Liczba postów: 19
Liczba wątków: 5
Dołączył: 11.08.2015
Reputacja:
0
03.02.2016, 15:14
(Ten post był ostatnio modyfikowany: 04.02.2016, 16:41 przez nikita.)
Witam.
Przez pewien okres czasu z mojego komputera musiały korzystać osoby nie za bardzo obyte z internetem, co sprawiło że nałapałem sporo wirusów. Borykam się między innymi z reklamami w przeglądarce, zmianą strony startowej (i wyszukiwarki), znacznym spowolnieniem komputera i niemożliwością drukowania stron. Co ciekawe przy skanowaniu, pomimo zapisywania logów same pliki notatnika nie wyświetlały się, jakby były ukryte.
Logi:
Emsisoft Emergency Kit (EEK): [Aby zobaczyć linki, zarejestruj się tutaj]
Farbar Recovery Scan Tool (FRST):
FRST.txt: [Aby zobaczyć linki, zarejestruj się tutaj]
Addiction.txt: [Aby zobaczyć linki, zarejestruj się tutaj]
Junkware Removal Tool: [Aby zobaczyć linki, zarejestruj się tutaj]
Opis komputera:
Windows 8.1 64 bitowy
Procesor Intel Core 2 Quad Q8200 2,33 (4 rdzenie)
2 Gb Ram
Z góry dziękuję za pomoc.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Niepotrzebnie wykonywałeś działania programem JRT.
W takim wypadku zrób nowe logi FRST.txt > Addition.txt > Shortcut.txt
Liczba postów: 19
Liczba wątków: 5
Dołączył: 11.08.2015
Reputacja:
0
Przepraszam za spore opóźnienie.
Aktualne logi z FRST:
FRST.txt: [Aby zobaczyć linki, zarejestruj się tutaj]
Addiction.txt: [Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut.txt: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CloseProcesses:
HKLM-x32\...\Run: [gmsd_pl_8] => "C:\Program Files (x86)\gmsd_pl_8\gmsd_pl_8.exe"
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445267289&from=mych123&uid=wdcxwd5000aajs-00a8b0_wd-wmasy085904359043&z=737dfd33f6da086e168cee1g1z6z5w8odq1m8oft5o
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445267289&from=mych123&uid=wdcxwd5000aajs-00a8b0_wd-wmasy085904359043&z=737dfd33f6da086e168cee1g1z6z5w8odq1m8oft5o
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1431073708&z=933f1c10e2204fa6dff8332g4z9c5g0e5m3c1m9eem&from=cmi&uid=WDCXWD5000AAJS-00A8B0_WD-WMASY085904359043&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445267289&from=mych123&uid=wdcxwd5000aajs-00a8b0_wd-wmasy085904359043&z=737dfd33f6da086e168cee1g1z6z5w8odq1m8oft5o
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445267289&from=mych123&uid=wdcxwd5000aajs-00a8b0_wd-wmasy085904359043&z=737dfd33f6da086e168cee1g1z6z5w8odq1m8oft5o
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1431073708&z=933f1c10e2204fa6dff8332g4z9c5g0e5m3c1m9eem&from=cmi&uid=WDCXWD5000AAJS-00A8B0_WD-WMASY085904359043&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445267289&from=mych123&uid=wdcxwd5000aajs-00a8b0_wd-wmasy085904359043&z=737dfd33f6da086e168cee1g1z6z5w8odq1m8oft5o
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445267289&from=mych123&uid=wdcxwd5000aajs-00a8b0_wd-wmasy085904359043&z=737dfd33f6da086e168cee1g1z6z5w8odq1m8oft5o
HKU\S-1-5-21-3580351693-4191352103-3293325541-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445267289&from=mych123&uid=wdcxwd5000aajs-00a8b0_wd-wmasy085904359043&z=737dfd33f6da086e168cee1g1z6z5w8odq1m8oft5o
HKU\S-1-5-21-3580351693-4191352103-3293325541-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445267289&from=mych123&uid=wdcxwd5000aajs-00a8b0_wd-wmasy085904359043&z=737dfd33f6da086e168cee1g1z6z5w8odq1m8oft5o
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1431073708&z=933f1c10e2204fa6dff8332g4z9c5g0e5m3c1m9eem&from=cmi&uid=WDCXWD5000AAJS-00A8B0_WD-WMASY085904359043&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1431073708&z=933f1c10e2204fa6dff8332g4z9c5g0e5m3c1m9eem&from=cmi&uid=WDCXWD5000AAJS-00A8B0_WD-WMASY085904359043&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1431073708&z=933f1c10e2204fa6dff8332g4z9c5g0e5m3c1m9eem&from=cmi&uid=WDCXWD5000AAJS-00A8B0_WD-WMASY085904359043&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1431073708&z=933f1c10e2204fa6dff8332g4z9c5g0e5m3c1m9eem&from=cmi&uid=WDCXWD5000AAJS-00A8B0_WD-WMASY085904359043&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3580351693-4191352103-3293325541-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1451293328&z=32aa7f7b49947c000b46054gez5w8g9oft4c0cfcee&from=wpm12253&uid=WDCXWD5000AAJS-00A8B0_WD-WMASY085904359043&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3580351693-4191352103-3293325541-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3580351693-4191352103-3293325541-1001 -> {0D7562AE-8EF6-416d-A838-AB665251703A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3580351693-4191352103-3293325541-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3580351693-4191352103-3293325541-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1451293328&z=32aa7f7b49947c000b46054gez5w8g9oft4c0cfcee&from=wpm12253&uid=WDCXWD5000AAJS-00A8B0_WD-WMASY085904359043&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3580351693-4191352103-3293325541-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll Brak pliku
R2 IhPul; C:\Users\Szymon\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-28] (tsvr.com)
R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2015-08-19] (Elex do Brasil Participaçoes Ltda)
R2 PicexaService; C:\Program Files (x86)\Picexa\PicexaSvc.exe [722400 2015-09-14] (Taiwan Shui Mu Chih Ching Technology Limited)
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [302240 2015-12-28] (TODO: <???>)
R2 WdMan; C:\ProgramData\6WdM6\WdMan.exe [333312 2015-12-28] (TFuns LIMITED) [Brak podpisu cyfrowego]
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [260856 2015-05-14] (Elex do Brasil Participaçoes Ltda)
S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2015-08-19] (Elex do Brasil Participaçoes Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2015-08-19] (Elex do Brasil Participaçoes Ltda)
R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2015-08-19] (Elex do Brasil Participaçoes Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2015-08-19] (Elex do Brasil Participaçoes Ltda)
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2015-06-30] (Elex do Brasil Participaçoes Ltda)
C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\Szymon\AppData\Roaming\Mozilla
C:\Program Files (x86)\SFK
C:\Program Files (x86)\SSFK.exe
C:\Program Files (x86)\XTab
C:\Program Files (x86)\globalUpdate
Task: {19DA71DE-1516-4D01-8B52-ED135D5F8D76} - System32\Tasks\{53D20407-EB53-4DF0-B1D8-CE7EF053D946} => pcalua.exe -a "E:\Gry\Unreal Antologia\Unreal Anthology.exe" -d "E:\Gry\Unreal Antologia"
Task: {6094E247-839B-4321-9218-69E3107C7BEB} - System32\Tasks\PrivateFiles => c:\programdata\{65580d3c-0a06-c81e-6558-80d3c0a034f0}\3720385928366248835c.exe <==== UWAGA
Task: {71CFA556-A2B0-443C-9211-CB2F1BAB4361} - System32\Tasks\{55E0360E-C339-412B-BC20-896D66AA36EF} => pcalua.exe -a F:\cda_menu.exe -d F:\
Task: {754C9B30-B046-412B-A8F4-9DC1F3A694FE} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-10-19] (Adobe Systems Incorporated)
Task: {DCAD11EB-AFDA-4541-8FE5-2E15417F524D} - System32\Tasks\{A0DED820-6CE8-475B-A811-57DAA29B764B} => pcalua.exe -a "F:\pelne\Kroniki Riddicka\DirectX9\dxsetup.exe" -d "F:\pelne\Kroniki Riddicka\DirectX9"
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: netsh advfirewall reset
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Odinstaluj:
ConvertAd
DAEMON Tools Toolbar
GamesDesktop 008.8
GeekBuddy (jeśli nie używany)
LighterSystem
mystartsearch uninstall
oursurfing uninstall
Picexa
Quick Ref 1.10.0.9
Remote Desktop Access
SmartWeb
WindeskWinsearch 1.0
WinZipper
YAC(Yet Another Cleaner!)
YTD Video Downloader 4.8.9
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] uruchom, kliknij Skanuj i następnie Usuń
Pokaż raport z tego działania.
Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Liczba postów: 19
Liczba wątków: 5
Dołączył: 11.08.2015
Reputacja:
0
Pliki usunięte wedle zaleceń.
Logi:
FRST:
Fixlog: [Aby zobaczyć linki, zarejestruj się tutaj]
AdwCleaner: [Aby zobaczyć linki, zarejestruj się tutaj]
Aktualne logi z FRST po fixie, skanie z Adw i usunięciu programów.
FRST.txt: [Aby zobaczyć linki, zarejestruj się tutaj]
Addiction.txt: [Aby zobaczyć linki, zarejestruj się tutaj]
Shotcut.txt: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej i zapisz jako fixlist.txt
Kod: RemoveDirectory: C:\AdwCleaner
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Szymon\AppData\Local
CMD: dir /a C:\Users\Szymon\AppData\LocalLow
CMD: dir /a C:\Users\Szymon\AppData\Roaming
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Liczba postów: 19
Liczba wątków: 5
Dołączył: 11.08.2015
Reputacja:
0
Zrobione.
Raport po naprawie: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
22.02.2016, 19:08
(Ten post był ostatnio modyfikowany: 22.02.2016, 19:14 przez tachion.)
Usuń dodatkowo:
C:\Users\Szymon\AppData\Local\Mozilla
C:\Program Files (x86)\mozilla firefox
Ściągnij program MBAM, zainstaluj, zaktualizuj i zrób skan.
[Aby zobaczyć linki, zarejestruj się tutaj]
Pokaż wynik na forum.
Liczba postów: 19
Liczba wątków: 5
Dołączył: 11.08.2015
Reputacja:
0
Raport skanowania MBAM: [Aby zobaczyć linki, zarejestruj się tutaj]
Dziennik ochrony MBAM: [Aby zobaczyć linki, zarejestruj się tutaj]
Po dokładnym i pełnym skanowaniu zgodnie z procedurą skasowałem/przeniosłem do kwarantanny co tylko się dało.
Pliki Mozilli firefox usunąłem.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
Po uruchomieniu otworzy się okno cmd proszące o wciśnięcie jakiegokolwiek klawisza, by kontynuować. Rozpoczyna się skan i usuwanie. Wynikowo na Pulpicie powstanie log JRT.txt.
Liczba postów: 19
Liczba wątków: 5
Dołączył: 11.08.2015
Reputacja:
0
15.03.2016, 10:51
(Ten post był ostatnio modyfikowany: 15.03.2016, 11:28 przez S.P.E.C.J.A.L.
Powód edycji: Zauważenie nowego problemu
)
Wybaczcie za spory odkop, ale nie miałem czasu żeby się za to zabrać.
Przeskanowałem kompa JRT. Za wiele nie wykryło:
[Aby zobaczyć linki, zarejestruj się tutaj]
Komputer już teraz działa bez porównania sprawniej, jednak po aktualizacji Windows zaczął się zachowywać strasznie dziwnie. Tapeta zniknęła a pasek start zmienił wygląd na domyślny. Niemożliwe też było otwarcie jakiegokolwiek programu nieważne czy to była przeglądarka, monitor aktywności czy też antywirus. Jakby założona była jakaś blokada. Po restarcie system "cudownie" (bo naprawdę nie wiem jak to wytłumaczyć, choć bardzo bym chciał) wrócił mniej-więcej do normalności. Co prawda tapety nie było a pasek start dalej był domyślny, ale przynajmniej programy dały się włączyć a sam Windows działa płynnie. Jedyny kłopot jaki został to niemożliwość wejścia w ustawienia przez boczny, wysuwany pasek Windows 8.1 i to że kafelki zmieniły się w wygaszacz ekranu z samym tylko tłem.
Jedyny sensowny powód tego całego zamieszania jaki mi przyszedł do głowy, jest taki że komputer wrócił do sił po przywróceniu domyślnych ustawień. Sam konflikt może powstał prawdopodobnie przez konflikt starych sterowników jeszcze pamiętających Viste (pozostałość po zabawach z formatem kawał czasu temu). Choć szczerze mówiąc sam mocno powątpiewam w tą teorie, jednak to jedyne sensowne wyjaśnienie na jakie wpadłem.
|