gttt
(Parentaladvisory10)
1 Luty 2015 20:49
#1
Witam
Na komputerze zainstaowały mi się programy o takich nazwach jak powyżej w temacie. Próbowałem szukać pomocy w google, ale większość stron nie była w j. polskim. W jaki sposób mogę pozbyć się tych paskudztw ?
Zamiast docelowych stron, otwierały mi się inne związane z reklamą. W ustawieniach przeglądarki (mozilla) usunąłem kilka rozszerzeń i wydaję się być teraz lepiej, jednak programy w ciąż są zainstalowane i nie mogę ich odinstalować. Próbowałem po przez “dodaj lub usuń programy”.
Atis
(Atis)
1 Luty 2015 21:03
#2
gttt
(Parentaladvisory10)
1 Luty 2015 21:21
#3
Atis
(Atis)
1 Luty 2015 21:33
#4
Nie cytuj moich odpowiedzi.
W panelu sterowania odinstaluj:
BEsttSaVVeFaorYou
CheaapMe
CouupExteensiOn
ExostraaCoouupoon
PathRunner
PC_Booster
PC_Sustainer 1.80
pRicecHop
RoboSaverr
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
gttt
(Parentaladvisory10)
1 Luty 2015 22:25
#5
Nie udało się usunąć po przez panel pierwszych czterech pozycji z Twojej listy oraz PC_Sustainter 1.80
Jednak po uruchomieniu i usunięciu plików AdwClenerem już ich nie widzę na liście programów…
Nowe raporty:
http://www.wklej.org/id/1620067/
http://www.wklej.org/id/1620068/
Atis
(Atis)
1 Luty 2015 22:40
#6
Pobierz ESET Necurs Cleaner:
http://download.eset.com/special/ESETNecursCleaner.exe
Uruchom ESETNecursCleaner i postępuj zgodnie z zaleceniami programu.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Run: [avast] => "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, IsfuhmiLfosb.dll
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-1708537768-861567501-1417001333-1003] ATTENTION ==> Default URLSearchHook is missing.
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> Backup.Old.DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233}
Locked "7e4f0711d8afdd6c" service could not be unlocked. <===== ATTENTION
S2 32148148; "C:\WINDOWS\system32\rundll32.exe" "c:\progra~1\pc_boo~1\AssistantSvc.dll",service
S4 NMIndexingService; "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S4 IntelIde; No ImagePath
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 mcdbus; system32\DRIVERS\mcdbus.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
C:\Documents and Settings\GT\Ustawienia lokalne\Temp*.html
2015-02-01 23:04 - 2015-02-01 23:08 - 00000000 ____ D () C:\AdwCleaner
2015-02-01 23:01 - 2015-02-01 23:01 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\23405448
2011-02-21 19:02 - 2011-02-21 19:02 - 0022328 ____ C () C:\Documents and Settings\GT\Dane aplikacji\PnkBstrK.sys
CustomCLSID: HKU\S-1-5-21-1708537768-861567501-1417001333-1003_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Documents and Settings\GT\Moje dokumenty\Pobrane\CRWeN.rar.exe No File
C:\Documents and Settings\GT\Dane aplikacji\Kuakz
AlternateDataStreams: C:\WINDOWS:17C389A3C318DF3F
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
gttt
(Parentaladvisory10)
1 Luty 2015 22:54
#7
Uruchomiłem program o którym wspomniałeś, ale pokazało się tylko okno w którym jest napisane - scanning for system… a niżej win32/necurs found in your system, do you want remove it ? Czekałem dość długo, ale nic się nie zmieniło. Chciałem kliknąć “tak” remove, ale nie wiem w jaki sposób.
I wybacz, ale nie wiem w którym miejscu wkleić plik fixlist, próbowałem w różnych miejscach, ale pokazuję się komunikat iż plik został nie odnaleziony
jakieś sugestie ?
Atis
(Atis)
1 Luty 2015 23:12
#8
W czym problem?
W oknie Necurs Cleaner wpisz z klawiatury Y i zatwierdź enterem.
Wymagany będzie restart systemu.
Fixlist zapisz tam gdzie program FRST:
Running from C:\Documents and Settings\GT\Moje dokumenty\Pobrane
gttt
(Parentaladvisory10)
1 Luty 2015 23:21
#9
Jestem właśnie po resecie, wyskakuję mi teraz jakiś problem związany z Avirą C:\Documents and Settings\All Users\Dane aplikacji\Package Cache{21388E37-9EC5-4549-95CA-95D9B2D327A4}v1.1.27.25527\
Nie wiem czy ma to związek z naszymi działaniami, ale nie może odnaleźć jakiegoś pliku. Ponad to w panelu sterowania w opcji dodaj lub usuń programy, ponownie pokazały się -
BEsttSaVVeFaorYou
Atis
(Atis)
1 Luty 2015 23:44
#10
Sprawdź czy Necurs Cleaner wykrywa rootkita.
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt
gttt
(Parentaladvisory10)
2 Luty 2015 00:10
#11
Plik pokazał się bezspośrednio na dycku c
http://www.wklej.org/id/1620162/
Atis
(Atis)
2 Luty 2015 00:16
#12
Pobiera się bez problemów z linku który podałem.
Takie programy należy pobierać wyłącznie z strony producenta.
gttt
(Parentaladvisory10)
2 Luty 2015 00:33
#13
Pobrałem z dobreprogramy.pl
Pozostał mi format czy próbujemy dalej jakiś sztuczek ?
Atis
(Atis)
2 Luty 2015 00:48
#14
Może zacznij czytać odpowiedzi, bo o coś pytałem.
Uruchom TDSSKiller i tym razem wybierz opcję usuwania Delete .
Zatwierdź restart w celu dokończenia usuwania.
Po restarcie ponownie przeskanuj za pomocą TDSSKiller i pokaż raport.
gttt
(Parentaladvisory10)
2 Luty 2015 01:02
#15
Wiesz co, zrobiłem restart komputera, bo wcześniej to zignorowałem gdy program tego ode mnie wymagał. Nowy skan gdzie nie wykryto rootkita.
http://www.wklej.org/id/1620199/ raport bezpośrednio z programu
http://www.wklej.org/id/1620206/ raport z lokalizacji dla pliku którą wskazałaś
W programach widzę dalej - PathRunner oraz PC_Sustainer 1.80
Przy próbie usunięcia wyskakuję "błąd podczas ładowania C:\progra1-\PCBOO-1\Assist-1.dll
Atis
(Atis)
2 Luty 2015 01:07
#16
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
HKLM\...\Run: [{2c18809c-4097-4b51-a4d0-3deade730ef3}] => C:\Documents and Settings\All Users\Dane aplikacji\Package Cache\{2c18809c-4097-4b51-a4d0-3deade730ef3}\Avira.OE.Setup.Bundle.exe [780168 2015-02-01] (Avira Operations & Co. KG) <===== ATTENTION
AppInit_DLLs: c:\progra~1\pc_boo~1\assist~1.dll => c:\progra~1\pc_boo~1\assist~1.dll File Not Found
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/
HKU\S-1-5-21-1708537768-861567501-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?babsrc=HP_Prot
URLSearchHook: [S-1-5-21-1708537768-861567501-1417001333-1003] ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 - SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll No File
SearchScopes: HKLM -> {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtC0C0B0F0CtD0Azz0DtB0BtDyDtDtN0D0TzutBtDtCtBtDyBtByC&cr=1186694235
SearchScopes: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=D071001CBFC0A8D2
SearchScopes: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
SearchScopes: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtC0C0B0F0CtD0Azz0DtB0BtDyDtDtN0D0TzutBtDtCtBtDyBtByC&cr=1186694235
BHO: CheaapMe -> {2c6032e7-9210-49d8-ab93-98c61372e873} -> C:\Program Files\CheaapMe\LFzUQlwgjaMSQ3.dll No File
BHO: Funmoods Helper Object -> {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} -> C:\PROGRA~1\Funmoods\1.5.23.22\bh\escort.dll No File
BHO: No Name -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> No File
Toolbar: HKLM - Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~1\Funmoods\1.5.23.22\escorTlbr.dll No File
Toolbar: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Toolbar: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
S2 24c54e38; "C:\WINDOWS\system32\rundll32.exe" "c:\Program Files\DeltaFix\DeltaFix.dll",serv <==== ATTENTION
C:\Documents and Settings\GT\Ustawienia lokalne\Temp*.html
2015-02-01 16:25 - 2014-11-10 12:04 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\Package Cache
2015-01-19 18:43 - 2015-01-19 18:45 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
AlternateDataStreams: C:\WINDOWS:17C389A3C318DF3F
Reg: reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B} /f
Reg: reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{24c54e38} /f
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
gttt
(Parentaladvisory10)
2 Luty 2015 14:23
#17
Między 14 a 15 jak tylko wrócę z pracy, to od razu wrzucę
Pozdrawiam
Atis
(Atis)
2 Luty 2015 16:06
#18
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
URLSearchHook: [S-1-5-21-1708537768-861567501-1417001333-1003] ATTENTION ==> Default URLSearchHook is missing.
S0 21661018; system32\drivers\74313308.sys [X]
S0 31945993; system32\drivers\50713404.sys [X]
S0 7e4f0711d8afdd6c; \SystemRoot\System32\Drivers\7e4f0711d8afdd6c.sys [X]
2015-02-02 00:45 - 2015-02-02 01:25 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\7129546578987cdd
DeleteQuarantine:
CreateRestorePoint:
Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK
Odinstaluj:
Java 7 Update 55
Java 6 Update 22
Microsoft Silverlight
Adobe Reader XI
Zainstaluj:
Silverlight 5.1.30514.0
Adobe Reader XI 11.0.10
Java 7 Update 71
gttt
(Parentaladvisory10)
3 Luty 2015 17:07
#19
Zrobiłem wszystko według Twoich wskazówek.Natomiast nie udało mi się zainstalować Javy, wyskakuję jkomunikt “browser lunch error.” Spróbuję po resecie. Dodatkowo by chronić się na przyszłość zainstalowałem Unchecky. Nie jestem typem osoby, która podczas instalacji programów, bez opanowania klika “dalej” zawsze na to zważam, jednak rozumiem, że skądś ten bałagan na moim dysku musiał się wziąć. Czy to już wszystko? W programach nie widzę już tych dziwacznych nazw aplikacji typu “BesttSavvefaorYou” czy innych, które spotkaliśmy na mojej drodze do celu.
Atis
(Atis)
3 Luty 2015 21:26
#20
W logach nie widać żadnej infekcji.
Jeżeli nadal masz problem to użyj Java Uninstall Tool:
https://www.java.com/pl/download/faq/uninstaller_toolinfo.xml
Później spróbuj zainstalować Java 8 Update 31