jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Chyba możemy kończyć:
Otwórz Notatnik i wklej w nim:
S2 SPDRIVER_1.37.0.871; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.871\jsdrv.sys [X]
S2 YouTubeAcceleratorService; C:\PROGRA~2\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X]
DeleteQuarantine:
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
jessi
-
-
W nowych logach nie widzę już niczego szkodliwego, więc chyba możemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
jessi
-
1. Odinstaluj: Akamai NetSession Interface, BitGuard, Delta toolbar, istartsurf uninstall.
2. Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
3. Otwórz Notatnik i wklej w nim:
Task: {3D75E5A8-9B18-4E0A-876E-F2896478E7F2} - System32\Tasks\Installer_sense => C:\Users\Victoria\AppData\Local\Installer\Installsense_300\delay.exe <==== ATTENTION
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Task: {FDB52F42-C03C-4864-A7BF-938DE72F93CE} - System32\Tasks\Installer_iwebar => C:\Users\Victoria\AppData\Local\Installer\Installiwebar_300\delay.exe <==== ATTENTION
C:\Users\UpdatusUser\Desktop\PDF Blender.lnk
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
HKU\S-1-5-21-3094628068-4059591873-1470419566-1002\...\Run: [Akamai NetSession Interface] => C:\Users\Victoria\AppData\Local\Akamai\netsession_win.exe [4489472 2013-06-05] (Akamai Technologies, Inc.)
HKU\S-1-5-21-3094628068-4059591873-1470419566-1002\...\Run: [AdobeBridge] => [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=EC87001E101FDB3B&affID=119357&tt=240913_91215&tsp=5016
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=EC87240A64695898&affID=125839&tsp=5038
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}
BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll (Goobzo Ltd.)
C:\ProgramData\YTAHelper\YTAHelper64.dll
BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File
Toolbar: HKLM-x32 - No Name - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No File
FF NewTab: hxxp://www.istartsurf.com/newtab/?type=nt&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
FF DefaultSearchEngine: istartsurf
FF SelectedSearchEngine: istartsurf
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\istartsurf.xml
FF Extension: Fast Start - C:\Users\Victoria\AppData\Roaming\Mozilla\Firefox\Profiles\d12wegkw.default\Extensions\faststartff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Victoria\AppData\Roaming\Mozilla\Firefox\Profiles\d12wegkw.default\extensions\faststartff@gmail.com
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081
CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
CHR Plugin: (WildTangent Games App V2 Presence Detector) - C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll No File
CHR Plugin: (McAfee SecurityCenter) - c:\PROGRA~2\mcafee\msc\NPMCSN~1.DLL No File
C:\ProgramData\YTAHelper
C:\Program Files\Common Files\ShopperPro
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\ShopperPro
C:\ProgramData\IePluginServices
C:\WINDOWS\System32\Tasks\Installer_iwebar
C:\WINDOWS\System32\Tasks\Installer_sense
C:\Users\Public\Documents\YTAHelper
C:\Users\Public\Documents\ShopperPro
C:\Users\Public\Documents\GOOBZO
C:\Program Files (x86)\YTAHelper
C:\Program Files (x86)\SupTab
C:\Users\Victoria\AppData\Roaming\istartsurf
C:\WINDOWS\system32\sru
C:\ProgramData\SetStretch.exe
C:\ProgramData\SetStretch.VBS
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
4. Zrób nowe logi z FRST.
5. Zainstaluj nowszą, bezpieczniejszą wersję Javy 32-bit: KLIK. Być może trzeba też zainstalować nowszą wersję Javy 64 bit
jessi
-
@Picasso na razie nie ma czasu przeglądac logów, a ja w nich nie widzę żadnej infekcji.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
S3 GMSIPCI; \??\J:\INSTALL\GMSIPCI.SYS [X]
S2 LckFldService; C:\WINDOWS\system32\LckFldService.exe [X]
HKU\S-1-5-21-1060284298-1897051121-1801674531-1003\...\Run: [] => [X]
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.jessi
-
też nie istnieje u Ciebie.
Tak więc nie mam się do czego "przyczepić", wszystko jest OK.
SweetPacks bundle uninstaller
UpSwing
Jeszcze raz sprawdź, czy te programy zniknęły z listy Twoich programów.
Jeśli są, to odinstaluj.
jessi
-
"infolinks" nie istnieje.
sprawdzimy następny:
Do SystemLook wklej:
:filefind
*nav-links.*
:regfind
nav-linksNaciśnij Look i pokaż raport.
jessi
-
Do SystemLook wklej:
:filefind
*infolinks.*
:regfind
infolinks
Naciśnij Look i pokaż raport.
podaj też nazwy innych stron reklamowych.
jessi
-
Znasz ten program?
UpSwing (HKCU\...\59468cfbffaf7c83) (Version: 1.0.0.62 - UpSwing)
Nic wiecej podejrzanego w logach nie widzę.
1. Na wszelki wypadek użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
2. Opróżnimy przy okazji foldery TEMP. Otwórz Notatnik i wklej w nim:
HKU\S-1-5-21-606747145-1409082233-1801674531-1004\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Documents and Settings\user\Dane aplikacji\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid e1550c2359c3be5c638c477affd5c71c-bff81dce305edee65692b8468e171ef1ccdff3f8 --CMPID 0913
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
jessi
-
Otwórz Notatnik i wklej w nim:
C:\Documents and Settings\Admin\xeaya.exe
C:\Documents and Settings\Admin\diefioj.exe
C:\Documents and Settings\Ewa\ciedeih.exe
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
R3 WMI_MFC_TPSHOKER_80; \??\C:\WINDOWS\system32\drivers\gmsmsn.sys [X]
Reg: reg delete "HKCU\software\microsoft\windows\currentversion\explorer\mountpoints2"
C:\FOUND.007
C:\Program Files\Program Files.exe
C:\Program Files\Common Files\Common Files.exe
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.Daj ten log.
Zrób nowe logi z FRST.
jessi
-
1. Odinstaluj ClearThink.
2. Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego. Pokaż raport z niego.
3. Otwórz Notatnik i wklej w nim:
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
4. Zrób nowe logi z FRST (już bez Shortcut).
Application errors:
==================
Error: (08/28/2014 03:44:39 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
To tylko tak przy okazji (bez związku ze śmieciami).
Aby automatycznie rozwiązać ten problem, kliknij > Fix.it. na tej stronie: KLIK
Następnie kliknij przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonaj kroki w kreatorze Fix.it.
jessi
-
1. Odinstaluj Genesis.
2. Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
3. Otwórz Notatnik i wklej w nim:
Task: {24A41573-B7CE-4C3D-AE81-C004C2E69293} - System32\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-1 => C:\Program Files (x86)\Plus-HD-9.1\Plus-HD-9.1-codedownloader.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Task: {4411D375-4B6C-4DD1-877A-1810C4AB2550} - System32\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-3 => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-3.exe
Task: {8F2236AB-B53C-4BFE-AA3C-FAAE04C8885E} - System32\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-4 => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-4.exe
Task: {C7CAA882-B2D5-47F5-8463-AC8FC0DBA13A} - System32\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-2 => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-2.exe
Task: {D2664D78-6905-4A2C-8D5D-FE34AB3AF3C8} - System32\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-5 => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-5.exe
Task: C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-1.job => C:\Program Files (x86)\Plus-HD-9.1\Plus-HD-9.1-codedownloader.exe <==== ATTENTION
Task: C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-2.job => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-2.exe <==== ATTENTION
Task: C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-3.job => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-3.exe <==== ATTENTION
Task: C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-4.job => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-4.exe <==== ATTENTION
Task: C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-5.job => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-5.exe <==== ATTENTION
C:\Users\oem\AppData\Roaming\SupTab
C:\Program Files (x86)\Plus-HD-9.1
HKLM-x32\...\Run: [fst_pl_107] => [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}
BHO: Plus-HD-9.1 -> {11111111-1111-1111-1111-110511291116} -> No File
CHR Extension: (Plus-HD-9.1) - C:\Users\oem\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaipilfmheplbcghignccoiiebekkdhe
S2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe -service [X]
C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-3.job
C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-4.job
C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-5.job
C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-1.job
C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-2.job
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
Daj ten log.
4. Zrób nowe logi z FRST (już bez Shortcut)
Tak przy okazji (bez związku ze śmieciami):
Application errors:
==================
Error: (08/28/2014 03:18:20 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Aby automatycznie rozwiązać ten problem, kliknij > Fix.it na stronie: KB2545227.
Następnie kliknij przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonaj kroki w kreatorze Fix.it.
jessi
-
1) Odinstaluj:
AVG Security Toolbar (HKLM-x32\...\AVG Secure Search) (Version: 18.1.9.799 - AVG Technologies)
Babylon Chrome Toolbar (HKLM-x32\...\{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}) (Version: 2.0.0.4 - Babylon Ltd) <==== ATTENTION
Babylon toolbar (HKLM-x32\...\BabylonToolbar) (Version: - BabylonToolbar) <==== ATTENTION
DealPly (HKCU\...\DealPly) (Version: - ) <==== ATTENTION DealPly (remove only) (HKLM-x32\...\DealPly) (Version: 4.8.6.3 - DealPly Technologies Ltd.) <==== ATTENTION
free-downloads.net Toolbar (HKLM-x32\...\free-downloads.net Toolbar) (Version: - ) <==== ATTENTION
PDF Reader Packages (HKCU\...\PDF Reader Packages) (Version: - ) <==== ATTENTION
Smiley Bar for Facebook (HKLM-x32\...\Smiley Bar for Facebook) (Version: 1.0.0.1 - Plus Winks) <==== ATTENTION
Speed Analysis 2 (HKLM-x32\...\Speed Analysis 2) (Version: 1.0.0.0 - SpeedAnalysis.com) <==== ATTENTION
SweetIM for Messenger 3.7 (HKLM-x32\...\{A0C9DF2B-89B5-4483-8983-18A68200F1B4}) (Version: 3.7.0007 - SweetIM Technologies Ltd.) <==== ATTENTION
SweetPacks bundle uninstaller (HKLM-x32\...\{953AA732-9AFB-49C9-84A4-7F96CA0A08DA}) (Version: 1.0.0001 - SweetIM Technologies Ltd.) <==== ATTENTION
Update Manager for SweetPacks 1.1 (HKLM-x32\...\{EA8FA6BE-29BE-4AF2-9352-841F83215EB0}) (Version: 1.1.0008 - SweetIM Technologies Ltd.) <==== ATTENTION
uTorrentControl_v2 Toolbar (HKLM-x32\...\uTorrentControl_v2 Toolbar) (Version: 6.9.0.16 - uTorrentControl_v2) <==== ATTENTION
EDIT:
Dziś Forum fatalnie działa, tekst zlewa się w jedną sieczkę, nie działa BBCCode.
2) Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
3) Zrób nowe logi - już bez GMER.
jessi
-
System errors:
=============
Error: (08/26/2014 10:09:24 PM) (Source: Service Control Manager) (EventID: 7024) (User: )
Description: Usługa Usługa nasłuchująca grup domowych zakończyła działanie; wystąpił specyficzny dla niej błąd %%-2147023143.
Error: (08/26/2014 10:07:37 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu:
%%1083
Error: (08/26/2014 10:07:32 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Zapora systemu Windows zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu:
%%1083
To dziwne, jak dla mnie: nie widzę infekcji ZeroAcces, ani żadnej innej, a wygląda na to, że usługa BFE jest uszkodzona.
Być może ZeroAcces już usunąłeś, bo uzwałeś różne narzędzia.
Użyty był też ServiceRepair, więc teoretycznie powinien naprawić BFE.
Zrób log z Farbar Service Scanner.
Przy okazji. Otwórz Notatnik i wklej w nim:
FF Keyword.URL: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=2&q=
FF SearchPlugin: C:\Users\BLALA\AppData\Roaming\Mozilla\Firefox\Profiles\9fho67jp.default\searchplugins\conduit.xml
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
jessi
-
Co do tego komunikatu:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2012-10-29 15:50:57 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\lsass.exe
O4 - Startup: C:\Users\Bartaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera.
Pokaż raport, który pokaże się po restarcie.
Zrób wszystkie wymagane logi (OTL, FRST, GMER), - @Picasso na pewno się o nie upomni!
A do usuwania będzie dużo więcej, bo jest np. ZEROACCESS, są sponsorskie śmieci.
W związku z ZeroAcces'em możesz też od razu zrobić log z Farbar Service Scanner.
jessi
-
[2014/08/16 18:17:35 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ClearThink
Odinstaluj tego śmiecia. Może po jego usunięciu uda Ci się zrobić pozostałe wymagane logi?
Są oczywiście jeszcze inne śmieci, np: SaveSense.
DRV:64bit: - [2014/08/15 21:23:46 | 000,061,072 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys -- ({c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64)
ale ich usuwanie poda już @Picasso.
jessi
-
Nie można odnaleźć określonego pliku:
C:\WINDOWS\system32>
jakiego konkretnie pliku?
jessi
-
Po wyborze "szukaj" po kilku sekundach pojawia się taki oto komunikat, po naciśnięciu "OK" program się wyłącza.
Wyłącz Antywirusa, i ściągnij od nowa Adw-Cleaner.
Jeśli mimo to sytuacja się powtórzy, to pominiesz ten krok i przejdziesz do następnych.
Czy jest to pewnie że @Picasso będzie dzisiaj?https://www.fixitpc.pl/topic/23615-picasso-update-status/?do=findComment&comment=151677
jessi
-
Dziś lub jutro zajrzy znów na Forum po długiej chorobie @Picasso, więc oczywiście możesz poczekać na Jej zalecenia; moich zaleceń wcale nie musisz wykonywać!
1) Odinstaluj MyFreeCodec (HKCU\...\MyFreeCodec) (Version: - )
2) Jeśli nie używasz, to odinstaluj Qtrax Player
3) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt4) Otwórz Notatnik i wklej w nim:
Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\WINDOWS\TEMP\{71E10EB2-A610-46E9-B7A2-DD2DA785E39D}.exe
Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{101F3DD6-CD60-4D64-9E90-BBEB10B19039}.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21-1644491937-117609710-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-1644491937-117609710-682003330-1003\...\Run: [Host-process Windows (Rundll32.exe)] => C:\Documents and Settings\Górski\Dane aplikacji\csrss.exe
C:\Documents and Settings\Górski\Dane aplikacji\csrss.exe
HKU\S-1-5-21-1644491937-117609710-682003330-1006\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB
HKU\S-1-5-21-1644491937-117609710-682003330-1006\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] => "C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP
C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe
C:\Program Files\AVG Secure Search
SearchScopes: HKCU - {C0C4A29C-2EA9-400D-A152-10F819F9C204} URL = http://start.funmoods.com/results.php?f=4&a=vsl&q={searchTerms}
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
FF HKLM\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files\RelevantKnowledge\firefox
FF Extension: RelevantKnowledge - C:\Program Files\RelevantKnowledge\firefox
C:\Program Files\RelevantKnowledge
CHR HomePage: hxxp://isearch.avg.com/?cid={D58B11E0-ADCF-4AC1-8CC5-12EA05654816}&mid=7bded0560b924db4bb9e2db061844bb9-de27ce43eb7d342c27ac43ca021e07458ef1e393&lang=pl&ds=xn011&pr=sa&d=2013-01-31%2009:46:05&v=13.3.0.17&sap=hp
CHR StartupUrls: "hxxp://www.sweet-page.com/?type=hp&ts=1406548088&from=cor&uid=WDCXWD5000AAKS-22A7B0_WD-WCASY210110801108"
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X]
C:\WINDOWS\system32\Drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gt.sys
C:\Documents and Settings\All Users\Dane aplikacji\2308189059
C:\Program Files\Deal Keeper
C:\Documents and Settings\All Users\Menu Start\Programy\RelevantKnowledge
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ajnu36l8.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\alujhc_9.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\AVG.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\bzmoxrkm.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.11.1.7324-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.12.0.7335-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.12.1.7342-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.12.1.7351-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.13.0.7366-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.13.0.7376-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.14.0.7387-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.14.1.7394-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.15.0.7430-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\fg2flycz.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ggdrive-menu.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ggdrive-overlay.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\gwunstal.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\hpzmsi01.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\hpzscr01.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ICReinstall_Opera 12.16.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\installstats.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\jre-6u30-windows-i586-iftw-rv.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\mirc722.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\NEventMessages.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\NOSEventMessages.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\npp.6.6.3.Installer.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\SCC.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Shockwave_Installer_Slim.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\SkypeSetup.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\SRLDetectionLibrary7297182879069303379.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\swt-win32-3349.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\swt-win32-3740.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ueinuj-7.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\uninst1.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Update_89A.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\xmlUpdater.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\_89A.exe
Shortcut: C:\Documents and Settings\Górski\Menu Start\Programy\YaTQA.lnk -> E:\Program Files\YaTQA\yatqa.exe (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\config.xml.LNK -> C:\Documents and Settings\Górski\Moje dokumenty\Downloads\config.xml (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI06.488.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI06.488 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI16.064.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI16.064 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI43.024.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI43.024 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI47.152.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI47.152 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI49.024.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI49.024 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI51.064.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI51.064 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\specyfikacja.doc.LNK -> C:\Documents and Settings\Górski\Pulpit\MARCIN\PROJEKT PANEL!\specyfikacja.doc (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\straz pozarna.jpg.LNK -> C:\Documents and Settings\Górski\Pulpit\straz pozarna.jpg (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\system binarny.xls.LNK -> C:\Documents and Settings\Górski\Pulpit\system binarny.xls (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Temp.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp ()
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\USB DISK (G).LNK -> G:\ (No File)
Reboot:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.5) Zrób nowe logi FRST.
6 Pokaż, co wykrył MBAM - jeśli jeszcze masz tamten raport z niego.
jessi
-
Źle trafilłeś, bo @Picasso jest chora, i może dopiero we wtorek tu zajrzy.
Ja w logach nie widzę niczego podejrzanego.
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1Tcpip\..\Interfaces\{09C6C7C9-FCD3-4B98-838F-C8C18AC52905}: [NameServer]156.154.70.25,156.154.71.25
Tcpip\..\Interfaces\{70B41D36-EC1F-44B0-BC3E-064070B97A5D}: [NameServer]156.154.70.25,156.154.71.25
DNS'y masz prawidłowe: pierwszy to Twego dostawcy internetowego, dwa pozostałe to DNS'y Comodo (a tego masz zainstalowanego)
jessi
-
Ten plik "upt4pc_pl_21.exe" - zostawiamy w spokoju.
Raport z Adw-Cleaner dałeś nie ten, co potrzeba - ale to i tak nieważnie, bo nic nie wykrył.
Tylko kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2014-03-27 13:04:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\SupTab
[2013-11-18 10:49:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\systweak
[2013-10-29 10:38:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\FoxTab
[2014-04-02 17:10:41 | 000,000,916 | ---- | M] () -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\Mozilla\Firefox\Profiles\73fl36jl.default\searchplugins\conduit-search.xml
[2014-06-13 13:58:53 | 000,000,000 | ---D | M] ("Fast Start") -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\Mozilla\Firefox\Profiles\73fl36jl.default\extensions\faststartff@gmail.com
[2014-06-13 13:59:00 | 000,000,000 | ---D | M] ("shortcut") -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\Mozilla\Firefox\Profiles\73fl36jl.default\extensions\shortcutff@gmail.com
[2014-04-26 13:35:17 | 000,002,542 | ---- | M] () -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\Mozilla\Firefox\Profiles\73fl36jl.default\searchplugins\ask-search.xml
FF - prefs.js..browser.search.defaultenginename: "delta-homes"
FF - prefs.js..browser.search.selectedEngine: "delta-homes"
:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1801674531-813497703-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt.Raportu z tego już nie dawaj. Wszystko jest OK.
SRV - [2014-07-07 20:00:59 | 000,246,112 | ---- | M] () [Auto | Stopped] -- C:\Program Files\PLAY ONLINE\UpdateDog\ouc.exe -- (PLAY ONLINE. RunOuc)Być może źródłem problemu jest ta powyższa usługa.
Ale to nie infekcja.
jessi
-
Zarażony router? Przepraszam za brak wiedzy w tym kierunku, wiem tylko, że jest to oryginalny router z orange, ale nie wiem, jak sprawdzić czy jest on zainfekowany, czy nie.
Na komputerze są już prawidłowe DNS'y:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1120887E-0A0E-4B30-99CA-B978488219C5}: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{218919CB-CA68-4737-82F7-83C9CA92ABAD}: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{87350B16-6591-49F4-8D72-7201A0867706}: DhcpNameServer = 192.168.1.1
Jeśli problem dalej występuje, to trzeba zresetować router.
Jeśli nie wiesz jak, to skontaktuj się z Orange.
To nie ma znaczenia, czy router oryginalny, czy nie.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL[2013-12-09 01:30:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\aartemis
O4:64bit: - HKLM..\Run: [Mam3PAN.exe] Mam3PAN.exe File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found.
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: File not found
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.4: File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=2.3.0: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt.
jessi
-
1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt2)
C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_21\upt4pc_pl_21.exeJeśli Adw-Cleaner tego nie usunie, to sprawdzisz ten plik na JOTTI/ albo na VIRUSTOTAL
3) Zrób nowe logi - już bez GMER.
jessi
-
Nie widzę tu żadnej infekcji.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2014-08-13 10:21:20 | 000,387,391 | ---- | C] () -- C:\WINDOWS\SysNative\ApnDatabase.xml
:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1522348370-4219485902-3141309952-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt.jessi
Pomocy, zniknęły zdjęcia z połowy mojego życia
w Software
Opublikowano
Log niczego nie wyjaśnia.
Widać tylko, że nie ma folderów, w tym tego ze zdjęciami; a zamiast nich są inne obiekty o tych samych nazwach.
Utraconych danych już raczej nie odzyskasz, ale przydałoby się wyjaśnić, dlaczego te dane zniknęły.
W tym logu nie widzę żadnej infekcji, więc zrób wymagane logi https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
Może to pozwoli uniknąć podobnej sytuacji w przeszłości?
jessi