hevr0n
(Jarzebinskidaniel)
27 Luty 2016 14:44
#1
Witam,
Proszę o sprawdzenie logów, gdyż mam problem z usunięciem wyszukiwarki snapdoo i folderu SearchesToYesbnd. Próbowałem ręcznie i za pomocą antywirusa, ale nic nie pomogło. Zaznajomiłem się z tekstami co trzeba odznaczać przy różnego typu instalacjach, ale nie mam pojęcia skąd mi się to wzięło. Oto logi:
FRST: http://www.wklej.org/id/2012589/
Addition: http://www.wklej.org/id/2012590/
Shortcut: http://www.wklej.org/id/2012642/
Z góry dziękuję za pomoc!
Atis
(Atis)
27 Luty 2016 20:47
#2
Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Usuń (Cleaning).
hevr0n
(Jarzebinskidaniel)
28 Luty 2016 12:23
#3
Atis
(Atis)
28 Luty 2016 13:21
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
HKU\S-1-5-21-3005948240-2728354099-1703950534-1002\...\Policies\Explorer: []
AppInit_DLLs: C:\ProgramData\serfev\Newing.dll = C:\ProgramData\serfev\Newing.dll [805376 2016-02-27] ()
AppInit_DLLs-x32: C:\ProgramData\serfev\Freshlex.dll = C:\ProgramData\serfev\Freshlex.dll [257536 2016-02-27] ()
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ======= UWAGA
HKU\S-1-5-21-3005948240-2728354099-1703950534-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7BUAguVqHm0YjRvZjzXob_Q2_EtD3j8tKRVxtYmP6x8WUOAodrjJGTA_fcvOspPYDipaDz9R_8-ZFi234orYI27MuM3Ah-qVEwXIIDD34ePPbT8OLFjP_Q8-OdMQjP3WAKKdLlozg-1ubU_SFrbWe4h34RIcMU,q={searchTerms}
HKU\S-1-5-21-3005948240-2728354099-1703950534-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7BUAguVqHm0YjRvZjzXob_Q2_EtD3j8tKRVxtYmP6x8WUOAodrjJGTA_fcvOspPYDipaDz9R_8-ZFi234orYI27MuM3Ah-qVEwXIIDD34ePPbT8OLFjP_Q8-OdMQjP3WAKKdLlozg-1ubU_SFrbWe4h34RIcMU,q={searchTerms}
HKU\S-1-5-21-3005948240-2728354099-1703950534-1002\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7BUAguVqHm0YjRvZjzXob_Q2_EtD3j8tKRVxtYmP6x8WUOAodrjJGTA_fcvOspPYDipaDz9R_8-ZFi234orYI27MuM3Ah-qVEwXIIDD34ePPbT8OLFjP_Q8-OdMQjP3WAKKdLlozg-1ubU_SFrbWe4h34RIcMU,q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-3005948240-2728354099-1703950534-1002 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HomePage: Default - hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7BUAguVqHm0YjRvZjzXob_Q2_EtD3j8tKRVxtYmP6x8WUOAodrjJGTA_fcvOspPYDiyAz-zm2MFKwE1dZrnVy025sleJlSWwDiQgFFcgSeY5_jFoG2_9Pik2fWdHonGeYXQzjA6vRvI5R7mjGq-a1RUd7jeC9k,
CHR StartupUrls: Default - "hxxp://www.yessearches.com/?mode=nnnbptid=wakuid=C7C9E2F9280F4540B2C39993BA026D9Ev=20160202ts=AHEpBXIrBXEkCE.."
CHR DefaultSearchURL: Default - hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSc0iu0uBbj7qfBdJwOCPROhOvH6jzcLJOnBkNH6Uu2dIbGV0YaEF6FvyzY9qtFaBxPqv_ewzoua_UXhej5akx2308ZxwCeTDCJLHR95FaXI8EW98Zins7jMaC1sJMBXebWwxbHo1HujRis_aUZHtTjpjB2q={searchTerms}
CHR DefaultSearchKeyword: Default - feed.sonic-search.com
CHR DefaultSuggestURL: Default - hxxps://search.yahoo.com/sugg/chrome?output=fxjsonappid=crmascommand={searchTerms}
CHR HKLM\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx
S2 aoonloaduoupdatjuoon; C:\Users\Justyna\AppData\Local\Scot-lane.exe [28160 2016-02-27] () [Brak podpisu cyfrowego]
R2 serfev; C:\ProgramData\\serfev\\serfev.exe [528384 2016-02-27] () [Brak podpisu cyfrowego]
C:\AdwCleaner
2016-02-27 23:49 - 2016-02-28 13:19 - 00000000 ____ D C:\ProgramData\serfev
2016-02-27 23:49 - 2016-02-27 23:49 - 00000000 ____ D C:\ProgramData\serfevs
2016-02-27 14:16 - 2016-02-27 14:16 - 00000000 ____ D C:\ProgramData\FLEXnet
2016-02-27 14:11 - 2016-02-27 14:14 - 00000000 ____ D C:\ProgramData\Ronzap
2016-02-27 14:11 - 2016-02-27 14:11 - 08003072 _____ C:\Users\Justyna\AppData\Roaming\agent.dat
2016-02-27 14:11 - 2016-02-27 14:11 - 01895117 _____ C:\Users\Justyna\AppData\Roaming\Zummalax.tst
2016-02-27 14:11 - 2016-02-27 14:11 - 00189750 _____ () C:\Users\Justyna\AppData\Roaming\Kontouch.bin
2016-02-27 14:11 - 2016-02-27 14:11 - 00126464 _____ C:\Users\Justyna\AppData\Roaming\noah.dat
2016-02-27 14:11 - 2016-02-27 14:11 - 00064752 _____ C:\Users\Justyna\AppData\Roaming\Config.xml
2016-02-27 14:11 - 2016-02-27 14:11 - 00041472 _____ C:\Users\Justyna\AppData\Local\Scot-lane.dat
2016-02-27 14:11 - 2016-02-27 14:11 - 00028160 _____ C:\Users\Justyna\AppData\Local\Scot-lane.exe
2016-02-27 14:11 - 2016-02-27 14:11 - 00018432 _____ C:\Users\Justyna\AppData\Roaming\Main.dat
2016-02-27 14:11 - 2016-02-27 14:11 - 00000187 _____ C:\Users\Justyna\AppData\Local\Scot-lane.exe.config
2016-02-27 14:11 - 2016-02-27 14:11 - 00000000 ____ D C:\ProgramData\Ronzaps
2016-02-27 14:11 - 2016-02-27 14:10 - 00762880 _____ C:\Users\Justyna\AppData\Roaming\Zummalax.exe
2016-02-27 14:10 - 2016-02-27 23:51 - 00000000 ____ D C:\ProgramData\CloudPrinter
2016-02-27 14:10 - 2016-02-27 14:11 - 00005568 _____ C:\Users\Justyna\AppData\Roaming\md.xml
2016-02-27 14:10 - 2016-02-27 14:10 - 00848437 _____ C:\Users\Justyna\AppData\Roaming\Quaddox.bin
2016-02-27 14:10 - 2016-02-27 14:10 - 00762880 _____ C:\Users\Justyna\AppData\Roaming\Cofdex.exe
2016-02-27 14:10 - 2016-02-27 14:10 - 00127488 _____ C:\Users\Justyna\AppData\Roaming\Installer.dat
2016-02-27 14:10 - 2016-02-27 14:10 - 00126464 _____ C:\Users\Justyna\AppData\Roaming\lobby.dat
2016-02-27 14:10 - 2016-02-27 14:10 - 00072713 _____ C:\Users\Justyna\AppData\Roaming\Cofdex.tst
2016-02-27 14:10 - 2016-02-27 14:10 - 00054272 _____ C:\Users\Justyna\AppData\Roaming\ApplicationHosting.dat
2016-02-27 14:10 - 2016-02-27 14:10 - 00016992 _____ C:\Users\Justyna\AppData\Roaming\InstallationConfiguration.xml
2016-02-27 13:33 - 2016-02-27 13:36 - 00000000 ____ D C:\Users\Justyna\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
2016-02-27 13:33 - 2016-02-27 13:33 - 00000000 ____ D C:\extensions
ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk - C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) - %SNP%
ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk - C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) - %SNP%
ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk - C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) - %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) - %SNP%
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) - %SNP%
EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
hevr0n
(Jarzebinskidaniel)
28 Luty 2016 13:46
#5
Atis
(Atis)
28 Luty 2016 14:09
#6
Wykonaj naprawę w trybie awaryjnym:
hevr0n
(Jarzebinskidaniel)
28 Luty 2016 17:38
#7
Zrobiłem naprawę w trybie awaryjnym. Oto logi:
FRST: http://www.wklej.org/id/2016233/
Addition: http://www.wklej.org/id/2016235/
Atis
(Atis)
28 Luty 2016 17:43
#8
Nie wiadomo dlaczego nie można tego usunąć.
hevr0n
(Jarzebinskidaniel)
28 Luty 2016 17:50
#9
Czyli pozostaje tylko format?
Atis
(Atis)
28 Luty 2016 18:45
#10
Możesz spróbować z poziomu WinRE lub przywracania systemu jeśli masz punkt utworzony przed instalacją adware.
hevr0n
(Jarzebinskidaniel)
28 Luty 2016 19:06
#11
Zrobiłem skan za pomocą Malwarebytes Anti-Malware i usunęło. Na wszelki wypadek jeszcze raz zrobiłem skan FRST, oto logi:
FRST: http://wklej.org/id/2016446/
Addition: http://wklej.org/id/2016448/
Shortcut: http://wklej.org/id/2016450/
Atis
(Atis)
28 Luty 2016 19:22
#12
Wygląda na to, że Malwarebytes skutecznie to usunął, bo nie widać aktywnej infekcji.