Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Adaware same się instalują.

RainbowDashTp 11 Sie 2015 01:41 951 8
  • #1 11 Sie 2015 01:41
    RainbowDashTp
    Poziom 12  

    Witam Panów.

    Parę dni temu udało mi się zainstalować Windowsa 10, lecz instalując najpotrzebniejsze programy, złapałem upartego wirusa. Problem polega na tym, że programy adware instalują się same. Próbowałem ADWcleanera, ale gdy program próbuje zrestartować kompa, to system wyświetla komunikat o błędzie jakichś procesów i zmusza do wylogowania (próbowałem wylogowywać i restartować kompa). Kolejnym pomysłem był Avast, którego zainstalowałem i przeprowadziłem skan przed bootem Windowsa. Przyznam panowie, że jestem bezsilny w tej sytuacji. :( Z jakich programów logi potrzebujecie?

    Pozdrawiam Piotr.

    0 8
  • CControls
  • Pomocny post
    #2 11 Sie 2015 03:09
    pawelr98
    Poziom 36  

    A procesory w tle od tych adware pracują ? Jak pracują to znajdź plik wykonawczy i zapisz/zapamiętaj ścieżkę. Potem odpal jakiegoś linuxa z livecd/usb lub też użyj drugiego komputera jak masz. Wywal wszystkie pliki wykonawcze i zobacz czy przestaną pracować.

    Spróbuj msconfig i zobacz czy gdzieś w autostarcie są.

    0
  • CControls
  • #3 11 Sie 2015 04:04
    RainbowDashTp
    Poziom 12  

    pawelr98 napisał:
    A procesory w tle od tych adware pracują ? Jak pracują to znajdź plik wykonawczy i zapisz/zapamiętaj ścieżkę. Potem odpal jakiegoś linuxa z livecd/usb lub też użyj drugiego komputera jak masz. Wywal wszystkie pliki wykonawcze i zobacz czy przestaną pracować.

    Spróbuj msconfig i zobacz czy gdzieś w autostarcie są.


    Procesy może i są ale poznać ich nie mogę, a autostart sprawdzałem. Coś jeszcze?

    Dzięki!

    0
  • Pomocny post
    #4 11 Sie 2015 08:23
    sPeRaCz.PL
    Poziom 42  

    @RainbowDashTp

    Na początek wykonaj:
    1. Wykonaj skanowanie MBAM'em po aktualizacji bazy danych i usuń wykryte zagrożenia
    http://www.malwarebytes.org/
    2. Wykonaj skanowanie AdwCleaner - opcja "szukaj" następnie "usuń"
    http://www.bleepingcomputer.com/download/adwcleaner/
    3. Załącz oba logi z FRST (jako załącznik)
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    1
  • #5 13 Sie 2015 00:06
    RainbowDashTp
    Poziom 12  

    sPeRaCz.PL napisał:
    @RainbowDashTp

    Na początek wykonaj:
    1. Wykonaj skanowanie MBAM'em po aktualizacji bazy danych i usuń wykryte zagrożenia
    http://www.malwarebytes.org/
    2. Wykonaj skanowanie AdwCleaner - opcja "szukaj" następnie "usuń"
    http://www.bleepingcomputer.com/download/adwcleaner/
    3. Załącz oba logi z FRST (jako załącznik)
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/


    Dzięki za odpowiedź, jednak wspominałem już o programie AdwCleaner. :)

    RainbowDashTp napisał:
    Próbowałem adw cleanera ale gdy program próbuje zrestartować kompa to system wyświetla komunikat o błędzie jakiś procesów i zmusza do wylogowania.


    Logi dodam pod wieczór bo na razie średnio mam możliwość.

    Dzięki!
    EDIT
    Dodaje logi z FRST'a, zaraz przeskanuje NBAM'em. Zapomniałem dodać, że próbowałem skanu ComboFix'em ale nie wspiera jeszcze Windowsa 10.

    Dodano:
    Temat można zamknąć, problem zniknął. :)

    Pozdrawiam.

    0
  • #7 13 Sie 2015 13:19
    Domino_2
    Pomocny dla użytkowników

    ComboFixa nie używaj, załącz logi z FRST.

    0
  • Pomocny post
    #8 13 Sie 2015 13:43
    Kolobos
    Spec od komputerów

    @RainbowDashTp Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: {3C4F85B6-15B0-48D3-8C33-801ECD70F470} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
    Task: {59F8E10D-9045-4B16-8531-D1AB22F2E05B} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
    Task: {60D170AF-D690-44D9-9C55-FBEBACC34D74} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Crop\AppData\Local\SmartWeb\SmartWebHelper.exe <==== ATTENTION
    Task: {A6D9338E-8A2E-42EB-8C65-DD6A6E792821} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
    Task: {D763AFC0-5FA7-4E17-AE90-9FC1422633A6} - System32\Tasks\KeepMyPass => c:\programdata\{16d71587-fd9b-b058-16d7-71587fd9561f}\priceless_soft_partner.exe <==== ATTENTION
    Task: C:\Windows\Tasks\APSnotifierPP1.job =>
    Task: C:\Windows\Tasks\APSnotifierPP2.job =>
    Task: C:\Windows\Tasks\APSnotifierPP3.job =>
    Task: C:\Windows\Tasks\KeepMyPass.job =>
    HKLM-x32\...\Run: [ospd_us_013010054] => "C:\Program Files (x86)\ospd_us_013010054\ospd_us_013010054.exe"
    HKLM-x32\...\Run: [gmsd_pl_005010055] => [X]
    HKLM-x32\...\Run: [gmsd_pl_005010057] => [X]
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=...=cmi&uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=...=cmi&uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&...p;uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&...p;uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=...=cmi&uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR




    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=...=cmi&uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&...p;uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&...p;uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR&q={searchTerms}
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
    HKU\S-1-5-21-1057287480-4056588277-3254780013-1001\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
    HKU\S-1-5-21-1057287480-4056588277-3254780013-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&...p;uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR&q={searchTerms}
    HKU\S-1-5-21-1057287480-4056588277-3254780013-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&...p;uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&...p;uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&...p;uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR&q={searchTerms}
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1057287480-4056588277-3254780013-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=...SXR&ts=1439248841&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1057287480-4056588277-3254780013-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=...SXR&ts=1439248841&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1057287480-4056588277-3254780013-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=...SXR&ts=1439248841&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1057287480-4056588277-3254780013-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=...SXR&ts=1439248841&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1057287480-4056588277-3254780013-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=...SXR&ts=1439248841&type=default&q={searchTerms}
    BHO-x32: GoodTab Class -> {1F91A9A1-01BA-4c81-863D-3BA0751E1419} -> C:\Program Files (x86)\MiuiTab\SupTab.dll No File
    StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=...=cmi&uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR
    FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Crop\AppData\Roaming\Mozilla\Firefox\Profiles\k3cq0auq.default-1439149193066\extensions\defsearchp@gmail.com
    FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Crop\AppData\Roaming\Mozilla\Firefox\Profiles\k3cq0auq.default-1439149193066\extensions\deskCutv2@gmail.com
    StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=...=cmi&uid=ST3250820AS_6QE1RSXRXXXX6QE1RSXR
    S2 gopibeko; C:\Users\Crop\AppData\Local\1E006DC0-1439084373-7A01-9044-002215F3DEBB\snsb6A33.tmp [X]
    S2 gotifufi; C:\Program Files (x86)\1E006DC0-1439077083-7A01-9044-002215F3DEBB\knsi5A75.tmp [X]
    S2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [X]
    R1 wsafd_1_10_0_19; C:\Windows\System32\drivers\wsafd_1_10_0_19.sys [57728 2015-06-16] (Word Surfer)
    S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
    2015-08-11 01:25 - 2015-08-11 01:25 - 00000000 ____D C:\Users\Crop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
    2015-08-11 01:22 - 2015-08-11 01:22 - 00613255 _____ (CMI Limited) C:\Users\Crop\AppData\Local\nse34B3.tmp
    2015-08-11 01:22 - 2015-08-11 01:22 - 00000000 __SHD C:\Users\Crop\AppData\Roaming\AnyProtectEx
    2015-08-10 19:41 - 2015-08-11 19:54 - 00000376 _____ C:\Windows\Tasks\APSnotifierPP2.job
    2015-08-10 19:41 - 2015-08-11 00:43 - 00000376 _____ C:\Windows\Tasks\APSnotifierPP3.job
    2015-08-10 19:41 - 2015-08-10 20:14 - 00000378 _____ C:\Windows\Tasks\APSnotifierPP1.job
    2015-08-10 19:41 - 2015-08-10 19:54 - 00002870 _____ C:\Windows\System32\Tasks\APSnotifierPP1
    2015-08-10 19:41 - 2015-08-10 19:54 - 00002868 _____ C:\Windows\System32\Tasks\APSnotifierPP3
    2015-08-10 19:41 - 2015-08-10 19:54 - 00002868 _____ C:\Windows\System32\Tasks\APSnotifierPP2
    2015-08-10 19:41 - 2015-08-10 19:41 - 00001118 _____ C:\Users\Ja\Desktop\AnyProtect.lnk
    2015-08-10 19:41 - 2015-08-10 19:41 - 00000000 ____D C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
    2015-08-10 19:34 - 2015-08-10 19:34 - 00613255 _____ (CMI Limited) C:\Users\Ja\AppData\Local\nsv4FDD.tmp
    2015-08-10 19:34 - 2015-08-10 19:34 - 00000000 __SHD C:\Users\Ja\AppData\Roaming\AnyProtectEx
    2015-08-10 19:25 - 2015-08-10 19:26 - 00000000 ____D C:\ProgramData\SWinManProS
    2015-08-10 19:25 - 2015-08-10 19:25 - 00000000 ____D C:\Users\Ja\AppData\Local\gmsd_pl_005010057
    2015-08-10 19:25 - 2015-08-10 19:25 - 00000000 ____D C:\ProgramData\IHProtectUpDate
    2015-08-10 19:22 - 2015-08-11 01:17 - 00004110 _____ C:\Windows\System32\Tasks\SmartWeb Upgrade Trigger Task
    2015-08-10 19:22 - 2015-08-10 19:56 - 00000000 ____D C:\Users\Ja\AppData\Local\SmartWeb
    2015-08-09 02:35 - 2015-08-09 02:36 - 05634368 _____ (Swearware) C:\Users\Crop\Downloads\ComboFix.exe
    2015-08-08 14:23 - 2015-08-11 20:23 - 00000388 _____ C:\Windows\Tasks\KeepMyPass.job
    2015-08-08 14:23 - 2015-08-09 03:16 - 00000000 ____D C:\Users\Crop\AppData\Roaming\Startled Infancy
    2015-08-08 14:23 - 2015-08-08 14:23 - 00003352 _____ C:\Windows\System32\Tasks\KeepMyPass
    2015-08-08 14:15 - 2015-08-09 03:30 - 00000000 ____D C:\Users\Crop\AppData\Local\ospd_us_013010054
    2015-08-08 14:15 - 2015-08-08 23:17 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ONESOFTPERDAY
    2015-08-08 14:14 - 2015-08-08 14:15 - 00000000 ____D C:\ProgramData\vWinManProv
    2015-08-08 14:10 - 2015-08-09 03:32 - 00000000 ____D C:\Users\Crop\Downloads\KMSPico 10.0.exe
    EmptyTemp:

    W FRST wybierz Fix.

    Po wykonaniu uzyj AdwCleaner, powinien juz dzialac.

    Na koniec daj nowe logi z FRST, ze skanowania.

    1
  • #9 15 Sie 2015 20:33
    RainbowDashTp
    Poziom 12  

    Ok, mimo iż adware się już nie instalowało, to zrobiłem tego fix'a, miejmy nadzieję że to doszczętnie usunie problem. Dzięki wielkie wszystkim i pozdrawiam.
    Adaware same się instalują.

    0