igor1 Opublikowano 9 Listopada 2014 Zgłoś Udostępnij Opublikowano 9 Listopada 2014 Komputer z systemem Windows Vista 32 bit. Mam problem z pojawianiem się "złośliwej Jawy", komunikatu "twoja wersja programu Java jest przestarzała i może powodować problemy" i okna z opcją przekierowania do jakiejś strony gdzie można pobrać jakieś bliżej nieznane programy. Tego okna nie da się zamknąć, trzeba przejśc do innej strony, gdzie za chwilę też pojawia się to okno. To jest komputer mojej żony, służy jej do pracy. Zacząłem go skanować programami anti-malware (spy hunter, malwarebytes) i okazało się, że jest całkiem dużo śmieci. Komputer działa wolno, zamula się. Czy moglibyście mi pomóc w oczyszczeniu komputera i wygenerować odpowiedni skrypt do FRST, ewentualnie zasugerować inne kroki. Miałem problem ze skanowaniem programem GMER, ciągle się wywalał z błędem stop, w końcu raz poszedł w trybie awaryjnym. Załączam logi. Tutaj wklejam Security Check: Results of screen317's Security Check version 0.99.89 Windows Vista Service Pack 1 x86 (UAC is enabled) Out of date service pack!! Internet Explorer 8 Out of date! Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Microsoft Security Essentials Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` CCleaner Adobe Flash Player 15.0.0.189 Mozilla Firefox (33.0.3) Mozilla Thunderbird (2.0.0 Thunderbird out of Date! Google Chrome 38.0.2125.104 Google Chrome 38.0.2125.111 Google Chrome update.dll.. ````````Process Check: objlist.exe by Laurent```````` Microsoft Security Essentials MSMpEng.exe Microsoft Security Essentials msseces.exe Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbam.exe Malwarebytes Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` gmer.txt FRST.txt Addition.txt Shortcut.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 9 Listopada 2014 Zgłoś Udostępnij Opublikowano 9 Listopada 2014 Na początek o używanych programach: - SpyHunter to niepożądany wątpliwy program, który stosuje naciski reklamodawcze, by go zainstalować, po czym się okazuje, że nici z usuwania bez opłat. Z daleka od niego. - AdwCleaner nie został pobrany ze strony domowej tylko z pokątnego serwisu - skutki to pobranie wycofanej z użytku wersji z bugami: adwcleaner_4.002_www.INSTALKI.pl.exe. Proszę nie pobieraj takich programów z portali, które nie mają pozwolenia na hosting i nie nadążają za aktualizacjami. AdwCleaner ma swoją stronę domową gdzie zawsze jest najnowsza wersja, link w przyklejonym: KLIK. W Firefox jest adware easytoshop, ponadto przeglądarka Google Chrome została przekonwertowana przez adware do typu "development". W systemie są też inne śmieci. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj AVG Security Toolbar, Google Chrome, Winamp Toolbar. Usuwanie AVG Security Toolbar może zwrócić błąd, niestety wygląda na to, że była tu zła kolejność (najpierw AdwCleaneer zamiast poprawnej deinstalacji). Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, a resztę dokasuje punkt 2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {14D2B892-88B0-4AB2-9548-6FFE26E4EB81} - System32\Tasks\{DC3DBF1C-8AE9-47B3-BBF2-41161E14A24D} => C:\Program Files\Skype\Phone\Skype.exe Task: {1BF5E031-4433-4672-B35F-17FA0E9D9915} - \1c4a65ae-d51e-4630-92af-803b13515a45-1 No Task File Task: {27A30AB0-53FE-452B-9CB0-E8018E93B82D} - \globalUpdateUpdateTaskMachineUA No Task File Task: {3E770B73-6CC7-4549-ADD2-3D8BD205F401} - \1c4a65ae-d51e-4630-92af-803b13515a45-4 No Task File Task: {502924F9-EA64-4348-BA63-781CEEBF3E0A} - \1c4a65ae-d51e-4630-92af-803b13515a45-2 No Task File Task: {5F21142F-7ECC-42FB-82E0-8E894346CCFC} - System32\Tasks\Registration Trigger IBM Lotus Symphony Task => C:\Program Files\IBM\Lotus\Symphony\framework\rcp\rcplauncher.exe Task: {6AF669B9-0E78-4F73-AE1B-D6F028EE8EDB} - \1c4a65ae-d51e-4630-92af-803b13515a45-5_user No Task File Task: {6BAD32B9-A9F9-4187-815A-5791F926BCBA} - \1c4a65ae-d51e-4630-92af-803b13515a45-7 No Task File Task: {89A25111-7886-4259-BE6F-8D3E7405B218} - \1c4a65ae-d51e-4630-92af-803b13515a45-6 No Task File Task: {A74D61EC-82DB-400F-9313-C77F5125C511} - \globalUpdateUpdateTaskMachineCore No Task File Task: {C8BC0BCE-5515-4555-9365-C8B7C25E02DC} - \1c4a65ae-d51e-4630-92af-803b13515a45-11 No Task File Task: {FBE663AB-601A-478E-8E5F-88108CBCA15C} - \1c4a65ae-d51e-4630-92af-803b13515a45-5 No Task File S2 Update EnterDigital; "C:\Program Files\EnterDigital\updateEnterDigital.exe" [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S1 MpKsl4f5e237f; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E8AECBA2-57A7-4ACF-908E-D0E25DA5E810}\MpKsl4f5e237f.sys [X] HKU\S-1-5-21-1579964985-3426180906-2269987189-1000\Software\Classes\.exe: exefile => HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141107 URLSearchHook: HKCU - (No Name) - {c2db4fe6-8409-45ce-8010-189a7b5cce86} - No File SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://isearch.avg.com/search?cid={7B39E381-AF5D-4251-9093-EDED203DC7C1}&mid=547ed8b60b5e47d09317d1569676c6ce-cd057674818d3d359bd7fb4b61be906e948a228e&lang=pl&ds=xn011&pr=sa&d=2012-10-13 19:29:17&v=13.0.0.7&sap=dsp&q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File Toolbar: HKCU - No Name - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No File Toolbar: HKCU - No Name - {C2DB4FE6-8409-45CE-8010-189A7B5CCE86} - No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\13.0.0.7 C:\Program Files\dealpeak C:\Program Files\Enigma Software Group C:\Program Files\globalUpdate C:\Program Files\Google C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\MyFree Codec C:\Program Files\Yawtix C:\ProgramData\af605e765fe8a99d C:\ProgramData\dfed7653-07f4-44f2-abaa-a70c946c17c3 C:\ProgramData\AVG Secure Search C:\Users\BB1\AppData\Local\Google C:\Users\BB1\AppData\Roaming\systweak C:\Users\BB1\Desktop\Continue Firefox installation.lnk C:\Users\BB1\Desktop\Continue XviD installation.lnk C:\Users\BB1\Downloads\SpyHunter-installer.exe C:\Windows\455F074C814E4520B69B5584BD90400C.TMP C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\BB1\AppData\Local CMD: dir /a C:\Users\BB1\AppData\LocalLow CMD: dir /a C:\Users\BB1\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ae używane rozszerzenie trzea będzie przeinstalować (Adblock Plus, FEBE, LastPass). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. . Odnośnik do komentarza
igor1 Opublikowano 9 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2014 Jesteś Boska. Tempo w jakim działasz powala. Jak tylko skończę gmeranie (GMER to adekwatne nazwa programu) w tym komputerze, wyślę Wam jakąś dotację. Co do Twojego posta: 1. Przeprowadziłem wszystkie kroki. W załączeniu logi z FRST i AdwCleaner wykonane po tych wszystkich operacjach. W AdwCleaner nie uruchamiałem opcji czyszczenia - nie dostałem takiego polecenia, tylko fix w FRST według Twojego skryptu. 2. Nie instalowałem jeszcze utraconych add-ons do Firefoxa - jak je najlepiej zainstalować? Pobrać ze strony add-ons Mozilli czy jak? Dotąd tego nie robłem - prawdopodobnie od razu instalowałem Firefoxa z dodatkami (tu i tak odinstalowałem go i zainstalowałem ponownie przedwczoraj, jeszcze przed kontaktem z Tobą) W komputerze zainstalowałem żonie MBAM, ma ona także zaporę Windows. Kiedyś miała Comodo i szwagier jej odinstalował, bo ciągle o coś pytał i szwagrowi to przeszkadzało. Może powinienem jej zainstalować jakiś antywirus i zaporę - Comodo, AVG czy coś jeszcze, Nie jestem fachowcem, ale wolałbym żeby komputer jej działał bez moich częstych ingerencji - mam niewiele wolnego czasu, a ona nie potrafi nic zrobić. Nawet dysk muszę jej od czasu do czasu czyścić ze zbędnych plików. A, co do GMER-a któy mi się wywalał - jestem leniwy i zastosowałem wyjście z defoggerem do unieczynnienia ewentualnych wirtualnych napędów. Odznaczyłem też wszzystkie progarmy w autostarcie. Ku mojemu zdziwieniu nadal się wywalał i poszedł dopiero w trybie awaryjnym. Ale kiedy go uruchamiałem normalnie, tajemnica się wyjaśniła. Na dole po prawej pojawiał się dymek, że są pliki oczekujące na zapisanie na CD-RW. Klikałem i poijawiały się te pliki, mimo, że napęd CD-RW był wyłączony. Okazało się, że program CD-Burner utworzył sobie folder emulujący ten napęd i jak się wchodziło w ikonę napędu, pokazywał te pliki. Teraz GMER poszedł bez problemu, ale log nie rózni się od tego, który dostałem w trybie awaryjnym. CD-Burnera na razie odinstalowałem, bo i tak napęd żonie padł, pliki dałem do kosza, więc odzyskała sporo miejsca na swoich zapchanych dyskach. Sprawdź jeszcze, proszę czy wszystko jest OK - ewentualnie co jeszcze powinienem zrobić. serdecznie pozdrawiam Igor AdwCleanerR3.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 9 Listopada 2014 Zgłoś Udostępnij Opublikowano 9 Listopada 2014 Brakuje pliku fixlog.txt, który powstał podczas wykonywania skryptu FRST. Proszę uzupełnij. 2. Nie instalowałem jeszcze utraconych add-ons do Firefoxa - jak je najlepiej zainstalować? Pobrać ze strony add-ons Mozilli czy jak? Dotąd tego nie robłem - prawdopodobnie od razu instalowałem Firefoxa z dodatkami (tu i tak odinstalowałem go i zainstalowałem ponownie przedwczoraj, jeszcze przed kontaktem z Tobą) Z oficjalnej strony Mozilla Add-ons: Adblock Plus, FEBE, LastPass. . Odnośnik do komentarza
igor1 Opublikowano 9 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2014 Przepraszam - zapomniałem Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 Wszystko wykonane i już kończymy: 1. Otwórz Notatnik i wklej w nim: S1 MpKsl1a3e1540; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl1a3e1540.sys [X] S1 MpKsl77fb44f3; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl77fb44f3.sys [X] S1 MpKsl8075f527; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl8075f527.sys [X] S1 MpKsl91df9533; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl91df9533.sys [X] S1 MpKsla4caadeb; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsla4caadeb.sys [X] S3 StarOpen; No ImagePath RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\BB1\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Dopiero po jego przedstawieniu: 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji: KLIK. Stan obecny: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polski (Polska) Internet Explorer Version 8 I podsuń do czytania materiał czego unikać, na co uważać: KLIK. . Odnośnik do komentarza
igor1 Opublikowano 15 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2014 Witaj, Dziękuję Ci bardzo. Zastosowałem otrzymany skrypt - fixlog w załączeniu. Czekam na odpowiedź przed krokami 2 i 3 Igor Fixlog_15-11-2014_20-24-07.txt Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2014 Zgłoś Udostępnij Opublikowano 15 Listopada 2014 Fix wykonany, możesz przejść dalej. Odnośnik do komentarza
igor1 Opublikowano 16 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2014 Witaj, Delfix wykonałem, log w załączeniu. Zaktualizowałem Vistę do Service Pack 2 i IE do wersji 9. Myślę, że to już wszystko do zamknięcia tematu. W dziale dotacji pytałem o konto - czy podane tam konto jest właściwe? Chciałbym Cię jakoś wesprzeć. Co do czytania o zagrożeniach - to w tym przypadku nic nie da. Powiedziałem tylko, żeby w mojej nieobecności nie klikać byle gdzie - ale czy będę wysłuchany? Czy warto zainstalować jeszcze jakieś narzędzia chroniące komputer w przypadku całkowicie nieświadomego (i niechętnego do słuchania ostrzeżeń) użytkownika jak moja żona? serdeczne pozdrowienia Igor DelFix.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2014 Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Potwierdzam wykonanie DelFix, skasuj z dysku log C:\DelFix.txt. Co do czytania o zagrożeniach - to w tym przypadku nic nie da. Powiedziałem tylko, żeby w mojej nieobecności nie klikać byle gdzie - ale czy będę wysłuchany? Czy warto zainstalować jeszcze jakieś narzędzia chroniące komputer w przypadku całkowicie nieświadomego (i niechętnego do słuchania ostrzeżeń) użytkownika jak moja żona? Cytuję z mojego artykułu: Kroki ograniczające nabycie niepożądanych dodatków (...) można posiłkować się dodatkowym programem do automatycznego "odznaczania" pół instalacji adware, lecz program nie zastąpi myślenia użytkownika: Unchecky . Odnośnik do komentarza
Rekomendowane odpowiedzi