Skocz do zawartości
kometax

Irytujące wirusy-przeglądarki

Rekomendowane odpowiedzi

Domyślną przeglądarką jest tu Opera:

 

Internet Explorer Version 9 (Default browser: Opera)

 

Niestety FRST i OTL nie skanują jej preferencji, więc mimo że widać już liczne adware w raportach, nie mam pełnego obrazu sytuacji (w Operze też mogą być obiekty adware). Muszę pobrać o niej dane ręcznie. Czyli na razie tylko informacje dostarcz, tzn. zamknij przeglądarkę, otwórz Notatnik i wklej w nim:

 

Folder: C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Preferences"
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zapomniałam napisać poprzednio, że zestaw logów jest niekompletny - brakuje trzeciego pliku FRST Shortcut. Jeśli chodzi o pobór danych Opery, FRST nie mógł otworzyć pliku Preferences Opery, ale widać że jedyne rozszerzenie tam zainstalowane to Adblock Plus, za to komenda otwierania Opery jest przejęta przez delta-homes.com.

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {1fceab11-b7eb-4010-811f-3f56268f9366}t; C:\Windows\System32\drivers\{1fceab11-b7eb-4010-811f-3f56268f9366}t.sys [55816 2014-12-30] (StdLib)
R1 {2b4f8230-394e-4951-9495-bafd44d837da}t; C:\Windows\System32\drivers\{2b4f8230-394e-4951-9495-bafd44d837da}t.sys [55816 2014-12-27] (StdLib)
R1 {3211ae5b-d056-4176-9f6e-b51496f003f1}t; C:\Windows\System32\drivers\{3211ae5b-d056-4176-9f6e-b51496f003f1}t.sys [55816 2014-12-14] (StdLib)
R1 {34cccceb-a541-48ac-a26b-92818f06439d}t; C:\Windows\System32\drivers\{34cccceb-a541-48ac-a26b-92818f06439d}t.sys [55816 2015-01-02] (StdLib)
R1 {47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t; C:\Windows\System32\drivers\{47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t.sys [55816 2014-12-15] (StdLib)
R1 {8aefbcaf-640f-4dca-9a92-ed05ee387238}t; C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}t.sys [55816 2014-12-21] (StdLib)
R1 {97daceee-c4d3-4ae1-975b-b77d85ce2d13}t; C:\Windows\System32\drivers\{97daceee-c4d3-4ae1-975b-b77d85ce2d13}t.sys [55816 2014-12-23] (StdLib)
R1 {993baf86-643c-42e9-95e5-094f337533f0}t; C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}t.sys [55816 2014-12-17] (StdLib)
R1 {9eaa49e2-6918-49c4-9a04-be590dd80dc6}t; C:\Windows\System32\drivers\{9eaa49e2-6918-49c4-9a04-be590dd80dc6}t.sys [55816 2015-01-05] (StdLib)
R2 Update DigiHelp; C:\Program Files\DigiHelp\updateDigiHelp.exe [529128 2015-01-07] ()
R2 Util DigiHelp; C:\Program Files\DigiHelp\bin\utilDigiHelp.exe [529128 2015-01-07] ()
R2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [470704 2014-12-17] (Taiwan Shui Mu Chih Ching Technology Limited.)
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
Task: {1FDE0B1D-38E5-4E14-BCF0-132E3A8EA860} - System32\Tasks\pricemetertask => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeter.exe 
Task: {A8BB7BB6-3E16-4072-92A5-93BE64064E8A} - System32\Tasks\pricemeterdownloader => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterd.exe [2014-05-06] (PriceMeter) 
Task: {C6928140-D30F-470B-8253-D540717E41AB} - System32\Tasks\pricemeterwatcher => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterw.exe [2014-05-04] (PriceMeter) 
HKLM\...\Run: [fst_pl_127] => [X]
HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\Run: [PriceMeterW] => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterw.exe [287232 2014-05-04] (PriceMeter)
HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\Run: [AdobeBridge] => [X]
AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL => C:\Program Files\SupTab\SearchProtect32.dll [91248 2014-05-08] (Skytech Co., Ltd.)
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms}
HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms}
HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84
HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84
HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={DE289BFE-EFC6-4173-8DB3-5012550C5C4C}&mid=b4acfa79299247d2bc4ed16b53160544-6d6a121b0d2c7c6e45c51db57f8bd774ff757963&lang=en&ds=px011&coid=avgtbdispx&cmpid=&pr=sa&d=2014-06-19 10:56:34&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms}
BHO: DigiHelp 1.0.0.6 -> {5bee7be9-df29-4c14-a18e-2bdd06205e29} -> C:\Program Files\DigiHelp\DigiHelpBHO.dll (DigiHelp)
CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-29]
CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-06-07]
CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.delta-homes.com/?type=sc&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84
C:\Program Files\DigiHelp
C:\Program Files\SupTab
C:\ProgramData\WindowsProtectManger
C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage*
C:\Users\Dorota\AppData\Roaming\eCyber
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\System32\drivers\{1fceab11-b7eb-4010-811f-3f56268f9366}t.sys
C:\Windows\System32\drivers\{2b4f8230-394e-4951-9495-bafd44d837da}t.sys
C:\Windows\System32\drivers\{3211ae5b-d056-4176-9f6e-b51496f003f1}t.sys
C:\Windows\System32\drivers\{34cccceb-a541-48ac-a26b-92818f06439d}t.sys
C:\Windows\System32\drivers\{47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t.sys
C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}t.sys
C:\Windows\System32\drivers\{97daceee-c4d3-4ae1-975b-b77d85ce2d13}t.sys
C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}t.sys
C:\Windows\System32\drivers\{9eaa49e2-6918-49c4-9a04-be590dd80dc6}t.sys
Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files\Opera\Launcher.exe"" /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj:

- Adware/PUP: AVG SafeGuard toolbar, Price Metér (remove only), qone8 uninstaller, WinZipper.

- Stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 13 Plugin, Adobe Flash Player 15 Pepper, Adobe Reader X (10.1.0) - Polish

 

3. W Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj adware DigiHelp, Quick start, Security Protection
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Task: {78B8DC29-5BF2-41F5-9C40-5851FB83CC7A} - \pricemetertask No Task File 
Task: {9F5D033B-2C75-40EE-A5B1-849E2AB6C49D} - \pricemeterwatcher No Task File 
HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\Dorota\AppData\Local\Temp\ALLRemote.exe [1961744 2015-01-08] (ALLPlayer ) 
C:\Program Files\WinZipper
C:\ProgramData\Avg_Update_1214tb
C:\ProgramData\WindowsMangerProtect
C:\Users\Dorota\AppData\Local\PriceMeter
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt.

 

2. Napraw uszkodzony skrót Internet Explorer:

 

Shortcut: C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. W Google Chrome:

  • Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres mysearch.avg.com, przestaw na "Otwórz stronę nowej karty"
  • Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mysearch.avg.com
  • Ponownie zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Nie podałeś pliku fixlog.txt, który miał wykazać czy zadania się wykonały. A coś tu jednak nie do końca przetworzone. Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\Dorota\AppData\Local\Temp\ALLRemote.exe [1961744 2015-01-12] (ALLPlayer )
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...