Michael1127 Opublikowano 21 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 21 Kwietnia 2016 Witam Dzisiaj po zainstalowaniu allPlayer'a w przeglądarce zaczęła mi się uruchamiać strona hXXp://www.gazeta.pl/0,0.html?p=189 jako strona startowa. Usunąłem ją w ustawieniach w lecz nic to nie dało. AdwCleaner i Malwarebytes Anti-Malware nic nie wykryły. HijackThis znalazł: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://gazeta.pl/0,0.html?sc=1 Wpis ten usunąłem niestety bez skutku. Odinstalowałem AllPlayera i oprogramowanie które zainstalowało się razem z nim. W załącznikach zamieszczam logi i proszę o jakąś pomoc. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 23 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2016 Tak, instalator AllPlayer to znany dystrybutor sponsorów typu GazetaPL. A o HijackThis zapomnij. To jest stary 32-bitowy program niepoprawnie zachowujący się na systemie 64-bit (pokazuje bzdury i fałszywe "braki", a ich naprawa grozi uszkodzeniami systemu). Poza tym, ten wpis który przedstawiłeś to modyfikacja w Internet Explorer. HijackThis nie skanuje wcale przeglądarek Firefox i Google Chrome, a to w nich są modyfikacje: FireFox: ======== FF Homepage: hxxp://www.gazeta.pl/0,0.html?p=189 Chrome: ======= CHR StartupUrls: Profile 2 -> "hxxp://www.gazeta.pl/0,0.html?p=189" Akcja: 1. W Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Ustawienia > Opcje > Po uruchomieniu programu Firefox > w sekcji Strona startowa wymaż adres gazeta.pl zastępując czymś innym. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres gazeta.pl, przestaw na "Otwórz stronę nowej karty" 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Odnośnik do komentarza
Michael1127 Opublikowano 23 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 23 Kwietnia 2016 Problem ustąpił, załączam końcowe logi. Dziękuje bardzo Picasso FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2016 Modyfikacje pomyślnie usunięte. Drobne działania dodatkowe: 1. Kosmetyczny skrypt czyszczący lokalizacje tymczasowe i usuwający instalatory sponsorowanego "Avast SafePrice" z Firefox. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF HKLM\...\Firefox\Extensions: [sp@avast.com] - D:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - D:\Program Files\AVAST Software\Avast\SafePrice\FF C:\Users\Michal\Downloads\*.crdownload C:\Windows\system32\Drivers\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest potrzebny. 2. W Dzienniku zdarzeń jest drobny błąd WMI numer 10. Usuń go posługując się narzędziem Fix-it: KLIK. Odnośnik do komentarza
Michael1127 Opublikowano 23 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 23 Kwietnia 2016 1. Zrobione ( log w załączniku ) 2. Zrobione dzięki za zauważenie Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2016 Na koniec poczęstuj się DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko. Odnośnik do komentarza
Rekomendowane odpowiedzi