Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

save finder złośliwe oprogramowanie

Waldamer 27 Lis 2015 18:54 1188 12
  • #1 27 Lis 2015 18:54
    Waldamer
    Poziom 12  

    Pouczony przez moderatora zakładam nowy temat i wklejam log hi jacka

    [bezuzyteczny i zle zamieszczony log]

    Proszę o zapoznanie się i wskazanie czynności które muszę wykonać aby ten safe finder zniknął z mojego komputera.
    Za okazaną pomoc z góry dziękuję.

    1 12
  • CControls
  • CControls
  • #4 28 Lis 2015 10:08
    Acorus 20
    Spec od komputerów

    Odinstaluj Media Player, Spybot - Search & Destroy, YTD Video Downloader 4.9.2. Otwórz notatnik systemowy i wklej:

    Cytat:
    Hosts:
    Task: C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    ShortcutWithArgument: C:\Documents and Settings\User\Dane aplikacji\Real\RealPlayer\History\RealNetworks.lnk -> E:\Odtwarzanie filmów\realplay.exe (RealNetworks, Inc.) -> hxxp://rp.eu.real.com/guide/?sw_target=tab_vi...mp;PN=RealPlayer&DC=R61EUDF&DT=081115 <==== UWAGA
    ShortcutWithArgument: C:\Documents and Settings\User\Dane aplikacji\Real\RealPlayer\Favorites\Web Pages\Film.com.lnk -> E:\Odtwarzanie filmów\realplay.exe (RealNetworks, Inc.) -> /targetview:_rpbrowser hxxp://www.film.com <==== UWAGA
    ShortcutWithArgument: C:\Documents and Settings\User\Dane aplikacji\Real\RealPlayer\Favorites\Web Pages\RealGames.lnk -> E:\Odtwarzanie filmów\realplay.exe (RealNetworks, Inc.) -> /targetview:_rpbrowser hxxp://eu.real.com/games <==== UWAGA
    ShortcutWithArgument: C:\Documents and Settings\User\Dane aplikacji\Real\RealPlayer\Favorites\Web Pages\Zylom.com.lnk -> E:\Odtwarzanie filmów\realplay.exe (RealNetworks, Inc.) -> /targetview:_rpbrowser hxxp://www.zylom.com <==== UWAGA
    ShortcutWithArgument: C:\Documents and Settings\User\Dane aplikacji\Real\RealPlayer\Favorites\Video\Live TV News.lnk -> E:\Odtwarzanie filmów\realplay.exe (RealNetworks, Inc.) -> /targetview:_rpbrowser hxxp://eu.real.com/live-news/ <==== UWAGA
    ShortcutWithArgument: C:\Documents and Settings\User\Dane aplikacji\Real\RealPlayer\Favorites\Video\Music Videos.lnk -> E:\Odtwarzanie filmów\realplay.exe (RealNetworks, Inc.) -> /targetview:_rpbrowser hxxp://eu.real.com/music/videos <==== UWAGA
    ShortcutWithArgument: C:\Documents and Settings\User\Dane aplikacji\Real\RealPlayer\Favorites\Video\RealVideo.lnk -> E:\Odtwarzanie filmów\realplay.exe (RealNetworks, Inc.) -> /targetview:_rpbrowser hxxp://eu.real.com/video <==== UWAGA




    ShortcutWithArgument: C:\Documents and Settings\User\Dane aplikacji\Real\RealPlayer\Favorites\Radio\RealMusic.lnk -> E:\Odtwarzanie filmów\realplay.exe (RealNetworks, Inc.) -> /targetview:_rpbrowser hxxp://eu.real.com/music <==== UWAGA
    ShortcutWithArgument: C:\Documents and Settings\User\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursearching.com/?type=sc&ts=...id=WDCXWD7500AADS-00M2B0_WD-WMAV5018554785547 <==== UWAGA
    HKU\S-1-5-21-329068152-117609710-682003330-1003\Software\Classes\.exe: exefile => <===== UWAGA
    HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [16876032 2008-07-03] (Realtek Semiconductor Corp.)
    HKLM\...\Run: [Alcmtr] => C:\WINDOWS\ALCMTR.EXE [57344 2008-06-19] (Realtek Semiconductor Corp.)
    HKU\S-1-5-21-329068152-117609710-682003330-1003\...\Run: [SpybotSD TeaTimer] => C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2260480 2009-03-05] (Safer-Networking Ltd.)
    HKU\S-1-5-21-329068152-117609710-682003330-1003\...\Run: [e-Radio] => [X]
    HKU\S-1-5-18\...\RunOnce: [adawarebp] => reg.exe delete "HKCU\Software\AppDataLow\Software\adawarebp" /f
    HKU\S-1-5-18\...\RunOnce: [adawarebp_XP] => reg.exe delete "HKCU\Software\adawarebp" /f
    HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_18_0_0_194_pepper.exe -update pepperplugin
    AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Danlax\Bigtech.dll => C:\Documents and Settings\All Users\Dane aplikacji\Danlax\Bigtech.dll [384512 2015-09-19] ()
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-329068152-117609710-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page =
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...xKmjnG3_eMoa_MUe3o-zOPAPEb6cHHZeKaRyAIDuyzg,,,,
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...jZOx7fAafwwUiIDd_2jjALTkGD5_yx97AfEg,,&q={searchTerms}
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...jZOx7fAafwwUiIDd_2jjALTkGD5_yx97AfEg,,&q={searchTerms}
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...jZOx7fAafwwUiIDd_2jjALTkGD5_yx97AfEg,,&q={searchTerms}
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...xKmjnG3_eMoa_MUe3o-zOPAPEb6cHHZeKaRyAIDuyzg,,,,
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...jZOx7fAafwwUiIDd_2jjALTkGD5_yx97AfEg,,&q={searchTerms}
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...jZOx7fAafwwUiIDd_2jjALTkGD5_yx97AfEg,,&q={searchTerms}
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...jZOx7fAafwwUiIDd_2jjALTkGD5_yx97AfEg,,&q={searchTerms}
    HKU\S-1-5-21-329068152-117609710-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...xKmjnG3_eMoa_MUe3o-zOPAPEb6cHHZeKaRyAIDuyzg,,,,
    HKU\S-1-5-21-329068152-117609710-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...jZOx7fAafwwUiIDd_2jjALTkGD5_yx97AfEg,,&q={searchTerms}
    HKU\S-1-5-21-329068152-117609710-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...jZOx7fAafwwUiIDd_2jjALTkGD5_yx97AfEg,,&q={searchTerms}
    HKU\S-1-5-21-329068152-117609710-682003330-1003\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...jZOx7fAafwwUiIDd_2jjALTkGD5_yx97AfEg,,&q={searchTerms}
    URLSearchHook: [S-1-5-21-329068152-117609710-682003330-1003] UWAGA => Brak domyślnego URLSearchHook
    SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM -> {171BCF39-2869-CFFC-4DE3-006C38E7AD68} URL =
    SearchScopes: HKLM -> {36668FFD-7809-43FB-A609-999C5A7AB5FE} URL = hxxp://search.foxtab.com/?q={searchTerms}&s=1&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDtBtAyDyEtCyE0A0A0ByCtCzzzyzztAtN0D0TzutBtDtCtCtDzztCyE&cr=908620685
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-329068152-117609710-682003330-1003 -> {36668FFD-7809-43FB-A609-999C5A7AB5FE} URL = hxxp://search.foxtab.com/?q={searchTerms}&s=1&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDtBtAyDyEtCyE0A0A0ByCtCzzzyzztAtN0D0TzutBtDtCtCtDzztCyE&cr=908620685
    BHO: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> C:\Program Files\Spybot - Search & Destroy\SDHelper.dll [2009-01-26] (Safer Networking Limited)
    BHO: Brak nazwy -> {E3215F20-3212-11D6-9F8B-00D0B743919D} -> Brak pliku
    BHO: Brak nazwy -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> Brak pliku
    DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
    StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=...id=WDCXWD7500AADS-00M2B0_WD-WMAV5018554785547
    FF Extension: deskCut - C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\afsq9pbo.default-1446662884015\extensions\deskCutv2@gmail.com [2015-11-27] [Brak podpisu cyfrowego]
    FF Extension: YahooToolsProtected - C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\afsq9pbo.default-1446662884015\extensions\yahooprotected@gmail.com [2015-11-27] [Brak podpisu cyfrowego]
    FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\afsq9pbo.default-1446662884015\extensions\deskCutv2@gmail.com
    FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\afsq9pbo.default-1446662884015\extensions\yahooprotected@gmail.com
    StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursearching.com/?type=sc&ts=...id=WDCXWD7500AADS-00M2B0_WD-WMAV5018554785547
    CHR HomePage: Default -> hxxp://www.yoursearching.com/?type=hp&ts=...id=WDCXWD7500AADS-00M2B0_WD-WMAV5018554785547
    CHR StartupUrls: Default -> "hxxp://www.yoursearching.com/?type=hp&ts=1448646067&z=4d11ae9f0ac78c2b1c7a6c9g1zbzdb9q5zdq1e8q7t&from=cor&uid=WDCXWD7500AADS-00M2B0_WD-WMAV5018554785547"
    CHR DefaultSearchURL: Default -> hxxp://www.yoursearching.com/web/?type=ds&...WD7500AADS-00M2B0_WD-WMAV5018554785547&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> yoursearching
    CHR HKLM\...\Chrome\Extension: [bpegkgagfojjbcpkihigfmkojdmmimdf] - <Brak Path\update_url>
    CHR HKLM\...\Chrome\Extension: [ehgldbbpchgpcfagfpfjgoomddhccfgh] - <Brak Path\update_url>
    StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.yoursearching.com/?type=sc&ts=...id=WDCXWD7500AADS-00M2B0_WD-WMAV5018554785547
    StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe hxxp://www.yoursearching.com/?type=sc&ts=...id=WDCXWD7500AADS-00M2B0_WD-WMAV5018554785547
    S2 ca82e1a5; "C:\WINDOWS\system32\rundll32.exe" "c:\Program Files\Optimizer Pro\OptProCrash.dll",SVC
    S2 Danlax; C:\Documents and Settings\All Users\Dane aplikacji\\Danlax\\Danlax.exe -f "C:\Documents and Settings\All Users\Dane aplikacji\\Danlax\\Danlax.dat" -l -a
    S3 CrystalSysInfo; \??\D:\Obróbka filmów\Media Coder11\MediaCoder\SysInfo.sys [X]
    S4 IntelIde; Brak ImagePath
    S0 is3srv; system32\drivers\is3srv.sys [X]
    S0 szkg5; system32\DRIVERS\szkg.sys [X]
    S0 szkgfs; system32\drivers\szkgfs.sys [X]
    U1 WS2IFSL; Brak ImagePath
    2015-11-27 18:41 - 2015-11-27 18:41 - 00000000 ____D C:\Documents and Settings\User\Dane aplikacji\yoursearching
    2015-11-27 18:38 - 2015-11-27 18:39 - 00962128 _____ (Installer Soft Program ) C:\Documents and Settings\User\Pulpit\HijackThis-12030-dp.exe
    2015-11-11 19:48 - 2015-11-11 19:48 - 00000000 ____D C:\Program Files\GreenTree Applications
    2015-11-11 19:48 - 2015-11-11 19:48 - 00000000 ____D C:\Documents and Settings\All Users\Menu Start\Programy\YTD Video Downloader
    2015-11-11 19:48 - 2015-11-11 19:48 - 00000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\YTD Video Downloader
    2015-11-04 20:18 - 2015-11-04 20:27 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.

    0
  • #5 28 Lis 2015 11:25
    Waldamer
    Poziom 12  

    Cytat:
    Uruchom jako administrator FRST

    Jak to zrobić? Tego niestety nie wiem :cry:
    Następny punkt też wymaga uruchomienia "jako administrator".
    Tu znowu powtórka z niewiedzy. Pomożesz? Proszę.
    Założyłem nowy folder i pliki FRST i Addition + fixlist.txt wrzuciłem do niego.
    Media Player, Spybot - Search & Destroy, YTD Video Downloader 4.9.2. zostały odinstalowane za pomocą "Dodaj lub Usuń programy".

    0
  • #6 28 Lis 2015 11:32
    Acorus 20
    Spec od komputerów

    Uruchom normalnie. Fixlist.txt masz umieścić tam gdzie masz FRST czyli C:\Documents and Settings\User\Moje dokumenty\Pobrane

    0
  • #7 28 Lis 2015 11:36
    Waldamer
    Poziom 12  

    System odpowiada mi,że "Plik fixlist.txt nie został znaleziony".
    A pliki są tam gdzie napisałeś.
    Zresetowałem komputer - po uruchomieniu ponownie wykonałem Twoje polecenie.
    Bez zmian.

    0
  • #8 28 Lis 2015 12:02
    Acorus 20
    Spec od komputerów

    Umieść FRST na pulpicie i tam umieść też fixlist .txt

    0
  • #9 28 Lis 2015 13:03
    Waldamer
    Poziom 12  

    Polecenie wykonane. W dalszym ciągu FIRST nie widzi pliku fixlist.txt

    0
  • Pomocny post
    #10 28 Lis 2015 13:05
    Kolobos
    Spec od komputerów

    Zgaduje, ze nazwales plik fixlist.txt.txt, dlatego nie widzi. W notatniku masz wpisac tylko nazwe fixlist, rozszerzenie samo sie doda.

    0
  • #11 28 Lis 2015 13:50
    Waldamer
    Poziom 12  

    Kolobos napisał:
    Zgaduje, ze nazwales plik fixlist.txt.txt, dlatego nie widzi.

    Nie, plik nazwany był fixlist.txt
    Po skasowaniu rozszerzenia FIRST ruszył jak burza i wykonał swoje zadanie a następnie zresetował komputer.
    Teraz czas na następne działanie czyli uruchomienie AdwCleaner.
    O wyniku działania postaram się zaraz powiadomić.
    .
    .
    No cóż, należą się Koledze wielkie podziękowania. Komputer działa szybciej, safe finder zniknął (miejmy nadzieję) bezpowrotnie.
    Jeszcze raz dziękuję za pomoc, kliknąłem w ikonkę "Pomógł".

    0
  • #12 28 Lis 2015 14:21
    Acorus 20
    Spec od komputerów

    Skasuj folder C:\FRST.
    W AdwCleaner użyj opcji Uninstall.

    0
  • #13 28 Lis 2015 15:28
    Waldamer
    Poziom 12  

    Skasowałem folder C:\FRST.

    Cytat:
    W AdwCleaner użyj opcji Uninstall.

    AdwCleaner nie chciał się odpalić więc wykasowałem wszystkie składniki łącznie z instalką. Dobrze zrobiłem ?
    Pozdrawiam serdecznie i raz jeszcze dziękuję.

    0