Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows 7 - Prosba o analizę logów FRST.

Dj.McG 05 Sty 2016 19:26 699 15
  • #1 05 Sty 2016 19:26
    Dj.McG
    Poziom 19  

    Witam.
    Nagle zaczęły się otwierać niechciane zakładki w przeglądarce i samoczynnie chcą instalować niechciane oprogramowanie.
    PO uruchomieniu ADWCleaner i usunięciu niechcianego oprogramowania troszkę się poprawiło, ale nadal otwierają się samoczynnie niechciane zakładki. Tu screeny oraz pliki z FRST.
    Proszę o pomoc.

    Temat oraz post poprawiłem. swiercm

    0 15
  • CControls
  • Pomocny post
    #2 05 Sty 2016 19:44
    Kolobos
    Spec od komputerów

    Fixlist.txt dla FRST:
    Task: {14CF586E-DC52-4FE7-8DAA-488550469F03} - System32\Tasks\{E057558F-97BF-4C76-A87E-0E05521395B7} => pcalua.exe -a "D:\KOPIA D\instal\Daemon Tools 4.0 + crack\Daemon Tools 4.0 + crack\Daemon.Tools.v.4.0.exe" -d "D:\KOPIA D\instal\Daemon Tools 4.0 + crack\Daemon Tools 4.0 + crack"
    Task: {4DDA9B3A-9F60-4F1D-A7B3-1D1233E24627} - System32\Tasks\Touch Image2 => Rundll32.exe "C:\Users\Ę\AppData\Local\Touch Image\{C1D06794-9E63-0C6F-8133-36C34064E276}\ztolhtvv.dll",#1 <==== UWAGA
    Task: {519C3482-3097-4702-A19A-6AD0A8530DD5} - System32\Tasks\{75A03D1D-4220-43FA-AD38-95D1C2B394A1} => pcalua.exe -a E:\Autorun.exe -d E:\
    Task: {5A40E926-9E86-4B89-9CFD-B12311724371} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
    Task: {762D94C4-AA9A-40F8-B0C9-7469DC5E4261} - System32\Tasks\Touch Image => Rundll32.exe "C:\Users\Ę\AppData\Local\Touch Image\{C1D06794-9E63-0C6F-8133-36C34064E276}\TouchImage.dll",#1 <==== UWAGA
    Task: {8EF2F6DE-8BD6-4E61-8AA5-949343A3C6DB} - System32\Tasks\Luyatle => C:\PROGRA~1\GROOVE~1\Sulfopa.bat
    HKU\S-1-5-21-66015118-888701753-296501091-1000\...\MountPoints2: {8bc2777b-b319-11e5-9a85-d8cb8ac97968} - G:\iLinker.exe
    HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2015-12-24] (Microsoft Corporation)
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Aggiorna ESET license.lnk [2016-01-05]
    ShortcutTarget: Aggiorna ESET license.lnk -> C:\Program Files (x86)\ESET\MiNODLogin\launcher.exe (Brak pliku)
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    AutoConfigURL: [S-1-5-21-66015118-888701753-296501091-1000] => hxxp://unstopp.me/wpad.dat?62d56d83555518944b09a8e4a92816933765008
    HKU\S-1-5-21-66015118-888701753-296501091-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://houmpage.com/?src=hp&ssid=14519382...amp;uuid=006427ed-0bf8-4919-b454-a361e7cb06c8
    SearchScopes: HKU\S-1-5-21-66015118-888701753-296501091-1000 -> {cf34d395-9ff1-49a0-98a5-8db1636431b1} URL = hxxp://houmpage.com/search/?src=ds&q={searchTerms}&ssid=1451938239&a=1031265&uuid=006427ed-0bf8-4919-b454-a361e7cb06c8
    FF HKLM\...\Firefox\Extensions: [{8B225087-6078-407F-8C12-CAB4B40BCD9B}] - C:\Program Files\groover050120161745\Firefox\{8B225087-6078-407F-8C12-CAB4B40BCD9B}.xpi => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [{8B225087-6078-407F-8C12-CAB4B40BCD9B}] - C:\Program Files\groover050120161745\Firefox\{8B225087-6078-407F-8C12-CAB4B40BCD9B}.xpi => nie znaleziono
    CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://google.pl/","hxxp://www.istartsurf.com/?type=hp&ts=1440915115&z=3637af1387d7e1e3cb38449gaz6zdeft0gczdt6bdo&from=cor&uid=ST3500418AS_5VMA6079XXXX5VMA6079","hxxp://www.istartpageing.com/?type=hp&ts=1452010614&z=8e8918a05b63cb1a6dfd4c9g4z1w5o0eag4eeq6e0q&from=cmi&uid=SamsungXSSDX850XEVOX250GB_S21PNSAG608923V"
    CHR Extension: (Discover Treasure) - C:\Users\Ę\AppData\Local\Google\Chrome\User Data\Default\Extensions\engfcppjlcejaecoagbklbkfhjeihond [2016-01-05] [UpdateUrl: hxxp://cdn.discovertreasurenow.com/update] <==== UWAGA
    CHR Extension: (Touch Image) - C:\Users\Ę\AppData\Local\Touch Image\Component [2016-01-05]
    OPR Extension: (Discover Treasure) - C:\Users\Ę\AppData\Roaming\Opera Software\Opera Stable\Extensions\engfcppjlcejaecoagbklbkfhjeihond [2016-01-04]
    S3 MSICDSetup; \??\F:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
    2016-01-05 18:40 - 2016-01-05 19:20 - 00000000 ____D C:\AdwCleaner
    2016-01-05 17:24 - 2016-01-05 17:24 - 00003332 _____ C:\Windows\System32\Tasks\Luyatle
    2016-01-05 17:24 - 2016-01-05 17:24 - 00000000 ____D C:\Users\Ę\AppData\LocalLow\Company
    2016-01-05 17:24 - 2016-01-05 17:24 - 00000000 ____D C:\uninst
    2016-01-05 17:24 - 2016-01-05 17:24 - 00000000 _____ C:\Windows\SysWOW64\Number of results
    2016-01-04 21:10 - 2016-01-04 21:10 - 00003098 _____ C:\Windows\System32\Tasks\Touch Image
    2016-01-04 21:10 - 2016-01-04 21:10 - 00003094 _____ C:\Windows\System32\Tasks\Touch Image2
    2016-01-04 21:10 - 2016-01-04 21:10 - 00000000 ____D C:\Users\Ę\AppData\Local\Touch Image
    EmptyTemp:

    0
  • CControls
  • #3 05 Sty 2016 19:58
    Dj.McG
    Poziom 19  

    Dzięki za szybką odpowiedz.
    Czy możesz potwierdzić czy dobrze zrobiłem?
    Zapisałem powyższe dane do pliku fixlist.txt w katalogu z programem FRST i dałem napraw.
    Komputer się zresetował.
    Niestety nadal się otwierają w zakładkach niechciane strony - czy coś źle zrobiłem?

    Po restarcie pojawił się kolejny problem - w poczcie Microsoft Outlook nie chce otwierać linków:
    Windows 7 - Prosba o analizę logów FRST.

    0
  • Pomocny post
    #4 05 Sty 2016 20:04
    Kolobos
    Spec od komputerów

    Na to wyglada.

    Zamiesc nowe logi z FRST, ze skanowania. Ustaw Firefox jako domyslna przegladarke.

    0
  • #7 06 Sty 2016 14:01
    Dj.McG
    Poziom 19  

    Czyli log jest w porządku?
    Otwierałem z Outlooka linka do Elektrody i wyskakuje taki komunikat.
    Ustawiłem domyślnie Chrome, zrestartowałem ustawienia, ale nic nie dało.


    Aktualizacja: zrestartowałem komputer i teraz działa.
    Duże podziękowania za pomoc.

    Dodano:

    Dzisiaj ponownie wpakował się jakiś wirus i uruchamia mi dziwna wyszukiwarkę. Restartowałem ustawienia Chrome, ale nic to nie dało.
    Załączam logi.

    Moderowany przez swiercm:

    Posty scaliłem. Proszę, byś w przypadku aktualizacji informacji używał opcji "Zmień".

    0
  • Pomocny post
    #8 06 Sty 2016 14:10
    Acorus 20
    Spec od komputerów

    Odinstaluj Touch Image. Otwórz notatnik systemowy i wklej:

    Cytat:
    CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://google.pl/","hxxp://www.istartsurf.com/?type=hp&ts=1440915115&z=3637af1387d7e1e3cb38449gaz6zdeft0gczdt6bdo&from=cor&uid=ST3500418AS_5VMA6079XXXX5VMA6079","hxxp://www.istartpageing.com/?type=hp&ts=1452010614&z=8e8918a05b63cb1a6dfd4c9g4z1w5o0eag4eeq6e0q&from=cmi&uid=SamsungXSSDX850XEVOX250GB_S21PNSAG608923V","hxxp://www.yoursearching.com/?type=hp&ts=1452084107&z=9d52050bf2a58ed0d6ee158g5z6w0o9ebbcz7g4e6m&from=itr&uid=samsungxssdx850xevox250gb_s21pnsag608923v"
    CHR Extension: (Discover Treasure) - C:\Users\Ę\AppData\Local\Google\Chrome\User Data\Default\Extensions\engfcppjlcejaecoagbklbkfhjeihond [2016-01-05] [UpdateUrl: hxxp://cdn.discovertreasurenow.com/update] <==== UWAGA
    2016-01-06 13:44 - 2016-01-06 13:44 - 00003152 _____ C:\Windows\System32\Tasks\{B186DE61-ABEE-46B9-8C4E-56C7D6C32F1F}
    2016-01-06 08:02 - 2016-01-06 13:54 - 00000000 ____D C:\AdwCleaner

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Reset Chrome: https://support.google.com/chrome/answer/3296214?hl=pl

    0
  • #9 06 Sty 2016 14:20
    Dj.McG
    Poziom 19  

    Programu nie da się odinstalować.
    Screen z komunikatem; fixa uruchomiłem.
    Na razie strona się nie ładuje.
    Dziękuję.

    0
  • #11 06 Sty 2016 14:32
    Dj.McG
    Poziom 19  

    Zrobilem jak napisaleś, po restarcie, program nadal widnieje w instalkach i nie da się go odinstalowac - ten sam komunkat

    0
  • #12 06 Sty 2016 15:50
    Kolobos
    Spec od komputerów

    To tylko pusty wpis.

    Mozna usunac przy pomocy regedit z klucza uninstall.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
    lub:
    HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall

    0
  • #13 06 Sty 2016 16:14
    Dj.McG
    Poziom 19  

    A możesz jaśniej opisac bo nie do konca rozumiem.
    W regedit nie znalazło mi:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall .
    Jak ten program nic nie powoduje to nie będę go usuwał.

    0
  • #14 06 Sty 2016 16:20
    Acorus 20
    Spec od komputerów

    Wyczyść rejestr CCleanerem.

    0
  • #15 06 Sty 2016 16:26
    Dj.McG
    Poziom 19  

    Rejestr był czyszczony.

    0
  • #16 06 Sty 2016 17:57
    Kolobos
    Spec od komputerów

    W regedit wystarczy rozwinac galaz, ktora podalem, a nie szukac.

    0