Piro Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 Witam! Jakiś czas temu z nieznanego powodu zainstalował mi się program "DNS Unlocker", jednak po jednorazowej zwyklej instalacji dał spokój. Dziś jednak znów się pojawił i zwykłe odinstalowanie nic nie daje. Program ten umieszcza linki na różnych stronach, a kliknięcie obojętnie gdzie na stronie również przenosi na podejrzane strony. AdwCleaner niestety go nie wykrył. FRST.txt Shortcut.txt Addition.txt GMER.txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 Jedyne co widzę w raportach, to podejrzane zadanie w Harmonogramie, które powierzchownie wygląda jak komponent Steam (który jest zainstalowany). Zadanie jest bardzo świeże. W żadnym innym raporcie z zainstalowanym Steam nie występowało takie zadanie. Moim zdaniem to jest podróbka. Task: {A94FD013-3AE4-4EAA-9D59-26F193E84DD1} - System32\Tasks\SteamClient => C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe [2015-10-09] (Valve Corporation ) Zacznijmy od usunięcia w/w obiektu i czyszczenia lokalizacji tymczasowych. Akcje do wdrożenia: 1. Odinstaluj stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java 8 Update 25, Mozilla Firefox 33.0 + Mozilla Maintenance Service. Przy deinstalacji Firefox zaznacz usuwanie profilu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A94FD013-3AE4-4EAA-9D59-26F193E84DD1} - System32\Tasks\SteamClient => C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe [2015-10-09] (Valve Corporation ) HKU\S-1-5-21-3940539798-2983024366-2410409241-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO-x32: RealPlayer Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\Program Files (x86)\Real\RealPlayer\rpbrowserrecordplugin.dll => Brak pliku FF Plugin-x32: @real.com/nppl3260;version=6.0.12.46 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nppl3260.dll [brak pliku] FF Plugin-x32: @real.com/nprjplug;version=1.0.3.46 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nprjplug.dll [brak pliku] FF Plugin-x32: @real.com/nprpjplug;version=6.0.12.46 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nprpjplug.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Program Files (x86)\Real\RealPlayer\browserrecord => nie znaleziono S3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Hotline Miami C:\ProgramData\TEMP Folder: C:\Users\Tomek\AppData\Roaming\Steam File: C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe C:\Users\Tomek\AppData\Roaming\Real\RealPlayer\History\*.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz poprawę. Odnośnik do komentarza
Piro Opublikowano 14 Października 2015 Autor Zgłoś Udostępnij Opublikowano 14 Października 2015 Wygląda na to, że wszystko jest w porządku Dziękuję bardzo! [edit] Jednak w Steamie reklamy wciąż wyskakują Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 Brakuje głównego raportu FRST.txt. Proszę dołącz. [edit] Jednak w Steamie reklamy wciąż wyskakują Czy było coś nietypowego instalowane dla Steam - jakaś modyfikacja? Odnośnik do komentarza
Piro Opublikowano 15 Października 2015 Autor Zgłoś Udostępnij Opublikowano 15 Października 2015 Nie instalowałam właśnie żadnej modyfikacji. FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2015 Zgłoś Udostępnij Opublikowano 15 Października 2015 Zadanie pomyślnie wykonane. W tym folderze był tylko jeden plik SteamHelper.exe. Jeśli obecnie problem dotyczy tylko Steam, to być może cała instalacja jest zmodyfikowana. 1. Odinstaluj Steam w całości. Po deinstalacji przez SHIFT+DEL (omija Kosz) skasuj następujące foldery: C:\Program Files (x86)\Steam D:\Program Files (x86)\Steam C:\ProgramData\Steam C:\Users\Tomek\AppData\Local\Steam C:\Users\Tomek\AppData\Roaming\Steam (niektórych może nie być, uwzględniłam też dwie ścieżki z różnych dysków) 2. Pobierz z oficjalnej strony i zainstaluj Steam: KLIK. 3. Na wszelki wypadek zrób nowy log FRST z opcji Skanuj (Scan), zaznacz też pole Addition. Podsumuj czy nadal w Steam są reklamy. Odnośnik do komentarza
Piro Opublikowano 17 Października 2015 Autor Zgłoś Udostępnij Opublikowano 17 Października 2015 Steam jest już czysty. Dziękuję raz jeszcze! FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2015 Zgłoś Udostępnij Opublikowano 17 Października 2015 Wszystko wygląda dobrze. Na koniec jeszcze usunięcie odpadków po odinstalowanych Firefox. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Tomek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Tomek\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Tomek\Desktop\FRST-OlderVersion CMD: del /q C:\AdwCleaner[C2].txt CMD: del /q C:\Users\Tomek\Desktop\mrbe7bfl.exe CMD: del /q C:\Users\Tomek\Downloads\mrbe7bfl.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Piro Opublikowano 17 Października 2015 Autor Zgłoś Udostępnij Opublikowano 17 Października 2015 Log w załączniku. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2015 Zgłoś Udostępnij Opublikowano 17 Października 2015 Na zakończenie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj IE11: KLIK. Odnośnik do komentarza
Piro Opublikowano 18 Października 2015 Autor Zgłoś Udostępnij Opublikowano 18 Października 2015 Zrobione! DelFix.txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2015 Zgłoś Udostępnij Opublikowano 18 Października 2015 DelFix wykonał robotę. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi