Problem z PriceFountain

[alepeszek]

Zmagam się z tym już od tygodnia i nie mogę sobie poradzić Jak usunąć ten Price Fountain ? - kiedyś mi się udało, wstawiłem przypadkowo kogoś fixlist   Proszę o pomoc i możliwość wyjaśnienia co wklejać w ten notatnik fixlist na przyszłość.

 

http://www.wklej.org/id/2216464/txt/ FRST

http://www.wklej.org/id/2216444/txt/ Shortcut

http://www.wklej.org/id/2216459/txt/ Addition

http://www.wklej.org/id/2216510/txt/ GMER

[picasso]

Pliki Fixlist są unikatowe i nie należy brać ich z innych tematów. Infekcja adware PriceFountain prawdopodobnie nabyta z serwisu dobreprogramy.pl przy udziale "Asystenta pobierania". Więcej na ten temat: KLIK. Ale jest tu więcej infekcji, tzn. modyfikacja serwerów DNS charakterystyczna dla DNS Unlocker.

 

 

Działania do przeprowadzenia:

 

1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {64677645-26FD-424D-9EC9-EE0DE96269AC} - System32\Tasks\{21914C31-76C6-4537-A777-26BAC87F125A} => Firefox.exe hxxp://ui.skype.com/ui/0/7.21.0.100/pl/abandoninstall?page=tsMain
Task: {7135CC5F-3DD8-417A-A7A1-41FA58B1011F} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\CE3D34B0F2E982E2B01C57FCCCFC2F41\Update\BrowserUpdate.exe [2016-03-17] (Tencent)
Task: {D140AE9E-2AD1-4A46-97BE-CFF5DCF8D3C3} - System32\Tasks\aLepeszeKSuperintendentsCannieV2 => Rundll32.exe OaklandRejuvenescence.dll,main 7 1 
Task: {E50F5979-EBB9-4955-A1FB-D8B3EADF4173} - System32\Tasks\{680C0B87-1A74-4A3A-BCAD-B559932F61DA} => pcalua.exe -a "C:\Users\aLepeszeK\AppData\Local\Temp\Temp1_Realtek_LAN_Win7-8-8-1_V787529_833529 (1).zip\Realtek_LAN_Win7-8-8-1_V787529_833529\LAN\Win7\setup.exe"
Task: {F9F48836-19E3-400B-9C0D-480700138C68} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe
HKLM-x32\...\Run: [Kepard] => "C:\Program Files (x86)\Kepard\Kepard.exe" tray
HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 5\CyberGhost.exe" /autostart /min
HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep"
HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Run: [Napisy24.pl] => "C:\Program Files (x86)\Napisy24\Napisy24.exe" AutoStart
HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Policies\Explorer: []
HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\MountPoints2: {6a91e9c8-eccf-11e5-b063-f079595b4040} - F:\Setup.exe
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-232294536-3578055018-3067616561-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-232294536-3578055018-3067616561-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=188
HKU\S-1-5-21-232294536-3578055018-3067616561-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
RemoveDirectory: C:\Program Files\CyberGhost 5
RemoveDirectory: C:\Program Files (x86)\AdwCleaner
RemoveDirectory: C:\Program Files (x86)\Google
RemoveDirectory: C:\Program Files (x86)\QQBrowser
RemoveDirectory: C:\ProgramData\Malwarebytes
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerTracker 4
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip
RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\Google
RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\Opera Software
RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\PokerTracker 4
RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\SmartGuard
RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\SuperintendentsCannie
RemoveDirectory: C:\Users\aLepeszeK\AppData\Roaming\Opera Software
RemoveDirectory: C:\Users\aLepeszeK\AppData\Roaming\WinZiper
RemoveDirectory: C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
RemoveDirectory: C:\Users\Public\Documents\dmp
C:\ProgramData\flwjycbm.bab
C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BetclicPoker.com.lnk
C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\CyberGhost 5.lnk
C:\Users\aLepeszeK\Downloads\*-dp*.exe
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso