) Otwórz Notatnik i wklej w nim:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
Zrób nowe logi FRST
jessi