Janis Opublikowano 31 Maja 2014 Zgłoś Udostępnij Opublikowano 31 Maja 2014 Pozdrawiam Zainstalowany Norton IS, ale od tygodnia problemy jak w temacie. W Dodaj Usuń Programy nieznane pozycje, np.jakiś program niby do kontroli rodzicielskiej, czy inny do obsługi telefonu. Nie poradziłem sobie z Gmer. Uruchomiło się najpierw szybkie skanowanie, lecz po uruchomieniu pełnego PC się zawiesił. Podobnie w trybie awaryjnym. Potem już nawet szybkie skanowanie się nie uruchamiało. Dopiero jak zmieniłem nazwę pliku uruchomieniowego Gmer, dałem radę uruchomić tylko szybki skan i zapisać log, który pewnie okaże się niewystarczający. Posiadam kopię partycjii systemowej z 27 kwietnia 18:11, niestety wykonaną w jakiejś wersji oszczędnościowej ("inteligentnej"), która podobno takie programy jak Norton przywraca w stanie uszkodzonym. Poza tym sporo od tamtego czasu zostało zainstalowane użytecznych steroników urządzeń. Nie potrafię ocenić: -czy infekcja zaczęł się po tym jak zrobiona była kopia systemu -czy są duże szanse pełnej naprawy bieżącego systemu, czy lepiej przywrócić z kopi i tam usuwać problemy Addition.txt FRST.txt Shortcut.txt OTL.Txt Extras.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2014 Zgłoś Udostępnij Opublikowano 31 Maja 2014 Cóż, jest tu adware, nabyte na jeden z tych sposobów: KLIK. Jedno z nich wyglądana na świeżo zainstalowane z ffdshow, z tym że wątpię, by to pochodziło z instalacji oryginalnego ffdshow, raczej z downloadera portalowego który miał "ściągnąć" ffdshow. Wdróż następujce działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\Mobogenie\MgAssist.exe () C:\Program Files\webget\updatewebget.exe () C:\Program Files\Mobogenie\DaemonProcess.exe () C:\Program Files\webget\bin\utilwebget.exe R2 MgAssistService; C:\Program Files\Mobogenie\MgAssist.exe [70848 2014-04-28] () R2 Update webget; C:\Program Files\webget\updatewebget.exe [317720 2014-05-30] () R2 Util webget; C:\Program Files\webget\bin\utilwebget.exe [317720 2014-05-30] () R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt; C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys [55224 2014-05-12] (StdLib) C:\WINDOWS\system32\Drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys S0 cerc6; No ImagePath HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe [748736 2014-04-28] () HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?ptr=100&crg=3.1010000.10039&barid={94BFF767-BE8C-11E2-A4FB-00000021671D} SearchScopes: HKLM - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&ptr=100&q={searchTerms}&crg=3.1010000.10039&barid={94BFF767-BE8C-11E2-A4FB-00000021671D} SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&ptr=100&q={searchTerms}&crg=3.1010000.10039&barid={94BFF767-BE8C-11E2-A4FB-00000021671D} SearchScopes: HKCU - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = Toolbar: HKCU - No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File FF Extension: webget - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6qjs2xp1.default\Extensions\{55685567-4840-4a91-962b-49a412e9485a}.xpi [2014-05-26] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\Fighters C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\PC\Dane aplikacji\newnext.me C:\Documents and Settings\PC\Dane aplikacji\OpenCandy C:\Documents and Settings\PC\Dane aplikacji\PerformerSoft C:\Documents and Settings\PC\Dane aplikacji\SmartPCFix CMD: netsh firewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware Mobogenie, Web Protect for Windows, webget. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
Janis Opublikowano 1 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2014 (edytowane) Po zapisaniu skryptu w katalogu FRST, FRST uruchomił się tylko na chwilę i zaraz został zabity przez jakiś program SONAR -niby, że FRST szkodliwy. Innym PC ściągnąłem ponowmie FRST, zmieniłem jego nazwę i zapisałem na C zarażonego PC. Następnie uruchomiłem zarażonego w trybie awaryjnym i uruchomiłem przemianowany FRST w zaleconym trybie wykonania skryptu. W odinstalowaniu trzech programów zaskoczyło mnie tylko to, że ostani wywołał komunikat, iż "Ne można go znaleźć, bo prawdopodobnie został już wcześniej odinstalowany" -w każdym razie jego wpis również zniknął z okna Dodaj Usuń Programy. Następnie uruchomione dwa zalecone programy AdwCleaner i TFC. Następnie okazało się, że po starcie systemu pojawia się komunikat, który zapisałem w obrazku "błąd". Oraz, że nie działają prawie żadne skróty w obydwu osobowościach komputera, np. skrót Firefox'a na pulpitach -można otworzyć tylko kosz z ikon pulpitu. Menu Start się otwiera i tu działają niektóre ikony z tych dotępnych pierwszoplanowo -te umieszczone głębiej nie działają. Co gorsza nowe skróty również nie działają. Jeśli nie ma prostszej rady, mogę spróbować stworzyć nowe profile (liczę, że w nowych skróty będą działać) -a stare skasować po przeniesieniu najważniejszych plików. Jest jeszcze na jednym z pulpitów nie podpisana ikonka o obrazie jakby pliku nieznanego typu, ale w prawokliku nie ma nawet właściwości.-do wyboru jest tylko wytnij, usuń. Nie pamiętam, czym była wcześniej. Firefox działa trochę inaczej, niż domyślnie -np. klinięcie w temat na Fixitpc nie zamienia strony, tylko otwiera nową kartę, ale nie zawsze -jakby zależało od konkretnego łącza. Może jakoś prosto mogę coś przywrócic w tym zakresie w ustawieniach Firefox ? Fałszywych błędów, ani reklam już nie ma i to daje nadzieję, że niedogodności możlie do usunięcia. W czasie dodawania wymaganych załączników, właśnie zauważyłem, że nie widzę obok pliku wykonywalnego FRST dodanego przeze mnie fixlist.txt. Mam nadzieję, że zniknął w wyniku działania FRST, a nie programu SONAR -bo nie wiem kiedy to się stało. Wydaje się, że Picasso pisząc takie artykuły, jak z linku o sposobach zarażania, bierze na siebie kłopoty, bo przecież wcześniej, czy później nie obędzie się bez jakichś nacisków, by "zapomniała" o jakiejś konkretnej zarazie. Oby wbrew statystyce, nie oberwała nigdy bardzo. Mam wrażenie, że nawet producenci antywirusów nie zawsze mają do końca czyste ręce. Z resztą, pewnie nawet Microsoft zaszczytny tytuł dał Picasso nie tylko za to, że robi dobrą robotę, ale również dlatego, że to ich podczepia do dobrej reputacji Picasso. Nie znam języków skryptowych, a ciekaw jestem jak się nazywa ten, w którym został napisany skrypt dla mnie. Liczę, że Picasso odpisując, dorzuci również nazwę języka, w którym pisze takie skrypty. Podobno można pisać w różnych, lecz pewnie wybrała ten odrobinę wygodniejszy -pewnie również często używany przez innych. AdwCleanerS0.txt FRST.txt Fixlog.txt Edytowane 1 Czerwca 2014 przez Janis Odnośnik do komentarza
Janis Opublikowano 2 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2014 Kolejne obserwacje obecnego stanu leczonego PC: Nie można pisać na pamięciach USB. Włączenie nie używanego nigdy konta Gość i stwierdzenie, że tam też skróty nie działają, również nowo tworzone. Z dobrych informacji taka, że będzie mniej moich dygresji, które przeniosłem do Relaxation Room Odnośnik do komentarza
Janis Opublikowano 3 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2014 Proszę o informację, czy powinienem czekać na dalszą pomoc w tym temacie -czy już nie. Komputer potrzebny, więc próbuję szybko dowiedzieć się, czy mam na co czekać. Tak, czy inaczej, dziękuję za dotychczasową próbę pomocy. Odnośnik do komentarza
Janis Opublikowano 9 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2014 System w końcu został przywrócony z kopii zapasowej. Niedziałające programy po przywracaniu zainstalowane ponownie. Na razie jakoś działa- da się użytkować, Temat do zamknięcia Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2014 Zgłoś Udostępnij Opublikowano 10 Czerwca 2014 Proszę o informację, czy powinienem czekać na dalszą pomoc w tym temacie -czy już nie. Komputer potrzebny, więc próbuję szybko dowiedzieć się, czy mam na co czekać. Od kilku miesiący borykam się z kłopotami zdrowotnymi i nie mogę tu być aktywna tak często jak chcę. Są dni, gdy muszę odpuścić pobyt na forum niestety. System w końcu został przywrócony z kopii zapasowej. Niedziałające programy po przywracaniu zainstalowane ponownie. System już przywrócony, ale skomentuję. Myślę, że było to zbyt drastyczne działanie w stosunku do tego co się działo. System został bowiem pomyślnie wyczyszczony z adware, a ujawnione problewmy dodatkowe prawdopodobnie były rozwiązywalne. Po kolei: Po zapisaniu skryptu w katalogu FRST, FRST uruchomił się tylko na chwilę i zaraz został zabity przez jakiś program SONAR -niby, że FRST szkodliwy. Innym PC ściągnąłem ponownie FRST, zmieniłem jego nazwę i zapisałem na C zarażonego PC. Następnie uruchomiłem zarażonego w trybie awaryjnym i uruchomiłem przemianowany FRST w zaleconym trybie wykonania skryptu. Ta akcja z ponownym ściąganiem FRST i uruchamianiem go pod zmienioną nazwą była niepotrzebna. SONAR to moduł Symantec: KLIK. Zareagował gdyż skrypt FRST usuwał obiekty adware uzyskując do nich bezpośredni dostęp. Należało zdeaktywować Nortona i przepuścić akcję FRST. Następnie okazało się, że po starcie systemu pojawia się komunikat, który zapisałem w obrazku "błąd". To był skutek niedokładnej deinstalacji adware Mobogenie. Pozostał wpis startowy próbujący uruchamiać moduł Mobogenie. Oraz, że nie działają prawie żadne skróty w obydwu osobowościach komputera, np. skrót Firefox'a na pulpitach -można otworzyć tylko kosz z ikon pulpitu. Menu Start się otwiera i tu działają niektóre ikony z tych dotępnych pierwszoplanowo -te umieszczone głębiej nie działają. Co gorsza nowe skróty również nie działają. Włączenie nie używanego nigdy konta Gość i stwierdzenie, że tam też skróty nie działają, również nowo tworzone. Nie podałeś jaki błąd, ale w takim przypadku poprosiłabym o dodatkowe dane, choćba skan asoscjacji LNK na poziomie rejestru. Nie można pisać na pamięciach USB. Tu także nie zostało objaśnione jaki błąd widać, ale zostałaby zadana adekwatna diagnostyka lub działanie reinstalacyjne urządzeń USB. Nie znam języków skryptowych, a ciekaw jestem jak się nazywa ten, w którym został napisany skrypt dla mnie. Liczę, że Picasso odpisując, dorzuci również nazwę języka, w którym pisze takie skrypty. Podobno można pisać w różnych, lecz pewnie wybrała ten odrobinę wygodniejszy -pewnie również często używany przez innych. Ten "język" nie ma nazwy. Jest to składnia charakterystyczna tylko i wyłącznie dla FRST, a sam program bazuje na AutoIt. . Odnośnik do komentarza
Janis Opublikowano 11 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2014 Pani Picasso -bardzo pozdrawiam Oraz, że nie działają prawie żadne skróty w obydwu osobowościach komputera, np. skrót Firefox'a na pulpitach -można otworzyć tylko kosz z ikon pulpitu.Menu Start się otwiera i tu działają niektóre ikony z tych dotępnych pierwszoplanowo -te umieszczone głębiej nie działają.Co gorsza nowe skróty również nie działają.Włączenie nie używanego nigdy konta Gość i stwierdzenie, że tam też skróty nie działają, również nowo tworzone. Nie podałeś jaki błąd, ale w takim przypadku poprosiłabym o dodatkowe dane, choćba skan asoscjacji LNK na poziomie rejestru. NIE BYŁO ŻADNYCH KOMUNIKATÓW BŁĘDU -PO PROSTU SKRÓTY NIE DZIAŁAŁY, NAWET NOWO UTWORZONE, NAWET W NOWO UTWORZONYM PROFILU. NATOMIAST JEŚLI BYŁO PODEJRZEĆ WE WŁAŚCIWOŚCIACH SKRÓTU, CO SKRÓT POWINIEN URUCHAMIAĆ I WEJŚĆ TAM, PRZECHODZĄC PO KOLEI PRZEZ KATALOGI -WTEDY UDAWAŁO SIĘ URUCHOMIĆ ELEMENT, DO KTÓREGO SKRÓT SIĘ ODNOSIŁ. Choćby z ciekawości chętnie zaczekałbym na analizę, jednak ten komputer pracuje w nowo założonym punkcie kserograficznym -inicjatywa naszej koleżanki ze szkolnych lat. Nie można było czekać. Nie ma mowy, żeby Pani się dała jakimś kłopotom zdrowotnym. Choć to nieprawdopodobne, trochę znam chłopaka równie nieprzeciętnego, działającego na pograniczu elektroniki i komputerów, ale przemysłowych (niedawno w 2 tygodnie zmontował urządzenie, z pomocą którego dostał się do pamięci zupełnie nietypowego sterownika przemysłowego i naprawił go). I nie życzę sobie, by takie osoby miewały poważne kłopoty. Odnośnik do komentarza
Janis Opublikowano 12 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2014 W systemie odtworzonym z kopii nie było już Nortona, zamiast niego zamontowałem trialowego antywirusa Nod. Parę dni jakoś to działało, dopóki nie napisałem poprzedniej wiadomości w tym temacie. Pisząc, przyszło mi na myśl sprawdzić, czy w systemie są zainstalowane programy, które picasso zaleciła usunąć. Znalazłem zainstalowane 2 :Mobogenie, Web Protect for Windows. Postanowiłem je usunąć. Następnie uruchomiłem AdwCleaner. Po czyszczeniu, AdwCleaner uruchomił ponownie komputer i wtedy zaczęło się Deja vu : -pojawił się komunikat z obrazka "błąd" dołączonego do wcześniejszej wiadomości (wystąpił błąd podczas ładowania... nengine.dll ) -nie działają skróty -nie wiem zupełnie jak zabrać się do zrobienia "skan asoscjacji LNK na poziomie rejestru" -na pamięciach przenośnych tym razem idzie zapisywać Pomyślałem, że do pojawienia się syndromu skrótów, przyczynia się odinstalowanie powyższych programów, albo użycie AdwCleaner. Logi AdwCleane dołączam. Następnie uruchomiłem FRST -logi dołączam. Następnie próbowałem OTL.Nie uruchomił się, tylko zobaczyłem komunikaty jak na dołączonym tu obrazku. Jeszcze uruchomiłem GMER. Skan wstępny przebiegł szybko. Kilkanaście sekund po uruchomieniu skanu C: komputer się zawiesił zupełnie. Mając ponownie niesprawny system, zabrałem się do kolejnego przywracania z kopii. Tym razem najpierw użyłem AdwCleaner. Po restarcie zaczął się pojawiać komunikat z obrazka "błąd" (wystąpił błąd podczas ładowania... nengine.dll ), lecz skróty działają. Następnie sprawdziłem, że w Dodaj Usuń Programy widzę tylko jeden z trzech programów, które usuwałem z pierwotnego systemu:Web Protect for Windows. Przy próbie usunięcia, wystąpił komunikat, że nie można znaleźć plików tego programu i czy chcę usunąć skrót z okna Programów. Wydaje się, że na ten moment znaczącego problemu nie ma, dobrze byłoby tylko usunąć komunikat o błędzie pojawiający się przy uruchomieniu. Oczywiście liczę na pomoc. Nasuwa mi się też na myśl, że problem ze skrótami był produkowany przez którąś z procedur odinstalowujących jeden z trzech podejrzanych programów: Mobogenie, Web Protect for Windows, webget. Mam nadzieję, że końcówka tej sprawy jest odrobinę ciekawa i że to naprawdę już końcówka. AdwCleanerS0.txt AdwCleanerR0.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się