Schumix Opublikowano 30 Października 2014 Zgłoś Udostępnij Opublikowano 30 Października 2014 Witam Zatem od poczatku... 1.Kilka dni temu pojawil sie problem z przegladaniem stron internetowych ( mozilla, chrome, opera, ie ), na wszystkich przegladarkach meczylem sie z uciazliwymi reklamami a youtube dzialal tragicznie. Co prawda czyscilem laptopa kilkoma programami ( ADW cleaner, odkurzacz, DR WEB Cureit ), czesc z nich lokalizowala "problem" ( czyt. folder FRAMED DISPLAY ) jednak nie mogla go skutecznie usunac. Uruchonilem zatem laptopa w trybie awaryjnym i usunalem folder recznie, jak sie okazalo, problem nie zniknal do konca gdyz reklamy zaczely sie pojawiac ponownie ( mimo ze folder zostal usuniety ). 2. Nie poddawalem sie tak latwo, postanowilem sciagnac jakis inny program dzieki ktoremu bede mogl wyczyscic laptopa ( i tutaj, pada podejrzenie na innego wirusa... nie moge pobierac plikow do konca, tzn. ciagle mam 99% -> sality ? ) Z kolei gdy probuje otworzyc pobierana zawartosc, pojawia sie komunikat ze pobieranie sie nie powiodlo. Zmeczony tym wszystkim postanowilem szukac pomocy u kogos kto ogarnia temat. Tym cudownym sposobem znalazlem sie u Was. Zamieszczam logi i cierpliwie czekam na pomoc. Pozdrawiam Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Uwagi wstępne: - Adware nabyte poprzez nieuwagę, instalator sponsorowany śmieciami lub "downloader portalowy": KLIK. Przykładowo u Ciebie na dysku widać wiele plików "Asystenta pobierania" dobrychprogramów.pl. - Zawsze zaczyna się od poprawnej deinstalacji adware via Panel sterowania, następnie powtórzenie akcji w menedżerach rozszerzeń przeglądarek, dopiero po tym można użyć AdwCleaner i inne automaty. Odwrotna kolejność ma skutki uboczne: jako że automaty nie prowadzą deinstalacji tylko na chama usuwają wpisy, mogą pozostać wejścia, które normalnie usunęłaby deinstalacja. - W systemie nadal jest czynne adware (niejaki FastPlayer, sterownik webinstrNew.sys, Harmonogram zadań wytapetowany). Poza tym, w tle działa wątpliwy program YAC (Yet Another Cleaner): KLIK. To nie jedyny wątpliwy skaner, do którego się przymierzałeś, na dysku są także ślady lewego SpyHunter. I przypuszczalnie sterowniki adware i/lub YAC są powodem problemów z siecią i pobieraniem. Nie wiem skąd Ci się wzięło podejrzenie Sality... - Przeglądarki Google Chrome i Firefox wyglądają na uszkodzone lub niepoprawnie odinstalowane (brak wejść na liście zainstalowanych), będę usuwać więc ich foldery z dysku, w których notabene jest nadal adware. Nie jest znana zawartość przeglądarki Opera (uruchomiona w procesach), gdyż żadne z narzędzi jej nie skanuje, ale dane o niej pobiorę ręcznie. Przeprowadź następujące działania: 1. Na początek deinstalacje: - Tradycyjnie poprzez Panel sterowania odinstaluj: FastPlayer, McAfee Security Scan Plus, videos_MediaPlayers_v1.2+. Jeśli nie będzie widać którejś pozycji lub zwróci ona błąd, nie szkodzi. Kontynuuj: - YAC tam nie występuje, uruchom więc ręcznie plik C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe (prawoklik na plik i Uruchom jako Administrator) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {052FED14-726E-46AD-A7B4-62AD6CC2BC98} - System32\Tasks\HM => C:\Users\Ninos\AppData\Roaming\HM.exe [2014-10-08] (Object Browser) Task: {4549C3A4-2C45-4F55-A546-15862D8B91D2} - System32\Tasks\SPBIW_UpdateTask_Time_313135343432383234392d5b5b4a346c4123452a5a556c => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {58EE346C-1BF3-483F-9CE6-93AD22FC9692} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-1.job => C:\Program Files (x86)\Senses\Senses-codedownloader.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-11.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-11.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-2.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-2.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-3.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-3.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-4.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-4.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-5.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-5.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-5_user.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-5.exe Task: C:\WINDOWS\Tasks\9c550b45-9ada-4e6a-9f45-e1e98b039007-11.job => C:\Program Files (x86)\videos_MediaPlayers_v1.2+\9c550b45-9ada-4e6a-9f45-e1e98b039007-11.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-11.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-11.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-2.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-2.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-4.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-4.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-5_user.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.exe Task: C:\WINDOWS\Tasks\SpeedChecker Update.job => C:\Program Files (x86)\ver5SpeedChecker\i1SpeedCheckeru59.exe R2 FastPlayerUpdaterService; C:\Program Files (x86)\FastPlayer\FastPlayerUpdaterService.exe [11776 2014-09-30] () [File not signed] R2 webinstrNew; C:\WINDOWS\system32\Drivers\webinstrNew.sys [56504 2014-10-16] (Corsica) S1 {29302da5-1178-40ac-a178-4cb57ebcc501}Gw64; system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64.sys [X] S1 {a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64; system32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64.sys [X] S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] S2 SPDRIVER_1.37.0.1359; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1359\jsdrv.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\...\Policies\Explorer: [NoControlPanel] 0 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 BHO-x32: Framed Display -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll No File C:\Program Files\plugins.dat C:\Program Files\McAfee Security Scan C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\FastPlayer C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\McAfee Security Scan C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\videos_MediaPlayers_v1.2+ C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840 C:\ProgramData\EmailNotifier C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\Temp C:\ProgramData\Thunder Network C:\ProgramData\Xunlei C:\ProgramData\Microsoft\Windows\Start Menu\YAC.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FastPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk.1413378507.old C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\Gäst\Desktop\FastPlayer.lnk C:\Users\Ninos\AppData\Local\com C:\Users\Ninos\AppData\Local\CrashRpt C:\Users\Ninos\AppData\Local\fastplayer C:\Users\Ninos\AppData\Local\Google\Chrome C:\Users\Ninos\AppData\Local\Mozilla C:\Users\Ninos\AppData\Roaming\*.exe C:\Users\Ninos\AppData\Roaming\eCyber C:\Users\Ninos\AppData\Roaming\Elex-tech C:\Users\Ninos\AppData\Roaming\Mozilla C:\Users\Ninos\Desktop\FastPlayer.lnk C:\Users\Ninos\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Ninos\Downloads\*(*)-dp* C:\Users\Ninos\Downloads\*_www.INSTALKI.pl* C:\Users\Ninos\Downloads\9886749d79024d39ba156d4db172e2e2 C:\Users\Ninos\Downloads\ComboFix*.exe C:\Users\Ninos\Downloads\install_flash_player.exe C:\Users\Ninos\Downloads\ReimageRepair.exe C:\Users\Ninos\Downloads\Setup.exe C:\Users\Ninos\Downloads\SpyHunter-installer*.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk C:\Users\Public\Desktop\Wznów Instalację Reimage Repair.lnk C:\Users\Public\Desktop\YAC.lnk C:\Users\Public\Documents\YTAHelper C:\WINDOWS\system32\Drivers\webinstrNew.sys C:\WINDOWS\system32\log Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\FastPlayer /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\videos_MediaPlayers_v1.2+ /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Ninos\AppData\Local CMD: dir /a C:\Users\Ninos\AppData\LocalLow CMD: dir /a C:\Users\Ninos\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Schumix Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Wiec tak: -deinstalacje przeprowadzone. -dzialania w FRST wykonane krok po kroku. Świeże logi w zalaczniku. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Wsystko zrobione. Wymagane poprawki: 1. W Operze jest także adware. Otwórz interfejs Rozszerzeń i odinstaluj iWebar, Senses. 2. Otwórz Notatnik i wklej w nim: S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] C:\Program Files (x86)\Temp C:\ProgramData\boost_interprocess C:\ProgramData\Doctor Web C:\ProgramData\install_clap C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Symantec C:\Users\Ninos\Doctor Web C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Extensions\Temp RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt i opisz co się obecnie dzieje w systemie. . Odnośnik do komentarza
Schumix Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Na pierwszy rzut oka: Strony wczytują się tak jak powinny (bez chamskich reklam!) , youtube śmiga tak jak dawniej a mój laptop zaczął przypominać sprzęt sprzed kilku dni.Ponadto pobrałem przed momentem Skype'a i tym razem obyło się bez problemów z zapisaniem. Serdecznie dziękuje za pomoc, mam nadzieje ze faktycznie wszystko wróciło do normy (sam z pewnością bym się z tym nie uporał) Pozdrawiam Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Zadanie wykonane. Kończymy: 1. Skasuj używane narzędzia z folderu C:\Users\Ninos\Desktop\pen, następnie popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Java 7 Update 55 do najnowszej wersji. To tyle. Odnośnik do komentarza
Rekomendowane odpowiedzi