Skocz do zawartości

Starszy zamulony lapek, prośba o pomoc w wyczyszczeniu.


Rekomendowane odpowiedzi

Dzień dobry :)

Starszy lapek, dosyć mocno zamulał. Przeglądarka IE nie chciała ściągać plików (np. Firefoxa) więc coś z nią jest nie tak, pewnie uszkodzona/adware.

- Kaspersky w raporcie ma pozostałości po jakimś AdWare: not-a-virus:AdWare.win32.DealPly.heur plus Trojan.Script.Generic. - oba nieaktywne już, usunięte.
- AdwCleaner znajduje kilka śmieci (log w załączniku) i potwierdza problem z IE
- Malwarebytes też znajduje trochę śmieci (log w załączniku).

Póki co wywaliłem pliki tymczasowe za pomocą FRST.
Odinstalowałem kilka śmieci.
Powywalałem część zbędnych usług i obciążeń.

Trochę ruszył.

Proszę o pomoc w doczyszczeniu z tego co zbędne :)

FRST.txt

Addition.txt

Shortcut.txt

AdwCleanerS0.txt

malwarebytes.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Rucek, skoro zacząłeś od skanu antywirusowego, to szkoda byłoby go marnować.
 
1. Zweryfikowałem detekcje obu skanerów, w tym przypadku AdwCleaner pokrywa w całości również Malwarebytes. Całość to komponenty odpadkowe - nie zrobią więc bałaganu usuwane metodą siłową. 

  • Dla wszystkich detekcji AdwCleaner zastosuj akcję Oczyść
  • Powtórz skan dla potwierdzenia wyniku zero detekcji.

2. Po tych zabiegach dostarcz log: z dezynfekcji AdwCleanerC0 oraz drugiego skanu potwierdzającego AdwCleanerS1, a także nowy zestaw raportów FRST.

Odnośnik do komentarza

Operacja pomyślnie wykonana. Przechodzimy do doczyszczeń. 

 

Przeprowadź następujące akcje:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
C:\Users\postgres.KaC-Komputer\Desktop\Bridge Master 2000.lnk
C:\Users\postgres\Desktop\PokerTracker 3.lnk
C:\Users\KaC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\f966724577ef19eb\PokerStars.EU.lnk
C:\Users\KaC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk
C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KGS Online\CGoban 3.lnk
C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pandanet IGS\GoPanda.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rodos 2010\Uaktualnij Rodos 2010.lnk
C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DragonRoomGrandPoker
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bridge Base Inc
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDA-glGo
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerTracker 3
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452609464&z=0b2f228cecc2316c38a99c2gfz1w5oaqee4t5zawft&from=ient12253&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV
HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452609464&z=0b2f228cecc2316c38a99c2gfz1w5oaqee4t5zawft&from=ient12253&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV
HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1014 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1159 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
R2 postgresql-8.4; c:/postgreSQL/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "c:/postgreSQL/data" -w [X]
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S3 sxuptp; system32\DRIVERS\sxuptp.sys [X]
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. Powtórz całościowy skan Malwarebytes. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

- Skrypt wykonany.
- Co do IE - dopisuję dwie spacje, ale jak ponownie wejdę to już robi się z dwóch - jedna spacja, wyglada to teraz dokładnie tak:
"C:\Program Files\Internet Explorer\iexplore.exe" -extoff
- MBAM nadal coś znajduje, log poniżej.

 

Komp generalnie po tych moich i Twoich akcjach działa już znacznie szybciej :)

Fixlog.txt

MBAM.txt

Addition.txt

Shortcut.txt

FRST.txt

Odnośnik do komentarza

- Co do IE - dopisuję dwie spacje, ale jak ponownie wejdę to już robi się z dwóch - jedna spacja, wyglada to teraz dokładnie tak:

"C:\Program Files\Internet Explorer\iexplore.exe" -extoff

 

Tak i ja w raporcie widzę to samo:

 

ShortcutWithArgument: C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> -extoff

 

...ale nie wiem dlaczego tak się dzieję. Utworzymy ten skrót od nowa.

 

- MBAM nadal coś znajduje, log poniżej.

 

PUP.Optional.YourSites123.ShrtClnPUP.Optional.Qone8, PUP.Optional.StartPage - odpadkowe elementy wyszukiwarek adware.

 

Końcowe poprawki: 

 

1. Zagrożenia wykryte przez Malwarebytes zadaj do kasacji.

 

2. Przeprowadź akcje odnowy argumentu skrótu IE.

  • Skasuj skrót C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk.
  • W lokalizacji C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools utwórz skrót o nazwie Internet Explorer (No Add-ons).lnk z elementem docelowym: "C:\Program Files\Internet Explorer\iexplore.exe"  -extoff

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut w celu oceny. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
  • 2 tygodnie później...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...