biernak Opublikowano 6 Stycznia 2014 Zgłoś Udostępnij Opublikowano 6 Stycznia 2014 Ściągałem plik zamieszczony z linka podesłanego od kumpla (hllp://www.sendspace.com/file/...) oczywiście na stronce było kilka przycisków download i zainstalowałem jakieś dodatkowe programy, mimo iż je odinstalowałem przeglądarki ustawiły jako stronę startową www,sweet-page,com i nie mogę jej zmienić na żadną inną. Logi robione w trybie normalnym. Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... gmerek.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2014 Zgłoś Udostępnij Opublikowano 7 Stycznia 2014 Tak, są tu śmieci adware. Akcja: 1. Otwórz Notatnik i wklej w nim: () C:\Users\biernak\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe Task: {21D5F77A-8660-464D-9F4D-88BBC74B375B} - System32\Tasks\DSite => C:\Users\biernak\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-06-04] () Task: C:\Windows\Tasks\DSite.job => C:\Users\biernak\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe HKLM\...\Winlogon: [userinit] userinit.exe,EXPLORER.EXE HKCU\...\Run: [NextLive] - C:\Windows\system32\rundll32.exe "C:\Users\biernak\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKCU\...\Run: [LiveSupport] - "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log AppInit_DLLs: C:\Program Files\GS-Enabler\Assistant.dll [3041792 2014-01-06] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dvlottery.state.gov/ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100&q={searchTerms} SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Filter: text/html - {EE31AE88-AE7A-4C52-9330-A0A3B3468C02} - C:\Windows\system32\bimfapg.dll No File U1 eabfiltr; NETSVC: dfhbspz -> No Registry Path. C:\Program Files\Mobogenie C:\Program Files\Optimizer Pro C:\Users\biernak\.android C:\Users\biernak\daemonprocess.txt C:\Users\biernak\AppData\Local\cache C:\Users\biernak\AppData\Local\genienext C:\Users\biernak\AppData\Local\Mobogenie C:\Users\biernak\AppData\Roaming\Babylon C:\Users\biernak\AppData\Roaming\Common C:\Users\biernak\AppData\Roaming\DSite C:\Users\biernak\AppData\Roaming\newnext.me C:\Users\biernak\AppData\Roaming\Mozilla Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /v AlternateShell /t REG_SZ /d cmd.exe /f CMD: sc config "Multimedia mobilNET. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware GS-Supporter 1.80. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
biernak Opublikowano 7 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2014 punkty 1. 2. 3. wykonałem bez żadnego problemu, niestety po uruchomieniu TFC.exe i wciśnięciu start program się zawiesza - nie reaguje na nic, można jakoś inaczej wyczyścić lokalizacje tymczasowe? AdwCleanerR0.txtPobieranie informacji ... AdwCleanerS0.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2014 Zgłoś Udostępnij Opublikowano 7 Stycznia 2014 Cytat niestety po uruchomieniu TFC.exe i wciśnięciu start program się zawiesza - nie reaguje na nic, można jakoś inaczej wyczyścić lokalizacje tymczasowe? Przejdź w Tryb awaryjny Windows i ponów próbę. . Odnośnik do komentarza
biernak Opublikowano 8 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2014 Ww trybie awaryjnym się udało (długo trwało ale poszło), dziękuję Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2014 Zgłoś Udostępnij Opublikowano 8 Stycznia 2014 Nie zrobiłeś tego raportu: picasso napisał(a): 5. Zrób nowy skan FRST (bez Addition). . Odnośnik do komentarza
biernak Opublikowano 8 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2014 przepraszam, nie doczytałem, już załączam FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2014 Zgłoś Udostępnij Opublikowano 9 Stycznia 2014 Czy Ty przypadkiem nie uruchomiłeś pliku fixlist.txt dwa razy? Nie zgadzają się wyniki, większość wpisów (uprzednio obecna) w ogóle nie znaleziona. Ale to już nieistotne, reszta zrobiona. Kończymy: 1. Drobna poprawka. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. C:\Users\biernak\AppData\Roaming\newnext.me C:\ProgramData\InstallMate Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 3. Ta grupa do aktualizacji: ==================== Installed Programs ====================== Gadu-Gadu 7.7 (Version: - ) Java 6 Update 13 (Version: 6.0.130 - Sun Microsystems, Inc.) Java 6 Update 29 (Version: 6.0.290 - Sun Microsystems, Inc.) Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014 - Microsoft Corporation) Microsoft Silverlight (Version: 5.0.61118.0 - Microsoft Corporation) Stare dziurawe Java 6 odinstaluj, produkty MS zaktualizuj (KLIK), zaś archaiczne słabo zabezpieczone Gadu-Gadu 7.7 wymień np. nowoczesnym alternatywnym WTW (KLIK). . Odnośnik do komentarza
biernak Opublikowano 9 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2014 W dniu 9.01.2014 o 05:15, picasso napisał(a): Czy Ty przypadkiem nie uruchomiłeś pliku fixlist.txt dwa razy? . raczej nie przypadkiem, tylko przerwało mi zasilanie i nie wiedziałem czy się skończyło pierwsze więc włączyłem ponownie załączam ostatni plik jaki mi utworzył FRST Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Skryptów nie powtarza się, są jednorazowego użytku, nie zostaną ponownie przetworzone te same rzeczy. Na przyszłość: w takich przypadkach przerywasz działanie i zgłaszasz się na forum z nowymi logami (mówią o tym nawet zasady działu). Ostatni skrypt pomyślnie wykonany. Podałam już końcowe kroki. Temat rozwiązany, zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi