mw88 Opublikowano 21 Lipca 2016 Zgłoś Udostępnij Opublikowano 21 Lipca 2016 Witam od kilku dni po uruchomieniu przeglądarki Google Chrome lub Mozilla pojawia się www.easyopenweb.com. Przeglądarki były czyszczone, reinstalowane, komputer skanowany AdwCleaner, Malwarebytes Anti-Malware - nic nie pomogło. Załączam Pliki GMER i FRST Proszę o pomoc GMER FRST Addition PS: po wejściu na wp.pl przekierowuje na:: hxxp://www.webbooks.site Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2016 Zgłoś Udostępnij Opublikowano 21 Lipca 2016 Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Był tu stosowany ComboFix i na przyszłość: KLIK. Obecnie nie jest to nawet zbyt dobry program do usuwania adware/PUP, większą specjalizację w tej materii ma np. (również tu stosowany) AdwCleaner. Jedyne co widać w raporcie, to 3 podejrzane sterowniki gamzexalias + viavkrext + vonetframe i związane z nimi moduły. Przy okazji będę także adresować poniższe błędy w Dzienniku zdarzeń poprzez reset plików idstore.*: Dziennik System: ============= Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 gamzexalias; C:\Windows\system32\drivers\trayftptd.sys [140400 2009-07-14] () R1 viavkrext; C:\Windows\system32\drivers\viavkrext.sys [545384 2016-05-09] () [Brak podpisu cyfrowego] R1 vonetframe; C:\Windows\system32\drivers\vonetframe.sys [851560 2016-05-23] () [Brak podpisu cyfrowego] ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.133394.0\BavShx64.dll Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-3860599293-1058024457-1363361982-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-3860599293-1058024457-1363361982-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main FF Plugin HKU\S-1-5-21-3860599293-1058024457-1363361982-1000: @tools.google.com/Google Update;version=3 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\npGoogleUpdate3.dll [Brak pliku] FF Plugin HKU\S-1-5-21-3860599293-1058024457-1363361982-1000: @tools.google.com/Google Update;version=9 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\npGoogleUpdate3.dll [Brak pliku] CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku C:\ProgramData\winfirewall C:\Users\7\AppData\Local\{F2A0BBF0-D7F0-4519-B9E9-7ABE6EE6A10D} C:\Users\7\AppData\Local\5DE9302D0D38 C:\Users\7\AppData\Local\BIT2E71.tmp C:\Windows\viavkrextHelp.dll C:\Windows\viavkrextHelp(40).dll C:\Windows\vonetframeHelp.dll C:\Windows\vonetframeHelp(41).dll C:\Windows\system32\drivers\viavkrext.sys C:\Windows\system32\drivers\vonetframe.sys C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Dzienniki zdarzeń. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występują problemy. Odnośnik do komentarza
mw88 Opublikowano 21 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2016 Po kliknięciu w ikonę FIX pojawił się blue screen i komputer uruchomił się ponownie. Log się nie zapisał. Jeśli chodzi o www.easyopenweb.com to już się nie pojawia. Problem jest jeśli wejdę na WP to po chwili przełącza się na www.webbooks.site FRST Addition Shortcut Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2016 Zgłoś Udostępnij Opublikowano 21 Lipca 2016 BSOD, więc brak zmian, nadal te same wpisy w raporcie. Powtarzaj całą operację od początku, tylko w punkcie 1 Fix wywołaj z poziomu Trybu awaryjnego, a ze skryptu wytnij komendę CreateRestorePoint: (nie działa w Trybie awaryjnym). Odnośnik do komentarza
mw88 Opublikowano 28 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2016 Dzięki wielkie pomogło w trybie awaryjnym. Niestety mam drugiego laptopa i po uruchomieniu wp.pl przekierowuje na tą samą stronę. Przesyłam niezbędne pliki Logi Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 (edytowane) Z poprzednim kompem nie skończyliśmy, dostarcz logi końcowe. A tak w ogóle to dopiero teraz do mnie dotarło, że od początku posługujesz się archaiczną wersją FRST Version:06-08-2015. Od tego czasu była kupa aktualizacji i poprawek, kilkadziesiąt wersji co najmniej... Proszę pobierz najnowszy FRST z przyklejonego (KLIK) i zrób świeży zestaw logów z każdego komputera. Edytowane 22 Stycznia 2020 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi