lordmtk Opublikowano 29 Listopada 2014 Zgłoś Udostępnij Opublikowano 29 Listopada 2014 Witam. Bardzo proszę o pomoc w naprawie mojego systemu tudzież przeglądarki. Objawy infekcji to reklamy w oknie przeglądarki, przekierowania, które np. przed chwilą uniemożliwiły mi podgląd posta bo okno poleciało już do jakiejś gry. Prócz tego kilka razy widziałem jakiś komunikat któremu niestety nie zrobiłem screen'a a nie pamiętam treści ale mówi on o tym, że jakiś program w Chrome chce uzyskać dane ( coś w tym stylu). Zaznaczę jeszcze, że jestem laikiem i proszę to uwzględnić w odpowiedzi. Z góry dziękuję za odzew, pomoc i wyrozumiałość. Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Shortcut.txtPobieranie informacji ... log. GMER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2014 Zgłoś Udostępnij Opublikowano 29 Listopada 2014 W oknie GMER jako "podejrzany" stoi po po prostu moduł dysku GG, to nie jest tu problemem. ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) Problemem zasadniczym jest adware Techgile wmontowane do Google Chrome. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X] HKLM-x32\...\Run: [ROC_roc_ssl_v12] => "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 HKU\S-1-5-21-2184118066-859118458-687225370-1000\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Users\Robert\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=54e62f3abf8d47d0be1cd1543b71c18b-1308d3c63c742bcf262aec552d1bdcca5b3be4c5 /CMPID=1213b ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=156 HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> DefaultScope {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {C68463FC-2E20-492D-B129-C09640278F6B} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D75B0CE9-6D33-4FF2-9E58-9DFAE6ED907E&apn_sauid=EB10D1E6-E5BE-4D94-BED6-8341C01F8202 SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files (x86)\AVG\AVG2012\avgssiea.dll No File BHO-x32: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files (x86)\AVG\AVG2012\avgssie.dll No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\ProgramData\AVAST Software C:\Users\Robert\AppData\Local\Avg2014 C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Robert\AppData\Roaming\Mozilla C:\Users\Robert\AppData\Roaming\TuneUp Software C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\Robert\Desktop\*_Sciagnij.pl.exe Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Robert\AppData\Local CMD: dir /a C:\Users\Robert\AppData\LocalLow CMD: dir /a C:\Users\Robert\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Techgile. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Powiedz mi też co jest w folderze C:\AVAST. . Odnośnik do komentarza
lordmtk Opublikowano 29 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2014 Dałem radę z logiem GMER którego zdaje się nie widziałaś. Swoją droga myślałem, że jak mam post w edycji to go nie widzisz. hmmm. Polecenie bez zmiany? log. GMER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2014 Zgłoś Udostępnij Opublikowano 29 Listopada 2014 Skoro post już wysłałeś na forum, to jest publiczny i nie jest ukrywany, gdy go edytujesz, tylko że edycję mogę zobaczyć dopiero wtedy, gdy ją zatwierdzisz. Oglądałam temat sprzed edycji. Log z GMER nic nie zmienia, wszystkie komentarze i instrukcje nadal aktualne. Odnośnik do komentarza
lordmtk Opublikowano 29 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2014 W folderze AVAST była instalka Avasta, już jej nie ma. FRST.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2014 Zgłoś Udostępnij Opublikowano 29 Listopada 2014 Otwórz plik Fixlog i popatrz co tam jest! Przeklejając z posta do Notatnika zepsułeś cały format skryptu, przepuściłeś go przez translator przeglądarki! Angielskie słowa zamienione na polskie, ścieżki rozbite (spacje) i nic nie zostało wykonane z punktu 1. Jeśli przeglądarka pyta "czy tłumaczyć stronę", nie wolno tego zrobić tu na polskim forum, gdzie jest podawany skrypt, bo to niszczy skrypt. Przykład, wpis adware: S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X] ... został "przetłumaczony" jako (takie wejście nie istnieje w systemie): S2 Aktualizacja Techgile; "C: \ Program Files (x86) \ Techgile \ updateTechgile.exe" [X] Do powtórki cały punkt numer 1, a po tym nowy log FRST zrób (bez Addition i Shortcut). . Odnośnik do komentarza
lordmtk Opublikowano 3 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Taki mam log, zobacz Ty jest ok bo program musiałem wyłączyć sam po 24 godzinach pracy... drugi raz też zamulił na zawsze... ale ostatni miałem komunikat że jest COMPLETE wiec chyba gra.. hmmm? Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 A już wiem dlaczego się zaciął Fix, mój błąd - brak parametru cichego przy jednej z komend i weszło w pętlę. Powtórz tę część operacji, która nie została przetworzona - tym razem powinno pójść gładko: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Robert\AppData\Local CMD: dir /a C:\Users\Robert\AppData\LocalLow CMD: dir /a C:\Users\Robert\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
lordmtk Opublikowano 5 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2014 Wykonano. Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2014 Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Techgile C:\Program Files (x86)\Zero G Registry C:\ProgramData\Ask C:\ProgramData\AVG Security Toolbar C:\Users\Robert\AppData\LocalLow\dt.dat C:\Users\Robert\AppData\Roaming\Mozilla Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy log fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
lordmtk Opublikowano 8 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Zrobione... Fixlog.txtPobieranie informacji ... AdwCleanerR0.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2014 Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Fix wykonany. Natomiast AdwCleaner czepia się komunikatora QQ - ten komunikator jest od początku na Twojej liście zainstalowanych i nie ruszałam tego umyślnie. Czy to celowa instalacja?. Odnośnik do komentarza
lordmtk Opublikowano 11 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 QQPlayer... odtwarzacz video, nic mi nie wiadomo o takim komunikatorze. ?!?! Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2014 Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Pomyliło mi się, jest też komunikator QQ. Rozumiem, że to celowa instalacja? Odnośnik do komentarza
lordmtk Opublikowano 12 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 Tak, celowa. Już zbędna więc usuwam skoro się go czepiają Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2014 Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 AdwCleaner czepia się niekiedy rzeczy, których nie powinien. Skoro QQ okazał się zbędnikiem, deinstalacja jest poprawną metodą pozbycia się. Po deinstalacji możesz ponownie uruchomić AdwCleaner, zastosować sekwencję Szukaj + Usuń i dostarczyć wynikowy log AdwCleanerS0.txt. Odnośnik do komentarza
lordmtk Opublikowano 13 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2014 Zdaje się, że już jest ok... Dziękuje Ci bardzo za pomoc. Jesteś wielka! Pozdrawiam. AdwCleanerR1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2014 Zgłoś Udostępnij Opublikowano 13 Grudnia 2014 To kolejny log z opcji Szukaj (AdwCleanerR1.txt), a ja prosiłam o log z opcji Usuń (AdwCleanerS0.txt). Odnośnik do komentarza
lordmtk Opublikowano 15 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 aaaaaa AdwCleanerS0.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2014 Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 Kończymy. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zakualizuj Adobe/Java: KLIK. Odnośnik do komentarza
lordmtk Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Nie mogłem wkleić tego pliku "Wysyłanie ominięte(Nie wybrano pliku do importu)", hmm wklejam treść: # DelFix v10.8 - Logfile created 17/12/2014 at 13:39:40 # Updated 29/07/2014 by Xplode # Username : Robert - ROBERT-KOMPUTER # Operating System : Windows 7 Ultimate Service Pack 1 (64 bits) ~ Removing disinfection tools ... Deleted : C:\FRST Deleted : C:\AdwCleaner Deleted : C:\Users\Robert\Desktop\FRST-OlderVersion Deleted : C:\AdwCleanerDebug.txt Deleted : C:\Users\Robert\Desktop\adwcleaner_4.104.exe Deleted : C:\Users\Robert\Desktop\FRST.txt Deleted : C:\Users\Robert\Desktop\FRST64.exe Deleted : C:\Users\Robert\Desktop\OTL.exe Deleted : HKLM\SOFTWARE\OldTimer Tools Deleted : HKLM\SOFTWARE\AdwCleaner ########## - EOF - ########## Rozumiem, że wszystko usunięto prawidłowo. Dziękuję za pomoc. Życzę dużo zdrowia i uśmiechu. Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Błąd przy wysyłaniu załącznika to możliwe, że pod wpływem aktywności programu antywirusowego. Delfix wykonał zadanie, skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi