Skocz do zawartości


Close Open
Close Open
Zdjęcie
* * * * * 1 Głosów

Proszę o sprawdzenie loga (OTL)


  • Please log in to reply
107 replies to this topic

#21 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 14 sierpień 2015 - 17:14

1) Odinstaluj te programy:

Mobogenie (HKLM-x32\...\Mobogenie) (Version:  - Mobogenie.com) <==== ATTENTION

PutLockerDownloader (HKLM-x32\...\1ClickDownload) (Version: 2.1 Build 26473 - PutLockerDownloader.com) <==== ATTENTION

 

2) Użyj Adw-Cleaner>http://general-chang...de/2-adwcleaner.  
Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

 

3) Otwórz Notatnik i wklej w nim:

Task: {BF63D4DE-8916-487C-9507-419C14ACCFB1} - System32\Tasks\ROC_REG_JAN_DELETE => C:\ProgramData\AVG January 2013 Campaign\ROC.exe [2013-01-17] ()
C:\Program Files (x86)\Mobogenie
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [764096 2014-03-24] ()
C:\Program Files (x86)\Common Files\AVG Secure Search
AppInit_DLLs-x32: c:\progra~3\browse~1\23787~1.43\{16cdf~1\browse~1.dll => "c:\progra~3\browse~1\23787~1.43\{16cdf~1\browse~1.dll" File not found
AppInit_DLLs-x32:  c:\progra~3\browse~1\22643~1.41\{16cdf~1\browse~1.dll => "c:\progra~3\browse~1\22643~1.41\{16cdf~1\browse~1.dll" File not found
HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\Software\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = hxxp://search.babylon.com/?affID=113480&tt=090812_ppc_3212_8&babsrc=HP_ss&mntrId=34114044000000000000000000000000
HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://search.babylon.com/?affID=113480&tt=090812_ppc_3212_8&babsrc=HP_ss&mntrId=34114044000000000000000000000000
SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
SearchScopes: HKU\S-1-5-21-3103525249-1077354125-3941522485-1000 -> BrowserMngrDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKU\S-1-5-21-3103525249-1077354125-3941522485-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=113480&tt=090812_ppc_3212_8&babsrc=SP_ss&mntrId=34114044000000000000000000000000
SearchScopes: HKU\S-1-5-21-3103525249-1077354125-3941522485-1000 -> {242C3978-EF8B-434E-8DF6-C8B459F1815C} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={A5B7052A-81C3-46D6-908B-03B07030E09C}
BHO: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} ->  No File
BHO-x32: Babylon toolbar helper -> {2EECD738-5844-4a99-B4B6-146BF802613B} ->  No File
BHO-x32: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} ->  No File
BHO-x32: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} ->  No File
Toolbar: HKLM-x32 - Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} -  No File
Toolbar: HKU\S-1-5-21-3103525249-1077354125-3941522485-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} -  No File
FF DefaultSearchEngine: AVG Secure Search
FF SearchEngineOrder.3: Bing
FF SelectedSearchEngine: AVG Secure Search
FF Homepage: https://mysearch.avg...fr&d=2014-09-03 12:54:57&v=3.2.0.14&pid=wtu&sg=&sap=hp
FF SearchPlugin: C:\Users\Monika\AppData\Roaming\Mozilla\Firefox\Profiles\1guzhkii.default\searchplugins\avg-secure-search.xml [2014-09-03]
FF SearchPlugin: C:\Users\Monika\AppData\Roaming\Mozilla\Firefox\Profiles\1guzhkii.default\searchplugins\MyStart.xml [2013-10-04]
FF SearchPlugin: C:\Users\Monika\AppData\Roaming\Mozilla\Firefox\Profiles\1guzhkii.default\searchplugins\avg-secure-search.xml [2014-09-03]
FF SearchPlugin: C:\Users\Monika\AppData\Roaming\Mozilla\Firefox\Profiles\1guzhkii.default\searchplugins\MyStart.xml [2013-10-04]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml [2015-07-25]
FF Extension: AVG Web TuneUp - C:\Users\Monika\AppData\Roaming\Mozilla\Firefox\Profiles\1guzhkii.default\Extensions\avg@toolbar [2014-09-03]
FF HKU\.DEFAULT\...\Firefox\Extensions: [{b64982b1-d112-42b5-b1e4-d3867c4533f8}] - C:\ProgramData\Browser Manager\2.2.643.41\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension
FF HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\Firefox\Extensions: [{b64982b1-d112-42b5-b1e4-d3867c4533f8}] - C:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\firefox.cfg [2014-11-30] <==== ATTENTION
 CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Monika\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-12-19]
CHR HKLM-x32\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - C:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.crx <not found>
R2 vToolbarUpdater3.3.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\3.3.0\ToolbarUpdater.exe [1830800 2015-07-25] (AVG Secure Search)
C:\Users\Monika\AppData\Roaming\BabMaint.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

4) Zrób nowe logi FRST.

.



#22 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 14 sierpień 2015 - 22:45

log z adwcleeaner http://wklejto.pl/231098

fixlog http://www.wklejto.pl/231099

 

nowe:

adition http://www.wklejto.pl/231100

frst http://www.wklejto.pl/231101



#23 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 15 sierpień 2015 - 00:51

Otwórz Notatnik i wklej w nim:

Task: {D7D44213-16B0-4B11-AEF7-2489B19B4630} - System32\Tasks\{4C92B6C5-9CEC-437B-B7B1-7460D8A224B9} => pcalua.exe -a "D:\Mario\Mario Forever.exe" -d D:\Mario
Task: {5839ED51-4142-4B7F-AF5B-888416743153} - System32\Tasks\{6F4221CE-1840-41A4-9EDD-334E84AD0A22} => pcalua.exe -a C:\Users\Monika\Downloads\top_netinfo.exe -d C:\Users\Monika\Downloads
task: C:\windows\Tasks\ROC_REG_JAN_DELETE.job => C:\ProgramData\AVG January 2013 Campaign\ROC.exe
EmptyTemp:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.


----------------------
Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
 

#24 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 15 sierpień 2015 - 21:08

a usuniecie topnetinfo nie usunie internetu aero2? z modemu



#25 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 16 sierpień 2015 - 05:21

Task: {5839ED51-4142-4B7F-AF5B-888416743153} - System32\Tasks\{6F4221CE-1840-41A4-9EDD-334E84AD0A22} => pcalua.exe -a C:\Users\Monika\Downloads\top_netinfo.exe -d C:\Users\Monika\Downloads

To Zaplanowane Zadanie jest oznaczone jako "pcalua", czyli nieudane.

Usunięcie tego Zadania to tylko kosmetyka, jeśli w przyszłości będzie potrzebne, to utworzy się nowe samoczynnie.

Na pewno nie usunie to Aero2 z modemu!

.



#26 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 25 marzec 2016 - 18:09

http://www.wklejto.pl/250859 - log z HijackThis   (jakaś wyszukiwarka się zainstalowała w przeglądarkach i nie mogę ją usunąć programami adwcleaner i malwybyters) http://slightsearch.ru

 

mam HijackThis włączony, w nim mogę zaznaczyć co chcę naprawić i wcisnąć "fix checked"

z góry dziękuję za pomoc :)



#27 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 25 marzec 2016 - 19:36

Zrób logi z FRST >> https://forum.idg.pl...wania-infekcji/
przed skanem zaznacz: Additional.txt Shortcut.txt,



#28 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 26 marzec 2016 - 01:08

FRST http://www.wklejto.pl/250882

Additional http://www.wklejto.pl/250883

Shortcut http://www.wklejto.pl/250884



#29 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 26 marzec 2016 - 08:03

Otwórz Notatnik i wklej w nim:

C:\Users\mariobros\AppData\Local\A961A46E-EFAF-40B4-8CB4-F76983E31CA
HKU\S-1-5-21-2158728893-1869697881-2032557855-1000\Software\Classes\.exe: exefile =>  <===== UWAGA
HKU\S-1-5-21-2158728893-1869697881-2032557855-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://slightsearch.ru/?ri=1&uid=16c943a2e6c8cdd9bc1043b9dad4ff33&q={searchTerms}
HKU\S-1-5-21-2158728893-1869697881-2032557855-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://slightsearch.ru/?ri=1&uid=16c943a2e6c8cdd9bc1043b9dad4ff33&q={searchTerms}
URLSearchHook: [S-1-5-21-2158728893-1869697881-2032557855-1000] UWAGA => Brak domyĹlnego URLSearchHook
URLSearchHook: HKU\S-1-5-21-2158728893-1869697881-2032557855-1000 - (Brak nazwy) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - Brak pliku
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2158728893-1869697881-2032557855-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://slightsearch.ru/?ri=1&uid=16c943a2e6c8cdd9bc1043b9dad4ff33&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2158728893-1869697881-2032557855-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://slightsearch.ru/?ri=1&uid=16c943a2e6c8cdd9bc1043b9dad4ff33&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2158728893-1869697881-2032557855-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://slightsearch.ru/?ri=1&uid=16c943a2e6c8cdd9bc1043b9dad4ff33&q=
FF DefaultSearchEngine: yoursearching
FF Extension: Default - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}.xpi [2016-03-19] [Brak podpisu cyfrowego]
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
GroupPolicy-x32: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
Task: {10F90CBD-E37F-4DD7-862A-C061BEA8A664} - System32\Tasks\{23ED255D-EB07-4470-BF65-AE91C4E4204E} => pcalua.exe -a "C:\Program Files (x86)\Mobile Partner\uninst.exe"
Task: {29C9F8F0-1245-4A10-8E7F-D99BC61B818F} - System32\Tasks\{70E6B905-2190-42A3-BB87-D369E13A6643} => pcalua.exe -a "C:\Users\mariobros\AppData\Local\Temp\blitzkrieg_2+_pl\Blitzkrieg 2 - spolszczenie.exe" -d C:\Users\mariobros\AppData\Local\Temp\blitzkrieg_2+_pl
Task: {31DCADED-52D1-44B4-A8C0-176C916934A7} - System32\Tasks\A961A46E-EFAF-40B4-8CB4-F76983E31CA => C:\Users\mariobros\AppData\Local\A961A46E-EFAF-40B4-8CB4-F76983E31CA\A961A46E-EFAF-40B4-8CB4-F76983E31CA.exe <==== UWAGA
Task: {6962E215-7AC1-42BB-BB38-C0E6A8A1CF3F} - System32\Tasks\{109358A6-9346-40FC-8D1F-BA50B1C58086} => pcalua.exe -a C:\Users\mariobros\Downloads\jxpiinstall(2).exe -d C:\Users\mariobros\Downloads
Task: {EC7D31C6-84BA-4BAB-9070-114F663C07CF} - System32\Tasks\{E3A5FE5C-06BF-4F21-B508-00912F0544BF} => pcalua.exe -a C:\EPSON\spr200\stm\STMSETUP.EXE -d C:\EPSON\spr200\stm
Task: {ECBF602B-2B69-4ABE-80A4-C54E4CDA5908} - System32\Tasks\{054F88BC-C872-4B3A-9DDC-36EA51A4EC94} => pcalua.exe -a C:\Users\MARIOB~1\AppData\Local\Temp\jre-8u73-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => ""="service"
HKLM-x32\...\Run: [NPSStartup] => [X]
FF Plugin HKU\.DEFAULT: @hola.org/FlashPlayer -> C:\Users\mariobros\AppData\Local\Hola\firefox_hola\app\flash\NPSWF32_18_0_0_232.dll [Brak pliku]
FF Plugin HKU\.DEFAULT: @hola.org/vlc -> C:\Users\mariobros\AppData\Local\Hola\firefox_hola\app\vlc\npvlc.dll [Brak pliku]
S3 cpuz138; \??\C:\Windows\TEMP\cpuz138\cpuz138_x64.sys [X]
S1 DtlDrvProtect; system32\drivers\DtlDrvProtect64.sys [X]
S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X]
C:\Windows\Minidump\*.dmp
testsigning: ==> Ustawiony "Tryb testu". SprawdĹş obecnoĹÄ niepodpisanego sterownika <===== UWAGA
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hola.lnk
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.

 

Zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt".

.



#30 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 26 marzec 2016 - 12:04

fixlog http://www.wklejto.pl/250900
FRST http://wklejto.pl/250899
addition http://www.wklejto.pl/250901
już nie wyskakuje ta ruska wyszukiwarka :)

#31 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 26 marzec 2016 - 12:37

127.0.0.1 localhost127.0.0.1 down.baidu2016.com

127.0.0.1 123.sogou.com

127.0.0.1 www.czzsyzgm.com

127.0.0.1 www.czzsyzxl.com

ten HOSTS będzie Ci ściągał na komputer różne paskudztwa, a "fixlist", z nieznanych mi powodów, nie zresetował tego:

"C:\Windows\System32\Drivers\etc\hosts" => Nie moĹźna przenieĹÄ.

Nie moĹźna przywrĂłciÄ Hosts.

 

Zrób reset pliku HOSTS narzędziem Fix-it: >http://support.micro...om/kb/972034/pl

.



#32 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 26 marzec 2016 - 16:58

już naprawiłem, dzięki :)

rzZ35eb.pngscreen http://i.imgur.com/rzZ35eb.png

rzZ35eb.png



#33 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 26 marzec 2016 - 17:11

Więc chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

.



#34 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 30 maj 2016 - 13:22

witam, ponownie mam problem z jakimiś reklamami w przeglądarce, adwcleener nie osunął i malwybyters.

FRST:

Shortcut http://wklejto.pl/256314

frst http://www.wklejto.pl/256315

addition http://www.wklejto.pl/256316



#35 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 30 maj 2016 - 14:24

W logach nie widzę żadnego "reklamiarza".

 

Otwórz Notatnik i wklej w nim:

ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta\Sparta.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://plarium.com/play/de/sparta/001_top?adCampaign=85537&clickID=0D0E0EtDtCtDtDtBtCtAtA0DyByD0Czz&publisherID=100
ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://plarium.com/play/de/sparta/001_top?adCampaign=85537&clickID=0D0E0EtDtCtDtDtBtCtAtA0DyByD0Czz&publisherID=100
Task: {F3DEDEF7-6113-420A-BAD0-FBC99BEEDCD0} - System32\Tasks\{BEF3FA83-D97E-4CE2-8E4E-AC309B490319} => pcalua.exe -a "C:\Program Files (x86)\ALDITALKVerbindungsassistent\Uninstaller.exe"
Task: {D50302B6-50FF-45F0-BB37-DA2B6503C485} - System32\Tasks\{8B688426-4525-43F8-85E0-6FA6058D9DBE} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_21_0_0_242_Plugin.exe -c -maintain plugin
Task: {E1BC56F5-0DEF-4B7F-B106-9A835FCF344D} - System32\Tasks\{5AE5ADCE-F684-42D5-8D97-B1C5C692AEE7} => pcalua.exe -a E:\.\Setup.exe -d E:\ -c AUTORUN=1
Task: {12B698E0-3F06-44B1-8EB8-329EBF7FDC39} - \ŁukaszCajolinglyIndemnifyingV2 -> Brak pliku <==== UWAGA
S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X]
S3 mfesapsn; \??\C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [X]
 2016-05-14 07:11 - 2016-04-19 19:41 - 00000000 ____D C:\Users\Łukasz\AppData\Local\Sparta
S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe" [X]
 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

.



#36 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 04 grudzień 2016 - 20:51

mam jakieś swinstwo w przeglądarce chrome ruska wyszukiwarka, adwcleener usuwałem i malwybyters ale nadal pozostało. 

log FRST http://www.wklejto.pl/266623

addition http://www.wklejto.pl/266624

szortcut http://www.wklejto.pl/266625

 
Dzięki :)


#37 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 04 grudzień 2016 - 23:53

1) Otwórz Notatnik i wklej w nim:

FirewallRules: [{EAEFDA64-1F9D-4B39-90FE-65A52F693A59}] => 㩃啜敳獲浜牡潩牢獯䅜灰慄慴剜慯業杮獜湳獜湳攮數
FirewallRules: [{12BDB055-A841-4D8D-B2EB-7FB67691B1DC}] => 㩃啜敳獲浜牡潩牢獯䅜灰慄慴剜慯業杮獜湳獜癡略⹰硥e
AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
ShortcutWithArgument: C:\Users\mariobros\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->                                                                                                                                         
ShortcutWithArgument: C:\Users\mariobros\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
Task: {4651C615-BB42-47BF-82D8-B45AFCAD021B} - System32\Tasks\Pherhidombuition Collector => C:\Program Files (x86)\Aterlutthikile\sjergh.exe [2016-12-03] (Glarysoft Ltd)
Task: {55E27C6B-970D-4E5F-86E0-25350E70CFB6} - System32\Tasks\{5DA2C278-A89F-402E-84FB-C09DCE0A3619} => pcalua.exe -a C:\Users\mariobros\Downloads\jxpiinstall(3).exe -d C:\Users\mariobros\Downloads
Task: {022DFE1D-11E3-4A47-8BCA-B028B55B68ED} - System32\Tasks\a727803075331874d5e2a34a4136b849 => Rundll32.exe "C:\Program Files (x86)\GOG.com\s0bke4.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA
C:\Program Files (x86)\GOG.com\s0bke4.dll
RemoveDirectory: C:\Program Files (x86)\Aterlutthikile
C:\Users\mariobros\AppData\Local\134e6589520e51682091c0.32666518
C:\Users\mariobros\AppData\Roaming\Stezogh
C:\Windows\System32\Tasks\Pherhidombuition Collector
C:\ProgramData\Avg
C:\Windows\System32\Tasks\a727803075331874d5e2a34a4136b849
C:\ProgramData\AVAST Software
C:\Program Files\AVAST Software
2016-12-04 14:42 - 2016-12-04 14:42 - 00000000 ____D C:\Program Files (x86)\AngelRoot
2016-12-04 12:56 - 2016-12-04 12:37 - 00969184 _____ (AVAST Software) C:\Windows\system32\Drivers\aswC5FE.tmp
2016-12-04 12:56 - 2016-12-04 12:37 - 00513632 _____ (AVAST Software) C:\Windows\system32\Drivers\aswCB5F.tmp
2016-12-04 12:56 - 2016-12-04 12:37 - 00293352 _____ (AVAST Software) C:\Windows\system32\Drivers\aswCBBE.tmp
2016-12-04 12:56 - 2016-12-04 12:36 - 00163416 _____ (AVAST Software) C:\Windows\system32\Drivers\aswCE2F.tmp
2016-12-04 12:56 - 2016-12-04 12:36 - 00108816 _____ (AVAST Software) C:\Windows\system32\Drivers\aswCA83.tmp
2016-12-04 12:56 - 2016-12-04 12:36 - 00103064 _____ (AVAST Software) C:\Windows\system32\Drivers\aswC737.tmp
2016-12-04 12:56 - 2016-12-04 12:36 - 00074544 _____ (AVAST Software) C:\Windows\system32\Drivers\aswCAF1.tmp
2016-12-04 12:56 - 2016-12-04 12:36 - 00037656 _____ (AVAST Software) C:\Windows\system32\Drivers\aswCA15.tmp
2016-12-04 12:38 - 2016-12-04 12:38 - 00000000 ____D C:\Users\mariobros\AppData\Roaming\AVAST Software
2016-12-04 12:37 - 2016-12-04 15:06 - 00000193 _____ C:\Users\mariobros\AppData\Local\uts.ini
2016-12-04 12:37 - 2016-12-04 12:37 - 00000000 ____D C:\Windows\System32\Tasks\AVAST Software
2016-12-04 12:37 - 2016-12-04 12:37 - 00000000 ____D C:\Users\mariobros\AppData\Local\uts
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X]
S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X]
R0 aswVmm; Brak ImagePath
S3 dbx; system32\DRIVERS\dbx.sys [X]
S1 DtlDrvProtect; system32\drivers\DtlDrvProtect64.sys [X]
S2 Cliptycubis; C:\Program Files (x86)\Aterlutthikile\Atumuckcogathercmm.dll [X]
CHR DefaultProfile: ChromeDefaultData
CHR Profile: C:\Users\mariobros\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-04] <==== UWAGA
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
GroupPolicy\User: Ograniczenia - Chrome <======= UWAGA
CHR HKU\S-1-5-21-2158728893-1869697881-2032557855-1000\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
ShortcutTarget: $McRebootA5E6DEAA56$.lnk ->  (Brak pliku)
Winlogon\Notify\ScCertProp-x32: wlnotify.dll [X]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: OSOBY
>zaznacz (wybierz): user0
kliknij znaczek X znajdujący się po prawej stronie

 

3) Znasz te:

奇兔ROOT (HKLM-x32\...\QTRoot) (Version: 1.2.3.9 - 深圳市奇兔软件技术有限公司)

 

Task: {7B03BBE0-FF90-4A94-BB4F-984AD113D3E9} - System32\Tasks\{90677A7C-3795-4F98-A101-26D1A49BBF85} => C:\Program Files (x86)\Tunatic\tunatic.exe

 

Task: {4C3741A1-E2FA-4C6B-82C8-AC3EE38DFB36} - System32\Tasks\{34A693B9-756B-4C4A-9C99-9FEB743127AB} => C:\Program Files (x86)\Makayama Interactive\Easy WiFi Radar\Easy WIFI Radar.exe

 

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2016-12-04]

 


S4 DTLSvc6; C:\Program Files (x86)\DTLSoft\DriveTheLife\DTLService.exe [158560 2015-06-29] (深圳市驱动人生软件技术有限公司)

 

R0 LDrvPro; C:\Windows\System32\drivers\LDrvPro64.sys [186608 2016-12-04] (深圳市驱动人生软件技术有限公司)

2016-12-04 14:43 - 2016-12-04 14:43 - 00000000 ____D C:\ProgramData\DriveTheLife
2016-12-04 14:42 - 2016-12-04 14:42 - 05503344 _____ (深圳市奇兔软件技术有限公司) C:\Users\mariobros\Downloads\qituroot_11111.2.3.9 (2).exe
2016-12-04 14:42 - 2016-12-04 14:42 - 00000983 _____ C:\Users\mariobros\Desktop\奇兔ROOT.lnk
2016-12-04 14:42 - 2016-12-04 14:42 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\奇兔ROOT
2016-12-04 14:42 - 2016-12-04 14:42 - 00000000 ____D C:\Program Files (x86)\AngelRoot


4) Zrób nowe logi FRST

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

.
 



#38 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 08 grudzień 2016 - 11:40

Tamte znam tylko tunatic nie kojarzę już :P rootami próbowałem smartfona zrootować ale nie udało się i coś mi usługi google nie działają w komie od aktualizacji :/

Log FRST nie zapisał się ma zero kb plik. i do mozilli cos się przyczepiło jako strona startowa http://www.amisites.com

Addition http://www.wklejto.pl/266983

shortcut http://wklej.se/53e6

fixlog http://www.wklejto.pl/266987



#39 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 08 grudzień 2016 - 12:15

Bez logu FRST.txt to żadne usuwanie.

 

Otwórz Notatnik i wklej w nim:

2016-12-05 12:09 - 2016-12-05 03:32 - 00223744 _____ () c:\programdata\winsapsvc\winsap.dll
ShortcutWithArgument: C:\Users\mariobros\Desktop\Mafia III.lnk -> C:\Program Files (x86)\Mafia III\launcher.exe (2K Games) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
ShortcutWithArgument: C:\Users\mariobros\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
ShortcutWithArgument: C:\Users\mariobros\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
ShortcutWithArgument: C:\Users\mariobros\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
ShortcutWithArgument: C:\Users\mariobros\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
ShortcutWithArgument: C:\Users\mariobros\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
ShortcutWithArgument: C:\Users\mariobros\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
Task: {D87F932A-4F20-4E46-9884-2AAE96DEEC3D} - \AVAST Software\Avast settings backup -> Brak pliku <==== UWAGA
Task: {A9D910F2-F843-4CE9-B128-176544FC8B4C} - System32\Tasks\WinTOOL => C:\ProgramData\wintools\UpdateModule.exe [2016-12-01] ()
 Task: {7B03BBE0-FF90-4A94-BB4F-984AD113D3E9} - System32\Tasks\{90677A7C-3795-4F98-A101-26D1A49BBF85} => C:\Program Files (x86)\Tunatic\tunatic.exe
Task: {475CDBC0-B843-4411-958E-DAB58B729251} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) <==== UWAGA
RemoveDirectory: C:\ProgramData\ChelfNotify
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zrób nowe logi FRST.

.



#40 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 08 grudzień 2016 - 14:39

Log FRST http://wklej.se/ed21

Addition http://wklej.se/aae5

shortcut http://wklej.se/6712

 fixlog http://wklej.se/03dd






0 Użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników