bolec Opublikowano 6 Lipca 2016 Zgłoś Udostępnij Opublikowano 6 Lipca 2016 Witam, znów mam problem z safe finder, i yahoo search result, kiedy otwieram przeglądarkę otwiera się strona startowa z safe finder ..., kiedy próbuję coś otworzyć w nowej karecie przekierowuje mnie do Yahoo Search results ...., załączam potrzebne pliki Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 6 Lipca 2016 Zgłoś Udostępnij Opublikowano 6 Lipca 2016 Uwaga Moje zalecenia wykonaj tylko w przypadku, gdy nie zacznie pomagać @Picasso (napisała, że dziś od rana będzie pomagać, ale w tej chwili nie widzę tej pomocy). 1) Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk -> C:\Users\Bolec\AppData\Local\Temp\UCBrowserUninstall4392_28553\Uninstall.exe (UCWeb Inc.) -> --uninstallC:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器RemoveDirectory: C:\Program Files (x86)\xtexRemoveDirectory: C:\ProgramData\CloudPrinterRemoveDirectory: C:\ProgramData\Logic HandlerRemoveDirectory: C:\Program Files (x86)\baduRemoveDirectory: C:\ProgramData\AirtostrongRemoveDirectory: C:\ProgramData\AirtostrongsRemoveDirectory: C:\Program Files\Common Files\bxgzr5gnRemoveDirectory: C:\Program Files (x86)\UCBrowserRemoveDirectory: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器RemoveDirectory: C:\Users\Bolec\AppData\Local\UCBrowser2016-07-06 12:33 - 2016-07-06 13:34 - 00002393 _____ C:\Windows\SysWOW64\findit.xml2016-07-06 12:33 - 2016-07-06 12:33 - 06870016 _____ C:\Users\Bolec\AppData\Roaming\agent.dat2016-07-06 12:33 - 2016-07-06 12:33 - 02279413 _____ C:\Users\Bolec\AppData\Roaming\Bigtop.bin2016-07-06 12:33 - 2016-07-06 12:33 - 01761214 _____ C:\Users\Bolec\AppData\Roaming\Stimflex.tst2016-07-06 12:33 - 2016-07-06 12:33 - 00848437 _____ C:\Users\Bolec\AppData\Roaming\Jayfresh.bin2016-07-06 12:33 - 2016-07-06 12:33 - 00694784 _____ C:\Users\Bolec\AppData\Roaming\Unolax.exe2016-07-06 12:33 - 2016-07-06 12:33 - 00694784 _____ C:\Users\Bolec\AppData\Roaming\Stimflex.exe2016-07-06 12:33 - 2016-07-06 12:33 - 00189644 _____ () C:\Users\Bolec\AppData\Roaming\TrustZennix.bin2016-07-06 12:33 - 2016-07-06 12:33 - 00128512 _____ C:\Users\Bolec\AppData\Roaming\Installer.dat2016-07-06 12:33 - 2016-07-06 12:33 - 00126464 _____ C:\Users\Bolec\AppData\Roaming\noah.dat2016-07-06 12:33 - 2016-07-06 12:33 - 00126464 _____ C:\Users\Bolec\AppData\Roaming\lobby.dat2016-07-06 12:33 - 2016-07-06 12:33 - 00072704 _____ C:\Users\Bolec\AppData\Roaming\Unolax.tst2016-07-06 12:33 - 2016-07-06 12:33 - 00069024 _____ C:\Users\Bolec\AppData\Roaming\Config.xml2016-07-06 12:33 - 2016-07-06 12:33 - 00054272 _____ C:\Users\Bolec\AppData\Roaming\ApplicationHosting.dat2016-07-06 12:33 - 2016-07-06 12:33 - 00019584 _____ C:\Users\Bolec\AppData\Roaming\InstallationConfiguration.xml2016-07-06 12:33 - 2016-07-06 12:33 - 00018432 _____ C:\Users\Bolec\AppData\Roaming\Main.dat2016-07-06 12:33 - 2016-07-06 12:33 - 00005568 _____ C:\Users\Bolec\AppData\Roaming\md.xml2015-06-03 04:06 - 2015-06-03 04:06 - 0000206 _____ () C:\Users\Bolec\AppData\Roaming\3BSYBS1_DCSA_Errlog.txt2011-09-26 21:45 - 2011-09-26 21:45 - 0001305 _____ () C:\Users\Bolec\AppData\Roaming\401-5.htm2011-09-26 21:45 - 2011-09-26 21:45 - 0001120 _____ () C:\Users\Bolec\AppData\Roaming\404-12.htm2011-09-26 21:45 - 2011-09-26 21:45 - 0001433 _____ () C:\Users\Bolec\AppData\Roaming\501.htmC:\Users\Bolec\AppData\Local\Streetice.datC:\Users\Bolec\AppData\Local\Streetice.exeC:\Users\Bolec\AppData\Local\Streetice.exe.configHKLM-x32\...\Run: [gupdate] => C:\Program Files (x86)\xtex\gupdate\gupdate.exe [149349 2016-07-06] ()HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe [331848 2016-07-05] ()HKU\S-1-5-21-865181693-1974036264-3221311095-1000\...\Run: [svchost0] => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exeHKU\S-1-5-21-865181693-1974036264-3221311095-1000\...\Run: [apphide2] => C:\Program Files (x86)\badu\uc.exe [331848 2016-07-05] ()AppInit_DLLs: C:\ProgramData\Airtostrong\Doubleis.dll => C:\ProgramData\Airtostrong\Doubleis.dll [363008 2016-07-06] ()AppInit_DLLs-x32: C:\ProgramData\Airtostrong\Daltsiltone.dll => C:\ProgramData\Airtostrong\Daltsiltone.dll [257536 2016-07-06] ()GroupPolicyScripts: Ograniczenia <======= UWAGAHKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGAHKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyd5JkRTSw6JaZsd60w2ruib_p-L8U6hVFs-dS3_fyQ_koFOCmyJ2Z0w6660HLwHOt2NYUIuKUpEmtc55-0oaBxdi73RdTs,HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}R2 Airtostrong; C:\ProgramData\\Airtostrong\\Airtostrong.exe [400896 2016-06-29] () [brak podpisu cyfrowego]R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-05-15] () [brak podpisu cyfrowego]R2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [694784 2016-07-06] () [brak podpisu cyfrowego]R2 dtynloadilueoatj; C:\Users\Bolec\AppData\Local\Streetice.exe [28160 2016-07-06] () [brak podpisu cyfrowego]S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]S3 tsusbhub; system32\drivers\tsusbhub.sys [X]S3 VGPU; System32\drivers\rdvgkmd.sys [X]2016-07-06 12:33 - 2016-07-06 12:33 - 0694784 _____ () C:\Users\Bolec\AppData\Roaming\Stimflex.exe2016-07-06 12:33 - 2016-07-06 12:33 - 1761214 _____ () C:\Users\Bolec\AppData\Roaming\Stimflex.tstC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acclaim Entertainment\Turok 2 Seeds of Evil\Cool Stuff\Get on the Internet with MindSpring.lnkC:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnkEmptyTemp: >>Menu Notatnika >> Plik >>>>Zapisz jako >>Nazwa pliku: fixlistZapisz jako typ: Dokumenty tekstoweKodowanie: Unicode>>ZapiszPlik umieść w folderze C:\Users\Bolec\DownloadsUruchom FRST i kliknij przycisk Fix (NAPRAW). 2) Zrób nowe logi FRST. Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt" 3)Napisz, jak oceniasz sytuację po tym usuwaniu. jessi Odnośnik do komentarza
bolec Opublikowano 6 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2016 Dzięki za szybką odp !, jak na razie brak jakichkolwiek oznak safe findera, ale na pulpicie pojawiły się skróty z ikontką fire fox o nazwie get random viral i google search , nie otwierałem tego jak coś, dodaje pliki + do tego pojawił się nowy plik tekstowy fixlog tez go dodaje Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 6 Lipca 2016 Zgłoś Udostępnij Opublikowano 6 Lipca 2016 Otwórz Notatnik i wklej w nim: C:\Users\Bolec\Desktop\Get Random Viral.lnkC:\Users\Bolec\Desktop\Google Search.lnkHOSTS:EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW). jessi Odnośnik do komentarza
bolec Opublikowano 6 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2016 (edytowane) Witam, znów to samo, safe finder......, gdy chcę coś otworzyć w nowej karcie, wyskakuje safe finder yahoo search results, zapomniałem dodać że przed safe finder zanim się pojawił dosłownie parę minut wcześniej pojawiło się coś o nazwie UC i jakieś azjatyckie znaczki usunąłem folder z całą zawartością ale coś chyba zostało gdzieś chodzi mi o sytuacje kiedy pisałem pierwszego posta czyli przed pomocą Jess, teraz znów to samo safe finder, oglądałem tylko youtube i pograłem chwile to wszystko, dodaje pliki zrobiłem screena zanim przeglądarka włączy stronę startową safe findera w pasku adresu jest dziwny link widać na screenie i to coś UC z azjatyckimi znaczkami też zrobiłem screena Addition.txt FRST.txt Shortcut.txt Edytowane 7 Lipca 2016 przez Rucek Scalam posty, poprawiam przejrzystość Odnośnik do komentarza
jessica Opublikowano 7 Lipca 2016 Zgłoś Udostępnij Opublikowano 7 Lipca 2016 Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF% C:\ProgramData\xifs\xifs.exeAppInit_DLLs: C:\ProgramData\xifs\Treehome.dll => C:\ProgramData\xifs\Treehome.dll [363008 2016-07-06] ()AppInit_DLLs-x32: C:\ProgramData\xifs\K-dax.dll => C:\ProgramData\xifs\K-dax.dll [257536 2016-07-06] ()HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YYZtxu-7jtqamZxknhtrsTBlVtt3U3aw8eiQWBM5rhPrAyaBGgoqiW-7gzjLATNmuE4LAxkf9Q,HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}R2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-06] () [brak podpisu cyfrowego]C:\ProgramData\xifssShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%RemoveDirectory: C:\ProgramData\xifsEmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW). jessi Odnośnik do komentarza
bolec Opublikowano 8 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2016 Problem wciąż się powtarza, właśnie włączyłem komputer i fire fox wita mnie tym co na zdjęciu, a po sekundzie zmienia się na stronę safe finder Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 bolec poproszę o świeże raporty z FRST, wszystkie trzy (FRST.txt, Addition.txt, Shortcut.txt). Odnośnik do komentarza
bolec Opublikowano 11 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Raport FRST Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\xifs\Groovelam.dll => C:\ProgramData\xifs\Groovelam.dll [363008 2016-07-08] () AppInit_DLLs-x32: C:\ProgramData\xifs\Scottech.dll => C:\ProgramData\xifs\Scottech.dll [257536 2016-07-08] () S2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-08] () [brak podpisu cyfrowego] Task: {E0641DFE-A70B-43A4-861F-FC85C068AA40} - System32\Tasks\Driver Booster SkipUAC (Bolec) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YYX2PCO0QP0vNPzGCB-1ZjjwS5KmrjpCbiodksEu1bCkYh2nCk7odGwWj2liHuI5vj2ZK-mBFo, HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Reg: reg delete HKCU\Environment /v SNF /f Reg: reg delete HKCU\Environment /v SNP /f C:\Program Files\Common Files\uwqb4avd.exe C:\ProgramData\xifs C:\ProgramData\xifss C:\Users\Bolec\AppData\Roaming\ProxySettings.dll C:\Users\Bolec\AppData\Roaming\uninstall_temp.ico C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\temp.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną usunięte. Nie polecam blokera AdBlocker Ultimate, jest to niejasny produkt, tu mój opis po angielsku dlaczego są wątpliwości: KLIK. A zamiast Adblock Plus proponuję uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. 3. Prócz problemu zasadniczego, jest w tle uruchomiony też moduł reklamodawczy uTorrent, niejaki "utorrentie.exe": KLIK. Sugeruję rezygnację z tego klienta torrent, który od dawna jest siedliskiem adware i dziwnych zagrywek. W zamian np. qBittorrent. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
bolec Opublikowano 11 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2016 dzięki za szybką odpowiedź, plik fixlog.txt zapisałem i wybrałem opcję unicode, FRST zrobił naprawę i zresetował komputer chciałem wyczyścić firefox z adware, zresetowałem firefox usunąłem historie i dalej to samo ciągle jest safe finder Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Tym razem Fixlist nie miał być w Unicode, w przeciwnym wypadku bym to zaznaczyła - to kodowanie jest wymagane tylko gdy są linie z obcymi znakami (chińskie krzaki, cyrylica, etc). Jest tu dziwny przypadek, niby wszystko się usuwa, ale się odtwarza. Jeszcze jedno podejście, tym razem w nieco innym układzie procesów i inna metoda modyfikacji AppInit_DLLs. Jeśli to nie zadziała, trzeba będzie się zastanowić czy przypadkiem nie jest to jakaś nowa wersja mająca ukryty inny loader w miejscu którego nie skanuje FRST. Na razie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-12] () [brak podpisu cyfrowego] Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YffAUcnuWgbrIySzScRd4UBvlgR0sAeWt5i4skNfU4HYj0xIAo8n49u-2SmqxKV6slsAMZdpAQ, HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Reg: reg delete HKCU\Environment /v SNF /f Reg: reg delete HKCU\Environment /v SNP /f C:\ProgramData\xifs C:\ProgramData\xifss C:\Windows\SysWOW64\findit.xml EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Punkty 2 do 4 z mojego poprzedniego posta nadal aktualne. Odnośnik do komentarza
bolec Opublikowano 11 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2016 zrobiłem tak jak pisałaś, dalej bez zmian załączam raporty Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2016 Zgłoś Udostępnij Opublikowano 12 Lipca 2016 Na początek poproszę o log z GMER (nawiasem mówiąc to powinno być już podane na początku). Odnośnik do komentarza
bolec Opublikowano 12 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2016 raport GMER GMER.txt Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2016 Zgłoś Udostępnij Opublikowano 12 Lipca 2016 Nic wyraźnego. Sprawdź co powie Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj akcję Skip i dostarcz log wynikowy. Jeśli nic nie wykryje, log zbędny. Odnośnik do komentarza
bolec Opublikowano 13 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2016 Kaspersky TDSSKiller - No threats found, zrobiłem drugi skan i wybrałem dodatkowe opcje przy skanowaniu, a oto co Kaspersky znalazł Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2016 Zgłoś Udostępnij Opublikowano 13 Lipca 2016 UnsignedFile.Multi.Generic to jest ogólna detekcja plików bez podpisu cyfrowego, taka detekcja nie świadczy o infekcji, jest wiele poprawnych instalacji które będą wykryte w TDSSKiller. Ta usługa jest widoczna w skanie FRST: R2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-07-06] () [brak podpisu cyfrowego] Niemniej ona już mnie wcześniej zastanawiała, bo jakoś obiekt powstał w czasokresie inwazji adware + brak powiązanego wejścia na liście zainstalowanych, ale nie miałam czasu sprawdzić Bittorrent z oficjalnej strony czy taką usługę tworzy. Teraz się zmotywowałam, by zainstalować oficjalny Bittorent w wirtualnej maszynie - nie utworzył takiej usługi, czyli prawdopodobnie jest to jednak składnik adware. Pokaż mi co jest w tym folderze. Zrób plik fixlist.txt do FRST o zawartości: Folder: C:\Program Files\BitTorrent Klik w Fix (Napraw) i dostarcz wynikowy fixlog.txt. Odnośnik do komentarza
bolec Opublikowano 13 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2016 fixlog i zawartość folderu z GMER Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2016 Zgłoś Udostępnij Opublikowano 13 Lipca 2016 Co masz na myśli z tym obrazkiem z GMER? A jeśli chodzi o zawartość folderu "BitTorrent" pobraną via skrypt FRST, to definitywnie wygląda na część adware. Czyli powtórka, ale z uwzględnieniem tego falsyfikatu "BitTorrent": 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-07-06] () [brak podpisu cyfrowego] R2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-12] () [brak podpisu cyfrowego] Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YffAUcnuWgbrIySzScRd4UBvlgR0sAeWt5i4skNfU4HYj0xIAo8n49u-2SmqxKV6slsAMZdpAQ, HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Reg: reg delete HKCU\Environment /v SNF /f Reg: reg delete HKCU\Environment /v SNP /f C:\Program Files\BitTorrent C:\ProgramData\xifs C:\ProgramData\xifss C:\Windows\SysWOW64\findit.xml EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restarti powstanie kolejny plik fixlog.txt. 2. Punkty 2 do 4 z mojego pierwszego posta z instrukcjami. Odnośnik do komentarza
bolec Opublikowano 13 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2016 fixlog FRST, jak na razie jest wszystko ok !! , polecisz jakiś program antywirusowy, żeby chronić kompa przed safefinderami i innymi ......... ? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2016 Zgłoś Udostępnij Opublikowano 13 Lipca 2016 Ale nowe raporty FRST dostarcz, wszystko musi być sprawdzone. Jeśli chodzi o programy zabezpieczające, to popatrz na listę w przyklejonym: KLIK. Odnośnik do komentarza
bolec Opublikowano 13 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2016 raporty FRST Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2016 Zgłoś Udostępnij Opublikowano 13 Lipca 2016 Wszystko wygląda bardzo dobrze. Drobne poprawki: 1. Zapuść fixlist.txt o następującej postaci: S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2945312 2016-01-14] (IObit) S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X] FirewallRules: [{6B74FE10-B8AB-4CFB-B3D5-4BD76562B1D0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe FirewallRules: [{840FD6D3-9F86-4A2D-8488-8957520E2A87}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe FirewallRules: [{B4DB720B-1CD5-43F2-B990-3717602F4E8A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe FirewallRules: [{E26FE15A-2626-448C-B7E9-06DC0E7E89B0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe FirewallRules: [{488BA956-F3BB-43B7-80A1-2E45717E8AA7}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe FirewallRules: [{CAF9B8F3-6AEF-4453-B426-C8A482DA8BD1}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\IObit RemoveDirectory: C:\Users\Bolec\AppData\Roaming\uTorrent RemoveDirectory: C:\Users\Bolec\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Bolec\Downloads\gmer CMD: del /q C:\TDSSKiller.3.1.0.9_13.07.2016_02.44.45_log.txt CMD: del /q C:\Users\Bolec\Downloads\gmer.zip Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
bolec Opublikowano 13 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2016 raport AdwCleaner AdwCleanerS1.txt Odnośnik do komentarza
Rekomendowane odpowiedzi