Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Safe Finder usuniety jednak nadal nie dziala intenet ok.

rcthedj 30 Maj 2016 19:30 753 8
  • #1 30 Maj 2016 19:30
    rcthedj
    Poziom 4  

    Siema :) Przyplątał mi się Safe Finder, po czyszczeniu zniknął z przeglądarek, lecz pozostał problem ich zamulenia lądowania przeróżnych reklam.

    Proszę o pomoc, podaję logi.

    0 8
  • Pomocny post
    #2 30 Maj 2016 19:41
    Kolobos
    Spec od komputerów

    Odinstaluj: SpyHunter

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: {55586D33-A44E-4A37-9D84-4A4674A9AF19} - System32\Tasks\Ghaneckugick Adapter => C:\Program Files (x86)\Ghaneckugick\Ghnadptsk.exe <==== UWAGA
    Task: {9CEDE5F0-EAC5-4109-9FCE-FD208AAAA3BE} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe [2016-05-30] (Enigma Software Group USA, LLC.)
    Task: {A1ED980C-EE01-4358-87B0-90EECDC68957} - System32\Tasks\Ghnadptsk => C:\Program Files (x86)\Ghaneckugick\Ghnadptsk.exe
    ShortcutWithArgument: C:\Users\dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1464546995&a=1003081&src=sh&uuid=77ed7abd-e3e4-4df5-8914-e292c68ade7c"
    Hosts:
    (Enigma Software Group USA, LLC.) C:\Program Files (x86)\Enigma Software Group\SpyHunter\SH4Service.exe
    AppInit_DLLs: C:\ProgramData\Holdtam\Solofix.dll => C:\ProgramData\Holdtam\Solofix.dll [363008 2016-05-29] ()
    AppInit_DLLs-x32: C:\ProgramData\Holdtam\LabAptough.dll => Brak pliku
    AutoConfigURL: [S-1-5-21-603311595-3298310252-627542946-1001] => hxxp://unstops.biz/wpad.dat?a4bc4b99c7046c9e96492580988ea1df10757279
    Tcpip\..\Interfaces\{26b11a49-585f-4b43-a90c-9af3c3d7b25b}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{4f665b4b-f3e4-11e5-b8fd-806e6f6e6963}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{c1b4603d-4e18-4040-b157-56352de5d1ce}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{c6f46a1b-a473-4c18-8bf6-acf5efb35932}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{e0576774-3bcb-4590-84b3-7667ef364158}: [NameServer] 104.197.191.4
    ManualProxies: 0hxxp://unstops.biz/wpad.dat?a4bc4b99c7046c9e96492580988ea1df10757279
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am
    HKU\S-1-5-21-603311595-3298310252-627542946-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...nvrPPRJJTC_9f6P8QsCDgVa43Xl0To5igFIZUz&q={searchTerms}
    HKU\S-1-5-21-603311595-3298310252-627542946-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...nvrPPRJJTC_9f6P8QsCDgVa43Xl0To5igFIZUz&q={searchTerms}




    HKU\S-1-5-21-603311595-3298310252-627542946-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...nvrPPRJJTC_9f6P8QsCDgVa43Xl0To5igFIZUz&q={searchTerms}
    HKU\S-1-5-21-603311595-3298310252-627542946-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    SearchScopes: HKLM -> DefaultScope {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM-x32 -> ielnksrch URL =
    SearchScopes: HKU\S-1-5-21-603311595-3298310252-627542946-1001 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKU\S-1-5-21-603311595-3298310252-627542946-1001 -> {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.mpc.am/index/search?q={searchTerms}&cx=partner-pub-3796753109442372:3837783968&ie=UTF-8
    SearchScopes: HKU\S-1-5-21-603311595-3298310252-627542946-1001 -> {886601F8-62EA-446C-9E84-1DFD99FCB0E5} URL =
    SearchScopes: HKU\S-1-5-21-603311595-3298310252-627542946-1001 -> {DD1E5B3F-F661-4C4C-9FE3-7B90792BF40A} URL = hxxps://search.yahoo.com/search?fr=chr-greent...mp;ei=utf-8&ilc=12&type=435371&p={searchTerms}
    SearchScopes: HKU\S-1-5-21-603311595-3298310252-627542946-1001 -> {ielnksrch} URL =
    CHR HKU\S-1-5-21-603311595-3298310252-627542946-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a
    S2 Ghnadpsrv; "C:\Program Files (x86)\Ghaneckugick\Ghnadpsrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]
    S2 Holdtam; C:\ProgramData\\Holdtam\\Holdtam.exe shuz -f "C:\ProgramData\\Holdtam\\Holdtam.dat" -l -a
    2016-05-30 00:41 - 2016-05-30 00:42 - 00000368 _____ C:\spyhunter.fix
    2016-05-30 00:02 - 2016-05-30 00:02 - 00003450 _____ C:\WINDOWS\System32\Tasks\SpyHunter4Startup
    2016-05-30 00:02 - 2016-05-30 00:02 - 00002357 _____ C:\Users\dell\Desktop\SpyHunter.lnk
    2016-05-30 00:02 - 2016-05-30 00:02 - 00000000 ____D C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
    2016-05-30 00:02 - 2016-05-30 00:02 - 00000000 ____D C:\Users\dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
    2016-05-30 00:02 - 2016-05-30 00:02 - 00000000 ____D C:\sh4ldr
    2016-05-30 00:02 - 2016-05-30 00:02 - 00000000 ____D C:\Program Files (x86)\Enigma Software Group
    2016-05-30 00:02 - 2016-05-30 00:02 - 00000000 _____ C:\autoexec.bat
    2016-05-29 21:20 - 2016-05-29 21:20 - 00000000 ____D C:\Users\Pati\AppData\Roaming\MCorp
    2016-05-29 21:04 - 2016-05-29 21:04 - 00000000 ____D C:\WINDOWS\system32\wii
    2016-05-29 20:58 - 2016-05-29 20:58 - 00000000 ____D C:\ProgramData\Holdtams
    2016-05-29 20:45 - 2016-05-29 22:56 - 00000000 ____D C:\Users\dell\AppData\Roaming\Becsilwu
    2016-05-29 20:45 - 2016-05-29 20:45 - 00008844 _____ C:\WINDOWS\System32\Tasks\Ghnadptsk
    2016-05-29 20:45 - 2016-05-29 20:45 - 00000000 ____D C:\Users\dell\AppData\Local\Tempfolder
    2016-05-29 20:44 - 2016-05-30 00:41 - 00000000 ____D C:\Program Files (x86)\Ckidiry_3102e
    2016-05-29 20:44 - 2016-05-29 21:05 - 00000000 ____D C:\Program Files (x86)\Ckidiry
    2016-05-29 20:44 - 2016-05-29 20:47 - 00000000 ____D C:\Program Files\Coodnifgedlagp
    2016-05-29 20:44 - 2016-05-29 20:44 - 00009002 _____ C:\WINDOWS\System32\Tasks\Ghaneckugick Adapter
    2016-05-29 20:43 - 2016-05-29 20:43 - 00000000 _____ C:\WINDOWS\SysWOW64\Number of results
    2016-05-29 20:40 - 2016-05-30 00:41 - 00000000 ____D C:\Program Files (x86)\bd
    2016-05-29 20:38 - 2016-05-29 21:10 - 00000000 ____D C:\Program Files (x86)\4C4C4544-1464547091-4710-8031-CAC04F443732
    2016-05-29 20:37 - 2016-05-30 15:59 - 00000000 ____D C:\ProgramData\Holdtam
    2016-05-29 20:37 - 2016-05-29 20:37 - 06859776 _____ C:\Users\dell\AppData\Roaming\agent.dat
    2016-05-29 20:37 - 2016-05-29 20:37 - 01756999 _____ C:\Users\dell\AppData\Roaming\Trippledonjob.tst
    2016-05-29 20:37 - 2016-05-29 20:37 - 00126464 _____ C:\Users\dell\AppData\Roaming\noah.dat
    2016-05-29 20:37 - 2016-05-29 20:37 - 00067776 _____ C:\Users\dell\AppData\Roaming\Config.xml
    2016-05-29 20:37 - 2016-05-29 20:37 - 00018432 _____ C:\Users\dell\AppData\Roaming\Main.dat
    2016-05-29 20:37 - 2016-05-29 20:36 - 00941568 _____ C:\Users\dell\AppData\Roaming\Trippledonjob.exe
    2016-05-29 20:36 - 2016-05-29 20:37 - 00005568 _____ C:\Users\dell\AppData\Roaming\md.xml
    2016-05-29 20:36 - 2016-05-29 20:36 - 00941568 _____ C:\Users\dell\AppData\Roaming\Solosilin.exe
    2016-05-29 20:36 - 2016-05-29 20:36 - 00128512 _____ C:\Users\dell\AppData\Roaming\Installer.dat
    2016-05-29 20:36 - 2016-05-29 20:36 - 00126464 _____ C:\Users\dell\AppData\Roaming\lobby.dat
    2016-05-29 20:36 - 2016-05-29 20:36 - 00072820 _____ C:\Users\dell\AppData\Roaming\Solosilin.tst
    2016-05-29 20:36 - 2016-05-29 20:36 - 00054272 _____ C:\Users\dell\AppData\Roaming\ApplicationHosting.dat
    2016-05-29 20:36 - 2016-05-29 20:36 - 00018480 _____ C:\Users\dell\AppData\Roaming\InstallationConfiguration.xml
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Uzyj RepairDNS i zamiesc log, ktory sie utworzy:
    https://www.elektroda.pl/rtvforum/download.php?id=731083
    Oraz nowe logi z FRST, ze skanowania, utworzone PO uzyciu RepairDNS.

    0
  • Pomocny post
    #4 30 Maj 2016 21:10
    Kolobos
    Spec od komputerów

    Odinstaluj: hohosearch - Uninstall

    Wykonaj nowy Fixlist.txt dla FRST:
    ShellExecuteHooks: - {7AD1C0F5-07A2-40E5-8608-C6EAA0FF362F} - C:\Users\dell\AppData\Local\Microsoft\Windows\INetCookies\x64explibss.dll [418488 2016-05-27] ()
    Replace: C:\WINDOWS\winsxs\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_0d0987cfb6756063\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll
    Task: {DB545E1B-A3BC-491C-8B5E-82466669305E} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2016-03-02] ()

    Po wykonaniu zamiesc nowy log z RepairDns.

    1
  • Pomocny post
    #6 30 Maj 2016 21:23
    Kolobos
    Spec od komputerów

    To tylko pusty wpis, odinstaluj z panelu sterowania, wtedy powinno sie usunac. Nawet jezeli sie nie usunie to moze tak zosac.

    Usun katalog C:\FRST i to wszystko.

    1
  • #7 30 Maj 2016 21:36
    rcthedj
    Poziom 4  

    Niestety nie mogę usunąć folderu, gdzieś to jeszcze jest otwarte

    Dodano po 2 [minuty]:

    SysWOW64, taki folder nie daje się usunąć. Dnsapi.dll.xBAD taki plik został.

    0
  • #8 30 Maj 2016 21:49
    Kolobos
    Spec od komputerów

    Osunac? Moze usunac?

    Wykonaj taki Fixlist.txt:
    DeleteQuarantine:

    To usunie katalog FRST.

    0
  • #9 30 Maj 2016 21:53
    rcthedj
    Poziom 4  

    Po restarcie sytemu usunąłem folder.

    Wszystko w jak najlepszym porządku.

    Dzięki Wielkie Za pomoc!

    Pozdro i wszystkiego dobrego!


    Temat do zamknięcia.
    Safe Finder usuniety jednak nadal nie dziala intenet ok.

    0