Damiann Opublikowano 24 Października 2016 Zgłoś Udostępnij Opublikowano 24 Października 2016 Witam Ostatnio pobralem jakies gowno usunalem część ale w przeglądarce steam mam reklamy. Jak chce cos kliknac otwiera mi sie okno z reklamami i nie moge w nic wejsc na steamie. Skanowalem adw itp i nic nie pomaga FRST.txt Addition.txt GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2016 Zgłoś Udostępnij Opublikowano 24 Października 2016 Jest tu owszem wiele elementów infekcji adware, w tym infekcja DNS (zarażone pliki Windows dnsapi.dll), a w Google Chrome jest fałszywy profil wstawiony przez adware. Działania do przeprowadzenia: 1. Uruchom RepairDNS i zresetuj system. Na Pulpicie powstanie log RepairDNS.txt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Providers\4zal1oor: D:\Games\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\7e5sbqvr: D:\WarThunder\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\7ghu9wiw: C:\Users\Damian\AppData\Local\Google\Chrome\User Data_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\8bw0hcc5: D:\Program Files_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\9nd72gsa: D:\Program Files\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\cjykwm5j: C:\Users\Damian\AppData\Local\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\epimjqss: C:\Users\Damian\AppData\Local\Temp\local64spl.dll HKLM\...\Providers\galolxb9: C:\Program Files (x86)\Youtube AdBlock\local64spl.dll HKLM\...\Providers\iwr6e3cd: C:\Program Files (x86)\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\k9cdgcb9: C:\Windows\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\kkoaepst: C:\Users\Damian\AppData\LocalLow\Youtube AdBlock\local64spl.dll HKLM\...\Providers\pbn9jxvc: D:\WarThunder_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\qbim8086: C:\\local64spl.dll HKLM\...\Providers\sbjf3l69: C:\_\local64spl.dll HKLM\...\Providers\smq66f0w: C:\Users\Damian\AppData\LocalLow\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\wc5tncty: D:\Program Files (x86)\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\y53f4qk0: D:\Games_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\yle1tx80: D:\Program Files (x86)_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\zh0e3rcp: C:\Windows\Temp\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\zn9pq19j: C:\Users\Damian\AppData\Local\Google\Chrome\User Data\local64spl.dll [142848 2016-10-23] () Task: {7C8CD26E-6569-4FB0-90AD-284763AAFCC7} - System32\Tasks\4b61d06ef0356dc7e0a79eadfc7c48a5 => Rundll32.exe "C:\Program Files (x86)\AMD\dp0irx.dll",e62dc6c6547f46bda862da2d05af6862 Task: {E373130B-FB5C-4E8C-A6F7-BEAAC30B39A4} - \Fekutain Renew -> No File <==== ATTENTION Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File <==== ATTENTION NETSVCx32: HpSvc -> no filepath. S3 EasyAntiCheatSys; \??\C:\Windows\system32\drivers\EasyAntiCheat.sys [X] HKU\S-1-5-21-938549846-2126480309-1688900008-1001\...\Run: [GalaxyClient] => [X] GroupPolicy: Restriction - Chrome <======= ATTENTION BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> C:\Program Files (x86)\Youtube AdBlock\IEEF\XK9jjMtbSm.dll => No File BHO: No Name -> {F525CC93-970E-4841-8524-C7A087F4B650} -> No File BHO-x32: No Name -> {F525CC93-970E-4841-8524-C7A087F4B650} -> No File DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\local64spl.dll.ini C:\_ C:\Program Files\Aiduwb C:\Program Files\AiduwbUn C:\Program Files\Plumbytes Software C:\Program Files (x86)\AMD\dp0irx.dll C:\Program Files (x86)\Temp C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\Youtube AdBlock_ C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\TOSTACK C:\Users\Damian\AppData\Local\CEF C:\Users\Damian\AppData\Local\Google\Chrome\User Data\local64spl.dll C:\Users\Damian\AppData\Local\Google\Chrome\User Data_ C:\Users\Damian\AppData\Local\Temp_ C:\Users\Damian\AppData\Local\Tempfolder C:\Users\Damian\AppData\Local\UCBrowser C:\Users\Damian\AppData\LocalLow\Company C:\Users\Damian\AppData\LocalLow\Youtube AdBlock_ C:\Users\Damian\AppData\Roaming\SimpleNotepad4 C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Damian\Downloads\*.torrent C:\Windows\Temp_ C:\Windows\system32\yrui C:\Windows\SysWOW64\kz.exe D:\Games\local64spl.dll D:\Games_ D:\Program Files (x86)\local64spl.dll D:\Program Files (x86)_ D:\Program Files\local64spl.dll D:\Program Files_ D:\WarThunder\local64spl.dll D:\WarThunder_ Hosts: StartBatch: ipconfig /flushdns netsh advfirewall reset EndBatch: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W powyższym skrypcie zostały załączone do usunięcia wszystkie skróty przeglądarek zawierające utajoną Cyrylicę. Skróty musisz odtworzyć ręcznie w wybranych miejscach. 4. Konieczna wymiana całego profilu Google Chrome. Ustawienia > karta Ustawienia > Osoby. Na liście powinien być widoczny profil adware pod nazwą user0. Należy go usunąć i opcją Dodaj osobę założyć nowy, zamknąć wszystkie bieżące okna Google Chrome i otworzyć Chrome ponownie już na nowym profilu. Ewentualny odzysk utraconych zakładek potem. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt. Odnośnik do komentarza
Damiann Opublikowano 24 Października 2016 Autor Zgłoś Udostępnij Opublikowano 24 Października 2016 Proszę Addition.txt RepairDNS.txt FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2016 Zgłoś Udostępnij Opublikowano 24 Października 2016 Wszystko zrobione, ale tu nie koniec zmagań. 1. Nadal jest zarażona 32-bitowa wersja dnsapi.dll. Uruchom ponownie RepairDNS, a po jego użyciu zresetuj system. 2. Niestety nowo założony profil w Google Chrome został od razu zanieczyszczony adware i to wynik aktywnej synchronizacji z serwerem Google (zapisane na serwerze ustawienia adware). Zresetuj synchronizację: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj rozszerzenie wątpliwej reputacji powiązane z działaniami adware Video Downloader professional. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną Google i skasuj z listy wszystko z wyjątkiem Google. 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Damian\AppData\Local\Google\Chrome\User Data\ChromeDefaultData Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Ewidentnie załadowano tu ustawienia profilu z serwera Google, więc pytaniem jest czy masz wszystkie zakładki w Google Chrome? Jeśli nie, jest szansa na ich wyciągnięcie ze starego martwego już profilu. Odnośnik do komentarza
Damiann Opublikowano 24 Października 2016 Autor Zgłoś Udostępnij Opublikowano 24 Października 2016 zalogowalem się na konto google(gmail) i dodalo mi zakladkli co kiedyś mialem. Proszę o to pliki Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2016 Zgłoś Udostępnij Opublikowano 24 Października 2016 Niestety ale 32-bitowy plik dnsapi.dll nie chce się podmienić poprawną kopią. Inna metoda podmiany pliku. Tzn. wywołaj komendę sfc /scannow i dostarcz przefiltrowany wg wytycznych log: Odnośnik do komentarza
Damiann Opublikowano 24 Października 2016 Autor Zgłoś Udostępnij Opublikowano 24 Października 2016 Proszę sfc.txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2016 Zgłoś Udostępnij Opublikowano 24 Października 2016 Wygląda na to, że SFC naprawił plik: 2016-10-24 17:32:09, Info CSI 000003cc [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:20{10}]"dnsapi.dll" from store 2016-10-24 17:32:09, Info CSI 000003cd [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"lpremove.exe" from store 2016-10-24 17:32:09, Info CSI 000003cf [sR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:20{10}]"dnsapi.dll" from store Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj folder martwego już profilu Chrome: C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default Dodatkowo upłynnij FRST i jego logi z New folder (2) na Pulpicie. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Damiann Opublikowano 24 Października 2016 Autor Zgłoś Udostępnij Opublikowano 24 Października 2016 Dziekuję kobitko za pomoc. Kiedyś cos Ci sypne. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi