icecube11 Opublikowano 4 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2013 Witam! To jest mój pierwszy temat który zakładam na forum więc proszę o wyrozumiałość. Z góry dzięki . A tak przy okazji jestem maniakiem sciągania gier na komputer, więc pochodzenia wirusów raczej nie trzeba wyjaśniać A więc przechodząc do rzeczy natknąłem się na wirusa o którym nie dawno czytałem (tak myślę). Jest to yontoo desktop który nie ma zamiaru opuścić mojego laptopa! Usuwałem go z panelu sterowania ale po zakończonym procesie nadal było go widać tylko że z inną ikonką, a kiedy chciałem go jeszcze raz usunąć system uparcie twierdził że deinstalator nadal pracuje! Przedtem przy starcie systemu otwierała mi się w google chrome strona internetowa: hxxp//:liketour.org którą avast uznawał za zarażoną więc ją blokował (ja też byłem tego zdania) a potem wykrywał na niej zagrożenie do którego adres był: hxxp//:liketour.org/favicon.ico Zablokowałem obydwa adresy i usunąłem google chrome oraz adobe flash player (bo avast obwiniał procesy tych programów za infekcje) najlepiej jak umiałem, czyli z panelu sterowania i grzebiąc trochę po dysku. Potem wyskakujące okno przeglądarki przy uruchamianiu systemu zniknęło, ale pojawiły się inne problemy na przykład plik służący do uruchomienia gry nagle został wykryty przez avasta jako zarażony (i jako skrót na pulpicie jak i jako normalny program w folderze), ale kiedy go preskanowałem w kwarantannie był czysty. Proszę o jak najszybszą pomoc w tej niezbyt przyjemnej sytuacji. Przepraszam że nie dołączyłem logu z GMERa, ale wyskakiwał mi błąd: "C:/Windows/system32/conig/system Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces", w tryb awaryjny po prostu nie umiałem wejść z F8, a majstrować w msconfig po prostu się bałem. Nie mogłem zamieścić logu z Defoggera bo pisało: nie masz uprawnien do wysylania tego typu plików A oto logi: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2013 Yontoo to nie wirus lecz adware reklamodawcze, instalowane przez nieuwagę w instalatorze innej aplikacji. I jest tu większa ilość śmieci: 1. Przez Panel sterowania odinstaluj adware BrowserProtect, Bundled software uninstaller, Delta Chrome Toolbar, Desk 365, GoforFiles, iLivid, PrivitizeVPN oraz produkty IOBit (IObit Malware Fighter). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2013/07/19 05:56:21 | 000,376,896 | ---- | M] (Wsys Co., Ltd.) [Auto | Running] -- C:\ProgramData\eSafe\eGdpSvc.exe -- (WsysSvc) IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=1373284198 IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=1373284198 IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=0 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=1373284198 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=1373284198 IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=0 IE - HKU\S-1-5-21-1252852128-3867128784-3920013267-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=1373284198 IE - HKU\S-1-5-21-1252852128-3867128784-3920013267-1001\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=PL&userid=d0a030eb-41c1-4be7-b0e5-79c99b6ac2ed&sp=addr&q={searchTerms}&t=b0304 IE - HKU\S-1-5-21-1252852128-3867128784-3920013267-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119293&tt=190313_wo2&babsrc=SP_ss&mntrId=082DB6DBC94C28EC IE - HKU\S-1-5-21-1252852128-3867128784-3920013267-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=0 IE - HKU\S-1-5-21-1252852128-3867128784-3920013267-1001\..\SearchScopes\{92566674-2FC3-4D58-A4C3-0E84D06DC2AF}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=114576&p={searchTerms} FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{D19CA586-DD6C-4a0a-96F8-14644F340D60}: C:\Program Files (x86)\Common Files\McAfee\SystemCore FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com: C:\Program Files\McAfee\MSK O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121111192233.dll File not found O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121111192233.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [Adobe Flash Player SU] C:\Windows\Adobe Flash\Adobe.exe File not found O4 - HKLM..\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey File not found :Files C:\ProgramData\eSafe C:\Program Files (x86)\Desk 365 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Desk 365 C:\Users\Adam\AppData\Roaming\(00-23-B4-6B-8B-E8) C:\Users\Adam\AppData\Roaming\(0C-14-20-13-4F-32) C:\Users\Adam\AppData\Roaming\BabSolution C:\Users\Adam\AppData\Roaming\Babylon C:\Users\Adam\AppData\Roaming\Desk 365 C:\Users\Adam\AppData\Roaming\eIntaller C:\Users\Adam\AppData\Roaming\File Scout C:\Users\Adam\AppData\Roaming\GoforFiles C:\Users\Adam\AppData\Roaming\OpenCandy C:\Users\Adam\AppData\Roaming\wyUpdate AU C:\Users\Adam\AppData\Roaming\mozilla\Firefox C:\Program Files (x86)\mozilla firefox C:\Users\Adam\AppData\Roaming\sp_data.sys :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
icecube11 Opublikowano 26 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2013 Dziękuję za odpowiedź A oto logi: Addition.txt OTL.Txt FRST.txt AdwCleanerS0.txt AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 26 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2013 Poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {30C6BDBE-D42D-42EC-816B-5839C18D5432} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe No File Task: {CAD62AFA-FF35-497A-87A4-BEF98E9331AD} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe No File SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 X6va003; \??\C:\Users\Adam\AppData\Local\Temp\003ECEE.tmp [x] C:\Users\Adam\AppData\Local\Temp\Quarantine.exe C:\Users\Adam\AppData\Roaming\sp_data.sys Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST (bez Addition). Dołącz fixlog.txt. . Odnośnik do komentarza
icecube11 Opublikowano 28 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2013 Już zrobione. Chciałem wcześniej odpowiedzieć, ale niestety nie miałem takiej możliwości. Logi: Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Zrobione. 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj poniżej wyliczone programy: KLIK. ==================== Installed Programs ======================= Adobe Reader X (10.1.6) MUI (x32 Version: 10.1.6) Java 7 Update 17 (64-bit) (Version: 7.0.170) Java 7 Update 17 (x32 Version: 7.0.170) Microsoft Office Starter 2010 - Polski (x32 Version: 14.0.4763.1000) ----> instalacja SP1 Microsoft Silverlight (Version: 5.1.20125.0) Opera 12.15 (x32 Version: 12.15.1748) 4. Polecałam deinstalację IObit Malware Fighter. W raporcie nadal obecny. Naciskam na pozbycie się go z następujących powodów: - Przy Avast takie wynalazki nie są potrrzebne. - Firma IOBit nie jest godna zaufania. W przeszłości kradzież bazy danych MBAM, związki z podejrzanymi partnerami, adware w instalatorach. . Odnośnik do komentarza
icecube11 Opublikowano 29 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Już wszystko wykonane. Czy mogę podać jeszczce jakieś logi do oceny dla upewnienia się. że wszystko jest poprawnie wykonane? Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Czy mogę podać jeszczce jakieś logi do oceny dla upewnienia się. że wszystko jest poprawnie wykonane? Logi nie są już potrzebne. Ostatecznie mógłbyś pobrać FRST i podać nowy skan (ale tylko plik Addition), dla dowodu, że aplikacje zostały zaktualizowane. . Odnośnik do komentarza
icecube11 Opublikowano 2 Września 2013 Autor Zgłoś Udostępnij Opublikowano 2 Września 2013 a oto plik: Addition.txt Odnośnik do komentarza
picasso Opublikowano 2 Września 2013 Zgłoś Udostępnij Opublikowano 2 Września 2013 ==================== Installed Programs ======================= Adobe Reader X (10.1.7) MUI (x32 Version: 10.1.7) Java 7 Update 17 (x32 Version: 7.0.170) Microsoft Office Starter 2010 - Polski (x32 Version: 14.0.4763.1000) - Nadal widzę stare wejście Adobe Reader X. Czy widzisz to na liście deinstalacji? Jeśli nie, pozbądź się tego wpisu tym narzędziem: KLIK (tryb nieautomatyczny, moduł deinstalacji). - Zaktualizowałeś tylko 64-bitową Java, na liście ciągle stara Java 32-bit. - I czy na pewno zaktualizowałeś pakiet Office 2010 (instalacja SP1)? . Odnośnik do komentarza
icecube11 Opublikowano 3 Września 2013 Autor Zgłoś Udostępnij Opublikowano 3 Września 2013 Java zaktualizowana na pewno, a jeśi chodzi o resztę to moja instalacja sp1 wygladala tak ze sciagnalem to co trzeba i odpalilem jeden plik exe, a potem wyskoczylo ze sp1 jest juz na komputerze zainstalowany, a potem meczylem sie bardzo dlugo z windows update, bo ciagle nie moglo zainstalowac pewnych rzeczy, ale po kilku uruchomieniach wkocu mi sie udalo. Potem popatrzylem w avaście co jest do zaktualizowania i wchodzilem na stronę javy, a potem kliknąłem w avaście aktualizację adobe reader X. Cośtam było, zainstalowało i koniec. Nie wiem o co chodzi z tą całą listą deinstalacji więc proszę o bardziej łopatologiczne wytłumaczenie o co chodzi. Odnośnik do komentarza
picasso Opublikowano 4 Września 2013 Zgłoś Udostępnij Opublikowano 4 Września 2013 a jeśi chodzi o resztę to moja instalacja sp1 wygladala tak ze sciagnalem to co trzeba i odpalilem jeden plik exe, a potem wyskoczylo ze sp1 jest juz na komputerze zainstalowany, a potem meczylem sie bardzo dlugo z windows update, bo ciagle nie moglo zainstalowac pewnych rzeczy, ale po kilku uruchomieniach wkocu mi sie udalo. Czy my się zrozumieliśmy? Na pewno mówimy o SP1 dla programu Office 2010 a nie SP1 dla Windows? Nie wiem o co chodzi z tą całą listą deinstalacji więc proszę o bardziej łopatologiczne wytłumaczenie o co chodzi. Uruchamiasz podane narzędzie, akceptujesz licencję, wybierasz opcję "Wykryj problemy i pozwól mi wybrać poprawki do zastosowania" (to właśnie tryb nieautomatyczny), na kolejnym ekranie wybierasz opcję Odinstalowywanie, zgłosi się lista programów i na niej podświetlasz pozycję Adobe Reader X (10.1.7) MUI w celu jej usunięcia. . Odnośnik do komentarza
icecube11 Opublikowano 19 Września 2013 Autor Zgłoś Udostępnij Opublikowano 19 Września 2013 Bardzo przepraszam, że tak późno przesyłam log Addition.txt Odnośnik do komentarza
picasso Opublikowano 19 Września 2013 Zgłoś Udostępnij Opublikowano 19 Września 2013 Wejście Adobe Reader X (10.1.7) MUI zniknęło. Aczkolwiek widzę, że od ostatniego sprawdzania: - Znów doinstalowałeś śmieci. Stoi pozycja adware Delta Chrome Toolbar. Odinstaluj to dziadostwo, po tym zrób nowy główny log z FRST (bez Addition). - Pojawiła się kolejna aktualizacja Java, więc to nadrób. . Odnośnik do komentarza
icecube11 Opublikowano 24 Września 2013 Autor Zgłoś Udostępnij Opublikowano 24 Września 2013 Już i aktualizacja Javy tez nadrobiona: FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Października 2013 Zgłoś Udostępnij Opublikowano 3 Października 2013 Cóż, należy od nowa czyścić po adware. 1. Pobierz ponownie FRST (jest nowsza wersja). Otwórz Notatnik i wklej w nim: S2 Update WebConnect; C:\Program Files (x86)\WebConnect\updateWebConnect.exe [206632 2013-08-30] (WebConnect) Task: {34421D8A-73DC-4029-92CA-F731D8AE8B6B} - System32\Tasks\{8E4A4EDD-8841-457E-8931-F6516D109634} => C:\Program Files (x86)\Master\EasyClicker\EasyClicker Pro 1.3v.exe Task: {0462D0DA-7840-44D9-B065-EFC0574B9EF3} - System32\Tasks\DSite => C:\Users\Adam\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {FAE4364D-BF71-4A87-BC55-5EFA282F1CB3} - System32\Tasks\EPUpdater => C:\Users\Adam\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () Task: C:\Windows\Tasks\DSite.job => C:\Users\Adam\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=082DB6DBC94C28EC&affID=119357&tsp=5001 BHO-x32: WebConnect - {2316c625-b487-4410-a1a5-ff040b65245f} - C:\Program Files (x86)\WebConnect\WebConnectbho.dll (Web Connect) CHR HKLM-x32\...\Chrome\Extension: [hbcennhacfaagdopikcegfcobcadeocj] - C:\Program Files (x86)\Common Files\Spigot\GC\saebay_1.0.crx CHR HKLM-x32\...\Chrome\Extension: [icdlfehblmklkikfigmjhbmmpmkmpooj] - C:\Program Files (x86)\Common Files\Spigot\GC\errorassistant_1.1.crx CHR HKLM-x32\...\Chrome\Extension: [ieakfmpjhljbpbfpldjkddkjmmgjmgon] - C:\Program Files (x86)\WebConnect\ieakfmpjhljbpbfpldjkddkjmmgjmgon.crx CHR HKLM-x32\...\Chrome\Extension: [mhkaekfpcppmmioggniknbnbdbcigpkk] - C:\Program Files (x86)\Common Files\Spigot\GC\coupons_2.3.crx CHR HKLM-x32\...\Chrome\Extension: [obilhkhfmlggcoildcnoeknaghkiiclj] - C:\Users\Adam\AppData\Local\CRE\obilhkhfmlggcoildcnoeknaghkiiclj.crx CHR HKLM-x32\...\Chrome\Extension: [pfndaklgolladniicklehhancnlgocpp] - C:\Program Files (x86)\Common Files\Spigot\GC\saamazon_1.0.crx CHR HKCU\SOFTWARE\Policies\Google: Policy restriction R3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] 2013-09-15 17:58 - 2013-09-15 17:58 - 00000000 _____ C:\Windows\SysWOW64\sho70D1.tmp 2013-09-10 13:02 - 2013-09-10 13:02 - 00000000 ____D C:\Users\Adam\AppData\Local\avgchrome 2013-09-10 12:56 - 2013-09-10 12:56 - 00000000 ____D C:\Users\Adam\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z 2013-09-10 12:55 - 2013-09-23 21:40 - 00000000 ____D C:\Users\Adam\AppData\Roaming\BabSolution 2013-09-10 12:55 - 2013-09-10 12:55 - 00000000 ____D C:\Users\Adam\AppData\Roaming\Babylon 2013-09-10 12:55 - 2013-09-10 12:55 - 00000000 ____D C:\ProgramData\Babylon 2013-09-10 12:53 - 2013-09-10 12:53 - 00000000 ____D C:\Users\Adam\AppData\Roaming\DSite 2013-08-28 19:23 - 2013-09-24 16:27 - 00000127 _____ C:\Users\Adam\AppData\Roaming\sp_data.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj WebConnect 3.0.0. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
icecube11 Opublikowano 4 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2013 W koncu po miesiacu sie zebralem. PS: Po wykonaniu tych czynnosci pogorszyla sie wydajnosc. Mianowicie Rayman Legends ktory wczesniej dzialal caly czas bez zacinek w 60 fps na najwyzszej rozdzielczosci teraz mimo 60 fps sa zacinki co kilka sekund a potem znowu 60 fps. Jak to usunac? EDIT: Sciagnalem nowe sterowniki i troche innych rzeczy ze strony AMD, pokombinowalem i wszystko dziala lepiej. Fixlog.txt FRST.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
icecube11 Opublikowano 17 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2013 Przez ostatni miesiac troche sie pozmienialo na moim komputerze. Zainstalowalem troche pogramow i zauwazylem niepokojace zmiany: -svchost.exe zabiera duzo pamieci (procek skacze czasami pod 80%) i jesli nie powylaczam kilku tych procesow i nie poczekam az same znowu sie wlacza to mam zacinki w grach i programach w stylu: caly 60 fps i co kilkanascie sekund krotka zacinka i tak przy kazdych ustawieniach, -gdy zaloguje sie na poczte to albo nie moze sie ona wczytac, a jesli sie za ktoryms razem wczyta, to nie mozna w nic wejsc.(poobnie jest z FB) logi: Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2013 Zgłoś Udostępnij Opublikowano 19 Grudnia 2013 Jest tu nowe adware do usuwania, skutek instalacji HotSpotShield. Mam też pytanie: ten wątpliwy HotSpotShield został zaistalowany w celu rozwiązania problemu ładowania stron, czy może efekty pojawiły się po jego instalacji? Do przeprowadzenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: Task: {1335F653-BD15-47A3-98A5-FE6BF5066AA3} - System32\Tasks\{38A6C9C9-0871-4D65-B87D-3709FA71121D} => C:\Easter Avenger\EasterAvenger1.1.exe Task: {6C84702C-D310-4B82-A9A4-495D3275E4C7} - System32\Tasks\{9B904FAA-0CCF-4B7F-93AE-BE8D492FAB5F} => C:\Easter Avenger\EasterAvenger1.1.exe Task: {D1FBA3D7-4D19-472F-8B1C-A51C5730818F} - System32\Tasks\{7EBDD3D2-A6AA-4FE4-A9FB-F2EBC9A273F2} => C:\Easter Avenger\EasterAvenger1.1.exe Task: {935067CD-4918-444A-9809-BC88E527CDDE} - System32\Tasks\BackgroundContainer Startup Task => Rundll32.exe "C:\Users\Adam\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun HKCU\...\Run: [backgroundContainer] - "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\Adam\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&CUI=UN35630368772843622&UM=1&ctid=CT1561552 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com URLSearchHook: HKLM-x32 - Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files (x86)\Hotspot_Shield\prxtbHots.dll (Conduit Ltd.) URLSearchHook: HKCU - Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files (x86)\Hotspot_Shield\prxtbHots.dll (Conduit Ltd.) SearchScopes: HKLM-x32 - DefaultScope {BE0BBBB4-35ED-481B-889E-EA570502907B} URL = SearchScopes: HKCU - DefaultScope {BE0BBBB4-35ED-481B-889E-EA570502907B} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552&CUI=UN35630368772843622&UM=1 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {BE0BBBB4-35ED-481B-889E-EA570502907B} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552&CUI=UN35630368772843622&UM=1 BHO-x32: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files (x86)\Hotspot_Shield\prxtbHots.dll (Conduit Ltd.) Toolbar: HKLM-x32 - Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files (x86)\Hotspot_Shield\prxtbHots.dll (Conduit Ltd.) Toolbar: HKCU - No Name - {C95A4E8E-816D-4655-8C79-D736DA1ADB6D} - No File FF Extension: Hotspot Shield Extension - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\afext@anchorfree.com S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] C:\Users\Adam\Downloads\HSS-3-19-install-hss-596-conduit.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj Hotspot Shield 3.19, Hotspot Shield Toolbar for IE, Messenger Plus! Community Smartbar. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się