Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

PriceFountain - logi z FRST

lary89 13 Mar 2016 22:28 492 4
  • #1 13 Mar 2016 22:28
    lary89
    Poziom 2  

    Witam,

    Jakiś czas temu załapałem na laptopie jakieś dziadostwo (typuję, że po jednorazowym skorzystaniu z serwisu dobreprogramy.pl). Od tego czasu wyskakują mi reklamy PriceFountain oraz przestały mi działać strony typu allegro.

    Próbowałem pozbyć się problemu poprzez skan ADWCleanerem, CCleanerem, ESET NOD32 - bez skutku.

    Korzystam z Windows 7, 64 bit.

    Proszę o sprawdzenie moich logów z FRST i pomoc.

    Pozdrawiam.

    0 4
  • Pomocny post
    #2 13 Mar 2016 22:32
    RADU23
    Moderator - Komputery Serwis

    Wykonaj jeszcze skanowanie MBAM i usuń wszystko co wykryje
    www.malwarebytes.org

    0
  • Pomocny post
    #3 14 Mar 2016 00:17
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:
    Task: {0219F153-F289-4022-B72A-EC7180C23841} - System32\Tasks\TVT\TVSUUpdateTask => C:\Program Files (x86)\Lenovo\System Update\tvsuShim.exe [2016-01-13] ()
    Task: {1F4E826E-CDB6-41FF-8CE2-2B16F856C113} - System32\Tasks\MateuszDoggersPuddledV2 => Rundll32.exe IndexedCastaways.dll,main 7 1 <==== UWAGA
    Task: {24A714D8-3969-41EA-AB60-C15992CEC68C} - System32\Tasks\TVT\LaunchRnR => C:\Program Files (x86)\Lenovo\Rescue and Recovery\rrcmd.exe [2009-08-28] (Lenovo Limited Group Corporation)
    Task: {7F1A809A-F35B-4608-966C-B8153978BD5B} - System32\Tasks\SystemToolsDailyTest => C:\Program Files\PC-Doctor\uaclauncher.exe [2011-03-31] (PC-Doctor, Inc.)
    Task: {905CD679-22AB-4C79-BD01-AFF0297E06BE} - System32\Tasks\PCDoctorBackgroundMonitorTask => C:\Program Files\PC-Doctor\uaclauncher.exe [2011-03-31] (PC-Doctor, Inc.)
    Task: {B29060FE-4C1C-4F57-9A48-AA6056D6883F} - System32\Tasks\PCDoctorBackgroundMonitorTask-Delay => C:\Program Files\PC-Doctor\uaclauncher.exe [2011-03-31] (PC-Doctor, Inc.)
    Task: {DD5863EF-0B75-418B-BA23-C7EC17F47831} - System32\Tasks\TVT\ChangePWD => C:\Program Files (x86)\Lenovo\Rescue and Recovery\rrcmd.exe [2009-08-28] (Lenovo Limited Group Corporation)
    Task: C:\Windows\Tasks\PCDoctorBackgroundMonitorTask.job => C:\Program Files\PC-Doctor\uaclauncher.exeq-backgroundmon scripts\backgroundmon.xml
    Task: C:\Windows\Tasks\SystemToolsDailyTest.job => C:\Program Files\PC-Doctor\uaclauncher.exe
    HKU\S-1-5-21-1110497634-2073973379-1748230507-1000\...\MountPoints2: {4502d25a-7c9d-11e4-80ae-806e6f6e6963} - Q:\LenovoQDrive.exe
    HKU\S-1-5-21-1110497634-2073973379-1748230507-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-1110497634-2073973379-1748230507-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-1110497634-2073973379-1748230507-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
    SearchScopes: HKLM -> {91495E4C-7394-48C9-8123-9FF6C6BBCE5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=LEMDF8&pc=MALC&src=IE-SearchBox
    SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms}
    SearchScopes: HKLM-x32 -> {91495E4C-7394-48C9-8123-9FF6C6BBCE5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=LEMDF8&pc=MALC&src=IE-SearchBox




    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1110497634-2073973379-1748230507-1000 -> DefaultScope {91495E4C-7394-48C9-8123-9FF6C6BBCE5F} URL =
    SearchScopes: HKU\S-1-5-21-1110497634-2073973379-1748230507-1000 -> {91495E4C-7394-48C9-8123-9FF6C6BBCE5F} URL =
    SearchScopes: HKU\S-1-5-21-1110497634-2073973379-1748230507-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    2016-02-28 13:49 - 2016-03-04 20:01 - 00000000 ____D C:\AdwCleaner
    2016-02-27 20:56 - 2016-02-27 20:56 - 00000000 ____D C:\Users\Mateusz\AppData\Roaming\PriceFountainUpdateVer
    2016-02-27 20:53 - 2016-02-27 20:53 - 08003072 _____ C:\Users\Mateusz\AppData\Roaming\agent.dat
    2016-02-27 20:53 - 2016-02-27 20:53 - 01894796 _____ C:\Users\Mateusz\AppData\Roaming\Quotech.tst
    2016-02-27 20:53 - 2016-02-27 20:53 - 00127488 _____ C:\Users\Mateusz\AppData\Roaming\Installer.dat
    2016-02-27 20:53 - 2016-02-27 20:53 - 00126464 _____ C:\Users\Mateusz\AppData\Roaming\noah.dat
    2016-02-27 20:53 - 2016-02-27 20:53 - 00064752 _____ C:\Users\Mateusz\AppData\Roaming\Config.xml
    2016-02-27 20:53 - 2016-02-27 20:53 - 00018432 _____ C:\Users\Mateusz\AppData\Roaming\Main.dat
    2016-02-27 20:53 - 2016-02-27 20:53 - 00011424 _____ C:\Users\Mateusz\AppData\Roaming\InstallationConfiguration.xml
    2016-02-27 20:53 - 2016-02-27 20:53 - 00005568 _____ C:\Users\Mateusz\AppData\Roaming\md.xml
    2016-02-27 20:53 - 2016-02-27 20:52 - 00762880 _____ C:\Users\Mateusz\AppData\Roaming\Quotech.exe
    2016-02-27 20:18 - 2016-02-27 20:18 - 00000000 ____D C:\Users\Mateusz\AppData\Local\GHISLER
    2016-02-26 18:02 - 2016-02-26 18:16 - 00000000 ____D C:\Users\Mateusz\AppData\Roaming\GHISLER
    2016-03-13 19:13 - 2014-12-05 23:28 - 00000000 ____D C:\Users\Mateusz\AppData\Roaming\Adobe
    2016-03-13 19:13 - 2014-02-25 07:37 - 00000000 ____D C:\ProgramData\Adobe
    2016-02-26 16:57 - 2014-12-05 17:51 - 00004246 _____ C:\Windows\System32\Tasks\PCDoctorBackgroundMonitorTask
    2016-02-26 16:57 - 2014-12-05 17:51 - 00000528 _____ C:\Windows\Tasks\PCDoctorBackgroundMonitorTask.job
    2-27 20:53 - 2016-02-27 20:52 - 0762880 _____ () C:\Users\Mateusz\AppData\Roaming\Quotech.exe
    2016-02-27 20:53 - 2016-02-27 20:53 - 1894796 _____ () C:\Users\Mateusz\AppData\Roaming\Quotech.tst
    2016-02-27 20:53 - 2016-02-27 20:53 - 0032038 _____ () C:\Users\Mateusz\AppData\Roaming\uninstall_temp.ico
    2015-06-04 12:46 - 2015-06-04 12:46 - 0000057 _____ () C:\ProgramData\Ament.ini
    RmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\Mateusz\Downloads\FRST64.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • Pomocny post
    #4 14 Mar 2016 10:22
    Kolobos
    Spec od komputerów

    Taki Fixlist.txt wystarczy:
    Task: {1F4E826E-CDB6-41FF-8CE2-2B16F856C113} - System32\Tasks\MateuszDoggersPuddledV2 => Rundll32.exe IndexedCastaways.dll,main 7 1 <==== UWAGA
    HKU\S-1-5-21-1110497634-2073973379-1748230507-1000\...\MountPoints2: {4502d25a-7c9d-11e4-80ae-806e6f6e6963} - Q:\LenovoQDrive.exe
    2016-02-28 13:49 - 2016-03-04 20:01 - 00000000 ____D C:\AdwCleaner
    2016-02-27 20:56 - 2016-02-27 20:56 - 00003450 _____ C:\Windows\System32\Tasks\MateuszDoggersPuddledV2
    2016-02-27 20:56 - 2016-02-27 20:56 - 00000000 ____D C:\Users\Mateusz\AppData\Roaming\PriceFountainUpdateVer
    2016-02-27 20:55 - 2016-02-27 20:56 - 00000000 ____D C:\Users\Mateusz\AppData\Local\DoggersPuddled
    2016-02-27 20:53 - 2016-02-27 20:55 - 01845669 _____ C:\Users\Mateusz\Downloads\TopStyle Lite 3.10 [1].exe
    2016-02-27 20:53 - 2016-02-27 20:53 - 08003072 _____ C:\Users\Mateusz\AppData\Roaming\agent.dat
    2016-02-27 20:53 - 2016-02-27 20:53 - 01894796 _____ C:\Users\Mateusz\AppData\Roaming\Quotech.tst
    2016-02-27 20:53 - 2016-02-27 20:53 - 00127488 _____ C:\Users\Mateusz\AppData\Roaming\Installer.dat
    2016-02-27 20:53 - 2016-02-27 20:53 - 00126464 _____ C:\Users\Mateusz\AppData\Roaming\noah.dat
    2016-02-27 20:53 - 2016-02-27 20:53 - 00064752 _____ C:\Users\Mateusz\AppData\Roaming\Config.xml
    2016-02-27 20:53 - 2016-02-27 20:53 - 00018432 _____ C:\Users\Mateusz\AppData\Roaming\Main.dat
    2016-02-27 20:53 - 2016-02-27 20:53 - 00011424 _____ C:\Users\Mateusz\AppData\Roaming\InstallationConfiguration.xml
    2016-02-27 20:53 - 2016-02-27 20:53 - 00005568 _____ C:\Users\Mateusz\AppData\Roaming\md.xml
    2016-02-27 20:53 - 2016-02-27 20:52 - 00762880 _____ C:\Users\Mateusz\AppData\Roaming\Quotech.exe
    2016-02-27 20:53 - 2016-02-27 20:53 - 8003072 _____ () C:\Users\Mateusz\AppData\Roaming\agent.dat
    2016-02-27 20:53 - 2016-02-27 20:53 - 0064752 _____ () C:\Users\Mateusz\AppData\Roaming\Config.xml
    2016-02-27 20:53 - 2016-02-27 20:53 - 0011424 _____ () C:\Users\Mateusz\AppData\Roaming\InstallationConfiguration.xml
    2016-02-27 20:53 - 2016-02-27 20:53 - 0127488 _____ () C:\Users\Mateusz\AppData\Roaming\Installer.dat
    2016-02-27 20:53 - 2016-02-27 20:53 - 0018432 _____ () C:\Users\Mateusz\AppData\Roaming\Main.dat
    2016-02-27 20:53 - 2016-02-27 20:53 - 0005568 _____ () C:\Users\Mateusz\AppData\Roaming\md.xml
    2016-02-27 20:53 - 2016-02-27 20:53 - 0126464 _____ () C:\Users\Mateusz\AppData\Roaming\noah.dat
    2016-02-27 20:53 - 2016-02-27 20:52 - 0762880 _____ () C:\Users\Mateusz\AppData\Roaming\Quotech.exe
    2016-02-27 20:53 - 2016-02-27 20:53 - 1894796 _____ () C:\Users\Mateusz\AppData\Roaming\Quotech.tst
    2016-02-27 20:53 - 2016-02-27 20:53 - 0032038 _____ () C:\Users\Mateusz\AppData\Roaming\uninstall_temp.ico
    EmptyTemp:

    Pozostale wpisy podane przez @krzychupar sa poprawne i nie trzeba ich usuwac.

    Nie wiem tez po co psuc:
    2016-02-27 20:18 - 2016-02-27 20:18 - 00000000 ____D C:\Users\Mateusz\AppData\Local\GHISLER
    2016-02-26 18:02 - 2016-02-26 18:16 - 00000000 ____D C:\Users\Mateusz\AppData\Roaming\GHISLER
    2016-03-13 19:13 - 2014-12-05 23:28 - 00000000 ____D C:\Users\Mateusz\AppData\Roaming\Adobe
    2016-03-13 19:13 - 2014-02-25 07:37 - 00000000 ____D C:\ProgramData\Adobe

    0
  • #5 14 Mar 2016 19:38
    lary89
    Poziom 2  

    Problem ustąpił po zastosowaniu fixlist Kolobosa, dzięki.

    Wykonałem również skan MBAM - wykrył dodatkowo dwa zagrożenia, które zostały usunięte.

    Dzięki za pomoc.
    PriceFountain - logi z FRST

    0