Liczba postów: 90
Liczba wątków: 2
Dołączył: 16.03.2014
Reputacja:
16
Witam,
Dobrze, że wróciłeś, Tachion. Mam nadzieję, że odpocząłeś na urlopie, bo paskudzctwa i inne robale chyba urlopu w tym czasie nie miały :-).
Przykładem jest zawirusowany komputer u mnie w rodzinie, a ja uprzejmie proszę o pomoc.
Poprzednio był zainstalowany Avast, później przez kilka dni nic z tego, co mi wiadomo(tak, wiem, ale nie miałem na to wpływu), a następnie zainstalowano EIS-a.
Od czasu instalacji EIS wychwytuje co chwilę infekcje, pomimo ich nieustannego usuwania i przenoszenia do kwarantanny.
Additional
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Hi
W tym trybie co jest xp.
Do notatnika wklej i zapisz jako fixlist.txt
Kod: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hp&ts=1431853667&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=FUJITSUXMHZ2250BHXG2_K617T882N49H
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1431853667&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=FUJITSUXMHZ2250BHXG2_K617T882N49H&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=1431853667&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=FUJITSUXMHZ2250BHXG2_K617T882N49H
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1431853667&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=FUJITSUXMHZ2250BHXG2_K617T882N49H&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\S-1-5-21-57989841-1965331169-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hp&ts=1431853667&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=FUJITSUXMHZ2250BHXG2_K617T882N49H
HKU\S-1-5-21-57989841-1965331169-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1431853667&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=FUJITSUXMHZ2250BHXG2_K617T882N49H&q={searchTerms}
HKU\S-1-5-21-57989841-1965331169-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=1431853667&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=FUJITSUXMHZ2250BHXG2_K617T882N49H
HKU\S-1-5-21-57989841-1965331169-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1431853667&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=FUJITSUXMHZ2250BHXG2_K617T882N49H&q={searchTerms}
URLSearchHook: HKLM -> Default = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
URLSearchHook: HKLM - WebProtector - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - E:\Program Files\WebProtector\WebProtector.dll (Web Protector)
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope value is missing
Toolbar: HKLM - WebProtector - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - E:\Program Files\WebProtector\WebProtector.dll [2015-05-16] (Web Protector)
CHR HKLM\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - http://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-57989841-1965331169-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - http://clients2.google.com/service/update2/crx
S2 Service Mgr SaleCharger; E:\Documents and Settings\All Users\Dane aplikacji\322cb724-1680-423d-8862-1b52ca5027ad\PluginContainer.exe [1201936 2015-08-18] () <==== ATTENTION
S2 Update Mgr SaleCharger; E:\Program Files\Common Files\322cb724-1680-423d-8862-1b52ca5027ad\updater.exe [707856 2015-08-18] () <==== ATTENTION
U2 CertPropSvc; no ImagePath
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath
Task: E:\WINDOWS\Tasks\At1.job => E:\DOCUME~1\admin\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="2"
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.
Odinstaluj:
do-search uninstall
Java 8 Update 25
PriceFountain
Sale Charger
Update for PriceFountain
W przeglądarce Firefox
Otwórz menu w górnym rogu po prawej stronie > otwórz menu pomoc oznaczone czerwoną ramką.
[Aby zobaczyć linki, zarejestruj się tutaj]
Informacje dla pomocy technicznej > Odśwież program Firefox. Reset nie naruszy zakładek i haseł.
Google Chrome
Ustawienia > karta Historia > wyczyść
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] kliknij Szukaj i następnie Usuń
Pokaż raport z niego.
Uruchom system w trybie normalnym i podaj nowe logi FRST.txt > Addition.txt
Liczba postów: 90
Liczba wątków: 2
Dołączył: 16.03.2014
Reputacja:
16
18.08.2015, 19:46
(Ten post był ostatnio modyfikowany: 19.08.2015, 19:25 przez Ciach0.)
Super, że się tym zająłeś. Będę działać, jak tylko zdobędę dostęp do tego komputera i wtedy niezwłocznie się odezwę.
Liczba postów: 90
Liczba wątków: 2
Dołączył: 16.03.2014
Reputacja:
16
OK, zrobione. Niestety, nie miałem tego komputera u siebie już, więc osobiście nie wykonywałem wszystkich działań. Niemniej jednak podsyłam wyniki po uruchomieniu skryptu:
Additional
[Aby zobaczyć linki, zarejestruj się tutaj]
Adwcleaner
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Wygląda już przyzwoicie,nie powinno być żadnych alertów 
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Extension: No Name - E:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\0q7xvia1.default-1429294928671\extensions\[email protected] [not found]
FF Extension: No Name - E:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\0q7xvia1.default-1429294928671\extensions\{8a167a0d-2593-78be-dffa-baa301a8d989} [not found]
FF Extension: No Name - E:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\0q7xvia1.default-1429294928671\extensions\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi [not found]
FF Extension: No Name - E:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\0q7xvia1.default-1429294928671\extensions\[email protected] [not found]
FF Extension: No Name - E:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [not found]
E:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\AtStart.txt
E:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\DSwitch.txt
E:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\QSwitch.txt
RemoveDirectory: C:\AdwCleaner
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.
Liczba postów: 90
Liczba wątków: 2
Dołączył: 16.03.2014
Reputacja:
16
No to super. Wiedziałem, że na Ciebie można liczyć.
Jutro się odezwę, jak zadziałam.
Liczba postów: 90
Liczba wątków: 2
Dołączył: 16.03.2014
Reputacja:
16
Dobra, skrypt wykonany. Oto raport;
[Aby zobaczyć linki, zarejestruj się tutaj]
Mam nadzieję, że paskudzctwo już nie wróci :-)
|
