Favicon.ico

Piter81 · 26 Lutego 2014

Witam

Podczas uruchamiania BitTorenta Avast raportuje robala Favicon.ico.

OTL.Txt

picasso · 26 Lutego 2014

Proszę podaj dokładnie w czym Avast widzi ów Favicon.ico, tzn. przeklej dokładną ścieżkę dostępu. Favicon.ico oceniony podług nazwy sugeruje lokalizację w Tymczasowych plikach internetowych. Tu w podanych raportach brak widocznego obiektu tego typu, za to i tak jest do czyszczenia adware oraz odpadki odinstalowanego Firefoxa. Przeprowadź następujące działania:

1. Otwórz Notatnik i wklej w nim:

Task: {8FF89A91-6ADC-4C59-8843-BBECA7E06134} - System32\Tasks\Funmoods => C:\Users\Piotr\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://pl.v9.com/?utm_source=b&utm_medium=fft
SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzutC0CyC0FyCyDzz0E0AyC0A0CtA0A0CtDtN0D0Tzu0CtAyCyCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=1799529278
SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzutC0CyC0FyCyDzz0E0AyC0A0CtA0A0CtDtN0D0Tzu0CtAyCyCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=1799529278
SearchScopes: HKLM-x32 - {45E02632-7555-55FD-CA7A-0D67DED0A0E5} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={3B67F9C2-D0C7-4CFA-9207-F46B03455D7F}
SearchScopes: HKLM-x32 - {665436C9-CC92-45F4-85DF-7F4D28088136} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
SearchScopes: HKLM-x32 - {BB04F513-9855-44A1-B3BA-11A69C6CBDB9} URL = http://startsear.ch/?aff=2&src=sp&cf=0238aed6-364e-11e1-978b-1c6f658ea6ac&q={searchTerms}
SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzutC0CyC0FyCyDzz0E0AyC0A0CtA0A0CtDtN0D0Tzu0CtAyCyCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=1799529278
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=AE951C6F658EA6AC&affID=119357&tsp=5005
SearchScopes: HKCU - {45E02632-7555-55FD-CA7A-0D67DED0A0E5} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {665436C9-CC92-45F4-85DF-7F4D28088136} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
SearchScopes: HKCU - {7A13D0D5-E32B-41a9-A754-F9ADE29BBE1C} URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A4107735745&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4107735745&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://startsear.ch/?aff=1&src=sp&cf=0238aed6-364e-11e1-978b-1c6f658ea6ac&q={searchTerms}
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKCU - {BB04F513-9855-44A1-B3BA-11A69C6CBDB9} URL = http://startsear.ch/?aff=2&src=sp&cf=0238aed6-364e-11e1-978b-1c6f658ea6ac&q={searchTerms}
SearchScopes: HKCU - {D9E526C2-4238-443D-A612-1B5FA9944DD4} URL = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=2ae9c34d-6fda-4d61-91ec-b4ec694989a9&apn_sauid=D14089BF-8E9F-4315-A284-77A2C1B470D4
SearchScopes: HKCU - {E7D4CA97-7311-4e3a-A429-F9166BBDE97F} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={3B67F9C2-D0C7-4CFA-9207-F46B03455D7F}
BHO-x32: IE5BarLauncherBHO Class - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.)
BHO-x32: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKLM-x32 - No Name - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No File
Toolbar: HKLM-x32 - VShareToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.)
Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKCU - No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Piotr\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-05-10]
CHR HKLM-x32\...\Chrome\Extension: [jplinpmadfkdgipabgcdchbdikologlh] - C:\Program Files (x86)\1ClickDownload\1click12.crx [2012-05-10]
CHR HKLM-x32\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files (x86)\vShare.tv plugin\vshareplg.crx [2011-08-31]
CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [2011-08-31]
C:\Program Files (x86)\1ClickDownload
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\StartSearch plugin
C:\Program Files (x86)\vShare.tv plugin
C:\Users\Piotr\AppData\Local\Google\Chrome\User Data\Default\External Extensions
C:\Users\Piotr\AppData\Roaming\Babylon
C:\Users\Piotr\AppData\Roaming\DeviceVm
C:\Users\Piotr\AppData\Roaming\Funmoods
C:\Users\Piotr\AppData\Roaming\Mipony
C:\Users\Piotr\AppData\Roaming\MiponyDownloadManagerPackages
C:\Users\Piotr\AppData\Roaming\Mozilla
C:\Users\Piotr\AppData\Roaming\newnext.me
C:\Users\Piotr\AppData\Roaming\OpenCandy
C:\Users\Piotr\AppData\Roaming\Splashtop
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Ściągaj z Mipony" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MenuExt\Ściągaj z Mipony" /f
CMD: netsh advfirewall reset

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2. Przez Panel sterowania odinstaluj adware Ask Toolbar. Przypuszczalnie wpis jest uszkodzony i może odmówić usunięcia. Jeśli wystąpi tu jakiś błąd, wpisem i tak zajmie się AdwCleaner.

3. Wyczyść Google Chrome:

Ustawienia > karta Rozszerzenia > odinstaluj SweetIM for Facebook, vshare plugin, WebConnect
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

5. Uruchom TFC - Temp Cleaner.

6. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też pliki fixlog.txt i AdwCleaner.

.

Piter81 · 26 Lutego 2014

Logi:

picasso · 26 Lutego 2014

Piter81, nie wiem co zrobiłeś i w jaki sposób przeklejałeś skrypt do Notatnika, ale zadanie skryptowe błędnie wykonane i nic nie zostało wykonane. Wkleiłeś do Notatnika sieczkę, która zupełnie nie wygląda jak w moim poście i została zmodyfikowana czymś. Cały format skryptu jest zepsuty, poharatane przejścia do nowej linii, posklejane rzeczy, które być nie powinny, sztuczne spacje w ścieżkach dodane, sztuczna zmiana nazewnictwa (Task: przemienione na Zadanie:) powodująca kompletny brak interpretacji wpisu. Na dodatek wyniki skryptu sugerują, że uruchomiono go aż dwa razy (to jest bez sensu, skrypt jest jednorazowy). Wejdź do folderu C:\FRST\Logs i popatrz czy jest najstarsza kopua pliku fixlog_data_czas.txt.

Ponadto, podany log z AdwCleaner nie jest właściwym, to już drugie (zbędne) uruchomienie nie pokazujące nic co było usuwane. Proszę dostarcz pierwszy plik z serii, czyli AdwCleaner[s0].txt.

.

Piter81 · 27 Lutego 2014

Piter81, Nie wiem co zrobiłeś iw Jaki sposób przeklejałeś Skrypt do Notatnika, ciemnym piwem Zadanie skryptowe błędnie Wykonane i.. Nic nie zostało Wykonane. Wkleiłeś zrobic Notatnika sieczkę, ktora zupełnie NIE wygląda Jak w moim poście i została zmodyfikowana czymś. formacie Cały skryptu JEST zepsuty, poharatane przejścia temat nowej Linii, posklejane Rzeczy, które NIE powinny byc, sztuczne spacje w ścieżkach dodane, sztuczna ZMIANA nazewnictwa ( Zadanie: przemienione na Zadanie: ). powodująca KOMPLETNY brak interpretacji wpisu Na dodatek WYNIKI skryptu sugerują, ZE uruchomiono go (AZ Razy DWA śmiał Bez sensu, Skrypt JEST jednorazowy). wejdz do folderu C:. \ FRST \ Logs i popatrz CZY JEST najstarsza kopua pliku fixlog_data_czas.txt Ponadto, Dziennik Podaný NIE JEST z AdwCleaner właściwym, ABY JUZ Drugie (zbędne) uruchomienie NIE pokazujące nic co bylo usuwane. Prosze dostarcz Pierwszego Firma Firma Firma PLIK z serii, czyli AdwCleaner [s0]. txt . .

Faktycznie coś namotałem. Zrobiłem wszystko od początku.