07.11.2016, 20:02
Odinstaluj potencjalne niechciane, fałszywe oprogramowanie:
ByteFence Anti-Malware
Log z frst.txt jest niepełny i niepotrzebnie zostały zaznaczone inne z niego opcje. Na razie skupimy się na tym co widać.
Do notatnika wklej i zapisz jako fixlist.txt
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Google Chrome
Ślady instalacji adware w postaci podstawionego fałszywego profilu Chrome ChromeDefaultData (wyświetlana nazwa w opcjach Chrome to przypuszczalnie user0)
W opcjach Google Chrome. Z bieżącego profilu wyeksportuj zakładki, o ile w ogóle jest co eksportować... Następnie w Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, zaloguj się na nowy profil, zamknij okno poprzedniego, wróć do ustawień i skasuj user0. Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa.
Ściągnij program
Pokaż raport z tego działania.
Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Czy próbowano tutaj odinstalowywać McAfee SiteAdvisor za pomocą programu ?
ByteFence Anti-Malware
Log z frst.txt jest niepełny i niepotrzebnie zostały zaznaczone inne z niego opcje. Na razie skupimy się na tym co widać.
Do notatnika wklej i zapisz jako fixlist.txt
Kod:
CloseProcesses:
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-1871177736-2599305724-3456934481-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
AppInit_DLLs: C:\ProgramData\Quotenamron\Tamlab.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Saoin.dll => Brak pliku
ShellExecuteHooks: - {7AD1C0F5-07A2-40E5-8608-C6EAA0FF362F} - Brak pliku [ ]
HKU\S-1-5-21-1871177736-2599305724-3456934481-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-1871177736-2599305724-3456934481-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
URLSearchHook: [S-1-5-21-1871177736-2599305724-3456934481-1000] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1871177736-2599305724-3456934481-1000 -> DefaultScope {85F971E0-5BED-42C5-AEDF-42F8068CB871} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1871177736-2599305724-3456934481-1000 -> {85F971E0-5BED-42C5-AEDF-42F8068CB871} URL = hxxp://www.google.com/search?q={searchTerms}
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
CHR HomePage: ChromeDefaultData -> hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqB3MtBHMpC0..&v=20160530&uid=42C42AE4B4EE8943267B7EEAB9F5767F&ptid=amz&mode=loadm
CHR StartupUrls: ChromeDefaultData -> "hxxp://192.168.8.1/"
CHR Extension: (Chrome Media Router) - C:\Users\Jaceksz\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-25]
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - <Brak Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [ahmpjcflkgiildlgicmcieglgoilbfdp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
S3 dbx; system32\DRIVERS\dbx.sys [X]
S2 IDMWFP; system32\DRIVERS\idmwfp.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Task: {053D4637-D019-4458-BFFA-EE7F3A279CC2} - System32\Tasks\{E87C9958-FF99-49F8-B7B9-ABF981784A78} => pcalua.exe -a E:\Driver\setup.exe -d E:\Driver
Task: {30841F61-B16B-42BB-BF5E-16216D86E033} - System32\Tasks\JacekszTrompsFaroV2 => Rundll32.exe UnstainedBumps.dll,main 7 1 <==== UWAGA
Task: {632876A8-83BF-4AF8-A49F-7DDFD03F6B79} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-10-01] (Adobe Systems Incorporated)
Task: {B21EEDF3-3169-4B8C-8774-DE0953522279} - System32\Tasks\{0336D6CE-6729-467F-B082-57B5FEF64875} => pcalua.exe -a C:\Users\Jaceksz\AppData\Roaming\Microsoft\Installer\{42929F0F-CE14-47AF-9FC7-FF297A603021}\NewShortcut1_42929F0FCE1447AF9FC7FF297A603021_1.exe -d C:\Users\Jaceksz\AppData\Roaming\Microsoft\Installer\{42929F0F-CE14-47AF-9FC7-FF297A603021}
Task: {BC5B3DAF-3C6C-4E31-B0B3-93A72B9AA959} - \irMonitor -> Brak pliku <==== UWAGA
Task: {D99C9F44-1C0A-4CF9-B8A4-5E2D17B9508C} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe [2016-04-26] (Byte Technologies LLC) <==== UWAGA
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM
EmptyTemp:Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Google Chrome
Ślady instalacji adware w postaci podstawionego fałszywego profilu Chrome ChromeDefaultData (wyświetlana nazwa w opcjach Chrome to przypuszczalnie user0)
W opcjach Google Chrome. Z bieżącego profilu wyeksportuj zakładki, o ile w ogóle jest co eksportować... Następnie w Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, zaloguj się na nowy profil, zamknij okno poprzedniego, wróć do ustawień i skasuj user0. Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa.
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
uruchom, kliknij Skanuj i następnie OczyśćPokaż raport z tego działania.
Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Czy próbowano tutaj odinstalowywać McAfee SiteAdvisor za pomocą programu ?