Schumix Opublikowano 30 Października 2014 Zgłoś Udostępnij Opublikowano 30 Października 2014 Witam Zatem od poczatku... 1.Kilka dni temu pojawil sie problem z przegladaniem stron internetowych ( mozilla, chrome, opera, ie ), na wszystkich przegladarkach meczylem sie z uciazliwymi reklamami a youtube dzialal tragicznie. Co prawda czyscilem laptopa kilkoma programami ( ADW cleaner, odkurzacz, DR WEB Cureit ), czesc z nich lokalizowala "problem" ( czyt. folder FRAMED DISPLAY ) jednak nie mogla go skutecznie usunac. Uruchonilem zatem laptopa w trybie awaryjnym i usunalem folder recznie, jak sie okazalo, problem nie zniknal do konca gdyz reklamy zaczely sie pojawiac ponownie ( mimo ze folder zostal usuniety ). 2. Nie poddawalem sie tak latwo, postanowilem sciagnac jakis inny program dzieki ktoremu bede mogl wyczyscic laptopa ( i tutaj, pada podejrzenie na innego wirusa... nie moge pobierac plikow do konca, tzn. ciagle mam 99% -> sality ? ) Z kolei gdy probuje otworzyc pobierana zawartosc, pojawia sie komunikat ze pobieranie sie nie powiodlo. Zmeczony tym wszystkim postanowilem szukac pomocy u kogos kto ogarnia temat. Tym cudownym sposobem znalazlem sie u Was. Zamieszczam logi i cierpliwie czekam na pomoc. Pozdrawiam Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Uwagi wstępne: - Adware nabyte poprzez nieuwagę, instalator sponsorowany śmieciami lub "downloader portalowy": KLIK. Przykładowo u Ciebie na dysku widać wiele plików "Asystenta pobierania" dobrychprogramów.pl. - Zawsze zaczyna się od poprawnej deinstalacji adware via Panel sterowania, następnie powtórzenie akcji w menedżerach rozszerzeń przeglądarek, dopiero po tym można użyć AdwCleaner i inne automaty. Odwrotna kolejność ma skutki uboczne: jako że automaty nie prowadzą deinstalacji tylko na chama usuwają wpisy, mogą pozostać wejścia, które normalnie usunęłaby deinstalacja. - W systemie nadal jest czynne adware (niejaki FastPlayer, sterownik webinstrNew.sys, Harmonogram zadań wytapetowany). Poza tym, w tle działa wątpliwy program YAC (Yet Another Cleaner): KLIK. To nie jedyny wątpliwy skaner, do którego się przymierzałeś, na dysku są także ślady lewego SpyHunter. I przypuszczalnie sterowniki adware i/lub YAC są powodem problemów z siecią i pobieraniem. Nie wiem skąd Ci się wzięło podejrzenie Sality... - Przeglądarki Google Chrome i Firefox wyglądają na uszkodzone lub niepoprawnie odinstalowane (brak wejść na liście zainstalowanych), będę usuwać więc ich foldery z dysku, w których notabene jest nadal adware. Nie jest znana zawartość przeglądarki Opera (uruchomiona w procesach), gdyż żadne z narzędzi jej nie skanuje, ale dane o niej pobiorę ręcznie. Przeprowadź następujące działania: 1. Na początek deinstalacje: - Tradycyjnie poprzez Panel sterowania odinstaluj: FastPlayer, McAfee Security Scan Plus, videos_MediaPlayers_v1.2+. Jeśli nie będzie widać którejś pozycji lub zwróci ona błąd, nie szkodzi. Kontynuuj: - YAC tam nie występuje, uruchom więc ręcznie plik C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe (prawoklik na plik i Uruchom jako Administrator) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {052FED14-726E-46AD-A7B4-62AD6CC2BC98} - System32\Tasks\HM => C:\Users\Ninos\AppData\Roaming\HM.exe [2014-10-08] (Object Browser) Task: {4549C3A4-2C45-4F55-A546-15862D8B91D2} - System32\Tasks\SPBIW_UpdateTask_Time_313135343432383234392d5b5b4a346c4123452a5a556c => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {58EE346C-1BF3-483F-9CE6-93AD22FC9692} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-1.job => C:\Program Files (x86)\Senses\Senses-codedownloader.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-11.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-11.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-2.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-2.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-3.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-3.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-4.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-4.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-5.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-5.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-5_user.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-5.exe Task: C:\WINDOWS\Tasks\9c550b45-9ada-4e6a-9f45-e1e98b039007-11.job => C:\Program Files (x86)\videos_MediaPlayers_v1.2+\9c550b45-9ada-4e6a-9f45-e1e98b039007-11.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-11.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-11.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-2.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-2.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-4.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-4.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-5_user.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.exe Task: C:\WINDOWS\Tasks\SpeedChecker Update.job => C:\Program Files (x86)\ver5SpeedChecker\i1SpeedCheckeru59.exe R2 FastPlayerUpdaterService; C:\Program Files (x86)\FastPlayer\FastPlayerUpdaterService.exe [11776 2014-09-30] () [File not signed] R2 webinstrNew; C:\WINDOWS\system32\Drivers\webinstrNew.sys [56504 2014-10-16] (Corsica) S1 {29302da5-1178-40ac-a178-4cb57ebcc501}Gw64; system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64.sys [X] S1 {a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64; system32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64.sys [X] S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] S2 SPDRIVER_1.37.0.1359; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1359\jsdrv.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\...\Policies\Explorer: [NoControlPanel] 0 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 BHO-x32: Framed Display -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll No File C:\Program Files\plugins.dat C:\Program Files\McAfee Security Scan C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\FastPlayer C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\McAfee Security Scan C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\videos_MediaPlayers_v1.2+ C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840 C:\ProgramData\EmailNotifier C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\Temp C:\ProgramData\Thunder Network C:\ProgramData\Xunlei C:\ProgramData\Microsoft\Windows\Start Menu\YAC.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FastPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk.1413378507.old C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\Gäst\Desktop\FastPlayer.lnk C:\Users\Ninos\AppData\Local\com C:\Users\Ninos\AppData\Local\CrashRpt C:\Users\Ninos\AppData\Local\fastplayer C:\Users\Ninos\AppData\Local\Google\Chrome C:\Users\Ninos\AppData\Local\Mozilla C:\Users\Ninos\AppData\Roaming\*.exe C:\Users\Ninos\AppData\Roaming\eCyber C:\Users\Ninos\AppData\Roaming\Elex-tech C:\Users\Ninos\AppData\Roaming\Mozilla C:\Users\Ninos\Desktop\FastPlayer.lnk C:\Users\Ninos\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Ninos\Downloads\*(*)-dp* C:\Users\Ninos\Downloads\*_www.INSTALKI.pl* C:\Users\Ninos\Downloads\9886749d79024d39ba156d4db172e2e2 C:\Users\Ninos\Downloads\ComboFix*.exe C:\Users\Ninos\Downloads\install_flash_player.exe C:\Users\Ninos\Downloads\ReimageRepair.exe C:\Users\Ninos\Downloads\Setup.exe C:\Users\Ninos\Downloads\SpyHunter-installer*.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk C:\Users\Public\Desktop\Wznów Instalację Reimage Repair.lnk C:\Users\Public\Desktop\YAC.lnk C:\Users\Public\Documents\YTAHelper C:\WINDOWS\system32\Drivers\webinstrNew.sys C:\WINDOWS\system32\log Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\FastPlayer /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\videos_MediaPlayers_v1.2+ /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Ninos\AppData\Local CMD: dir /a C:\Users\Ninos\AppData\LocalLow CMD: dir /a C:\Users\Ninos\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Schumix Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Wiec tak: -deinstalacje przeprowadzone. -dzialania w FRST wykonane krok po kroku. Świeże logi w zalaczniku. Addition.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Wsystko zrobione. Wymagane poprawki: 1. W Operze jest także adware. Otwórz interfejs Rozszerzeń i odinstaluj iWebar, Senses. 2. Otwórz Notatnik i wklej w nim: S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] C:\Program Files (x86)\Temp C:\ProgramData\boost_interprocess C:\ProgramData\Doctor Web C:\ProgramData\install_clap C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Symantec C:\Users\Ninos\Doctor Web C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Extensions\Temp RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt i opisz co się obecnie dzieje w systemie. . Odnośnik do komentarza
Schumix Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Na pierwszy rzut oka: Strony wczytują się tak jak powinny (bez chamskich reklam!) , youtube śmiga tak jak dawniej a mój laptop zaczął przypominać sprzęt sprzed kilku dni.Ponadto pobrałem przed momentem Skype'a i tym razem obyło się bez problemów z zapisaniem. Serdecznie dziękuje za pomoc, mam nadzieje ze faktycznie wszystko wróciło do normy (sam z pewnością bym się z tym nie uporał) Pozdrawiam Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Zadanie wykonane. Kończymy: 1. Skasuj używane narzędzia z folderu C:\Users\Ninos\Desktop\pen, następnie popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Java 7 Update 55 do najnowszej wersji. To tyle. Odnośnik do komentarza
Rekomendowane odpowiedzi