Mati22042 Opublikowano 14 Grudnia 2014 Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Witam. Mój problem zaczął się wczoraj gdy pobierałem modyfikacje do Farming Simulator 15. Gdy wszedłem w przeglądarkę internetową co jakiś czas (ok. 2 min.) pokazywała się informacja avasta, że wykryto zagrożenie. Usunąłem mody, które ściągnąłem zrestartowałem kompa i dziś już takich problemów nie mam. Wszystko jest w porządku. Mam 64 bitowy system Windows 8.1. Logi załączam w załączniku. Z góry dzięki za pomoc. Dodam, że w tych komunikatach były wypisane różne strony na które nie wchodziłem. Addition.txt Extras.Txt FRST.txt Gmer.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
Mati22042 Opublikowano 14 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Mam jeszcze jeden problem gdyż na dysku C jak i D pojawiły mi się różne foldery typu: "System Volume Information", "$RECYCLE.BIN", "MSOCache" i różne pliki typu: "BOOTNXT", "hiberfil.sys", "swapfile.sys". Z chęcią zrobiłbym przywracanie systemu lecz jest z nim problem a mianowicie: Po skónczonej operacji wyświetla się : Narzędzie Przywracania systemu nie może wyodrębnić pliku (d:\) z punktu przywracania. Wystąpił nieokreślony błąd podczas przywracania sytemu. (0x8000ffff). Sądzę, że przywracanie systemu załatwiło by wszystkie moje problemy. Błagam pomóżcie mi. Odnośnik do komentarza
Mati22042 Opublikowano 14 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Jest jeden problem z braku mojej orientacji w zakresie komputerowym zrobiłem przywracanie systemu do dziś o 11. Więc zamieściłem nowe logi w nowym temacie. Zbytnio się nic nie zmieniło ale jakieś drobne różnice w fixlogu mogą być ale to tylko moje domysły. Bardzo przepraszam za problem. Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2014 Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Mam jeszcze jeden problem gdyż na dysku C jak i D pojawiły mi się różne foldery typu: "System Volume Information", "$RECYCLE.BIN", "MSOCache" i różne pliki typu: "BOOTNXT", "hiberfil.sys", "swapfile.sys". To obiekty systemowe, były od początku instalacji Windows tylko ich nie widziałeś. Skan OTL przełącza opcje widokowe, w ramach pomocy przy usuwaniu infekcji, by widzieć wszystkie składniki. Użytkownicy zwykle pomijają / lub nie są świadomi, że są dwie opcje związane z widocznością: Pokaż ukryte foldery i pliki oraz Ukryj chronione pliki systemu operacyjnego. To wyłączenie tej drugiej opcji powoduje pokazanie się wymienionych składników. System Volume Information: katalog związany z Przywracaniem systemu, Kopią zapasową i innymi. Zreplikowany na każdym dostępnym dysku. $Recycle.Bin: prawdziwy folder Kosza. To co jest na Pulpicie to tylko wirtualny skrót. Ten folder jest powielony na każdym dostępnym dysku. MSOCache: lokalne źródło instalacji pakietu Office, używane do reinstalacji / naprawy pakietu. Pliki BOOTNXT, hiberfil.sys, swapfile.sys: kolejno od procesów startowych Windows, Hibernacji oraz pamięci wirtualnej aplikacji ModernUI. Z wyjątkiem folderów Kosza, obiektów nie wolno naruszyć. I w systemie jest o wiele więcej rzeczy teraz widocznych, tylko jeszcze tego nie znalazłeś. Po prostu w Opcjach folderów zaznacz opcję Ukryj chronione pliki systemu operacyjnego i tyle. Mój problem zaczął się wczoraj gdy pobierałem modyfikacje do Farming Simulator 15. Gdy wszedłem w przeglądarkę internetową co jakiś czas (ok. 2 min.) pokazywała się informacja avasta, że wykryto zagrożenie. Usunąłem mody, które ściągnąłem zrestartowałem kompa i dziś już takich problemów nie mam. W pierwszem zestawie logów nie widać oznak czynnej infekcji. Niestety wręcz przeciwnie jest w drugim zestawie po Przywracania systemu. Ono było niestety niepotrzebne. Robiąc Przywracanie systemu przywróciłeś śmieci: przeglądarka Google Chrome jestzaprawiona adware BuiyNssave, na dodatek adware przekonwertowało typ przegldarki ze "stabilnej" do "development" i jest konieczna reinstalacja Google Chrome od zera. Przy okazji, na dysku jest pełno plików poniższego schematu. To nie są poprawne instalatory tylko śmieci "Asystent pobierania" dobrychprogramów nastawione na instalację adware: KLIK. C:\Users\mateu_000\Downloads\YouTube-Downloader(27896)-dp.exe Do wykonania następujące akcje: 1. Akcje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Resztę doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140820 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2769995749-3454007108-333519029-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-2769995749-3454007108-333519029-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-2769995749-3454007108-333519029-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin HKU\S-1-5-21-2769995749-3454007108-333519029-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File S4 LMIRfsClientNP; No ImagePath S3 TBPanel; No ImagePath S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] Task: {143BB45B-8C04-4FBD-9774-78A7B6300670} - System32\Tasks\{76127E5C-95AD-4DDA-BAD9-CA36E07260BC} => Firefox.exe http://ui.skype.com/ui/0/6.3.73.105.457/pl/abandoninstall?page=tsWLM C:\Program Files (x86)\BuiyNssave C:\Program Files (x86)\Google\Chrome C:\ProgramData\AVG C:\ProgramData\bajnlhgjdokojnhcbpcgdfodnllmgbcd C:\ProgramData\TEMP C:\Users\mateu_000\AppData\Local\Avg C:\Users\mateu_000\AppData\Local\Google\Chrome C:\Users\mateu_000\AppData\Roaming\AVG C:\Users\mateu_000\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SaiMfd /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ProfilerU /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v XboxStat /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Mati22042 Opublikowano 15 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Ok wszystko zrobiłem zgodnie z instrukcją krok po kroku. Nie wiedziałem do końca jak wyłączyć te synchronizowanie w Chromie więc odznaczyłem wszystkie el. do synchronizacji. Logi zamieszczam w załączniku. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2014 Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Czy są jeszcze jakieś problemy? Wszystko zrobione i wygląda dobrze. Kończymy czyszczenie: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox oraz GMER z Pobranych. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj poniższe pozycje - zainstaluj najnowszy Adobe Flash dla Firefox (podany w tym samym linku powyżej). ==================== Installed Programs ====================== Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.246 - Adobe Systems Incorporated) Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F03217067FF}) (Version: 7.0.670 - Oracle) Java 8 Update 20 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86418020F0}) (Version: 8.0.200 - Oracle Corporation) Odnośnik do komentarza
Mati22042 Opublikowano 15 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Ok. Wszystko zrobione. Żadnych innych problemów. Zamieszczam log z DelFix'a w załączniku. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2014 Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi