Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prośba o sprawdzenie logów / otwierają się dziwne zakładki w przeglądarce

absinthe 06 Wrz 2016 10:09 852 9
  • #1 06 Wrz 2016 10:09
    absinthe
    Poziom 5  

    Witam, zainstalowałem "jakiś" program "filefinder" i się zaczęło.

    Używam Opery i klikając w linki otwierają się nie te strony do których prowadzą w.w. linki, lub nawet kliknięcie w puste pole powoduje otwarcie linka w kolejnej zakładce. Program nie daje się wywalić standardowo przez "odinstaluj program". Wyszło tak że plików programu już niema ale w rejestrze program siedzi pewnie.

    Teraz wielka prośba o pomoc w pozbyciu się tego syfu. Wklejam log z programu Hijack, mam nadzieję że wszystko zrobiłem OK, jeśli coś jeszcze potrzebne poproszę o pokierowanie. Z góry wielkie Thx.
    Link do loga

    0 9
  • Pomocny post
    #4 06 Wrz 2016 11:15
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Booking.com version 1.1.0.5019
    FileFinder
    TweakNow RegCleaner

    Uzyj Adwc: http://www.bleepingcomputer.com/download/adwcleaner/ opcja szukaj i usun.

    Obok frst.exe utworz pliK Fixlist.txt z zawartoscia:
    Task: {28DD0711-631A-4F25-B2D8-EEA70625F0CA} - System32\Tasks\DivXUpdate => C:\Program Files (x86)\Common Files\DivX Shared\Qt4.8\DivXUpdate.exe [2016-08-01] (DivX, LLC)
    Task: {2B643115-4945-4846-840C-9374FC0975EE} - System32\Tasks\{30978A95-6014-479A-A8DD-C96E0BE73F87} => pcalua.exe -a C:\Users\Rob\AppData\Local\Temp\Temp1_Realtek_Audio_Driver_6.0.1.6098.zip\Realtek_Audio_Driver_6.0.1.6098\Setup.exe <==== UWAGA
    Task: {362D2940-5185-4BF1-BD61-7C12153EA63B} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2016-03-02] ()
    Task: {F89CC0A6-26A4-456D-8DDA-154895EAAD02} - System32\Tasks\Opera scheduled Autoupdate 1457865315 => C:\Program Files (x86)\Opera\launcher.exe [2016-09-05] (Opera Software)
    ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"




    ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> "hxxp://tech-connect.biz/?ssid=1473072680&a=1004373&src=sh&uuid=28374545-5687-41c8-9669-3c34113075b7,1473072635034"
    (Trend Micro Inc.) C:\Users\Rob\Downloads\HijackThis_2.0.4.exe
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2016-04-04] (Microsoft Corporation)
    AutoConfigURL: [S-1-5-21-82957705-2897375400-1377272203-1001] => hxxp://stoppblock.biz/wpad.dat?6e35b00b6c4dfac702a2829e5b3529b515844973
    ManualProxies: 0hxxp://stoppblock.biz/wpad.dat?6e35b00b6c4dfac702a2829e5b3529b515844973
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\1741940915.js [2016-09-05] <==== UWAGA (Linkuje do pliku *.cfg)
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\1741940915.cfg [2016-09-05] <==== UWAGA
    CHR HKU\S-1-5-21-82957705-2897375400-1377272203-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    S3 semav6thermal64ro; \??\C:\Windows\system32\drivers\semav6thermal64ro.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2016-09-06 09:28 - 2016-09-06 09:28 - 00013378 _____ C:\Users\Rob\Desktop\HijackThis_2.0.4 — skrót.lnk
    2016-09-06 09:26 - 2016-09-06 09:26 - 00001098 _____ C:\Users\Public\Desktop\TweakNow RegCleaner.lnk
    2016-09-06 09:26 - 2016-09-06 09:26 - 00000000 ____D C:\Users\Rob\AppData\Roaming\TweakNow RegCleaner 2012
    2016-09-06 09:26 - 2016-09-06 09:26 - 00000000 ____D C:\Users\Rob\AppData\Roaming\TweakNow RegCleaner
    2016-09-06 09:26 - 2016-09-06 09:26 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TweakNow RegCleaner
    2016-09-06 09:26 - 2016-09-06 09:26 - 00000000 ____D C:\Program Files (x86)\TweakNow RegCleaner
    2016-09-06 09:24 - 2016-09-06 09:24 - 07248800 _____ (TweakNow.com ) C:\Users\Rob\Downloads\RegCleaner736.exe
    2016-09-06 09:19 - 2016-09-06 09:19 - 00388608 _____ (Trend Micro Inc.) C:\Users\Rob\Downloads\HijackThis_2.0.4.exe
    2016-09-05 12:52 - 2016-09-06 09:06 - 00000000 ____D C:\Program Files (x86)\FileFinder
    2016-09-05 12:52 - 2016-09-05 13:03 - 00000000 ____D C:\ProgramData\FileFinder
    2016-09-05 12:52 - 2016-09-05 12:52 - 00000000 ____D C:\Users\Rob\AppData\Roaming\Microsoft\Windows\Start Menu\FileFinder
    2016-09-05 12:51 - 2016-09-05 12:52 - 00000000 ____D C:\ProgramData\Webitar Production Inc
    2016-09-02 04:55 - 2016-09-02 04:55 - 00000000 ____D C:\Users\Rob\AppData\Local\Tempdivxff58
    2016-09-02 04:42 - 2016-09-02 04:42 - 00000000 ____D C:\Users\Rob\AppData\Local\Tempdivxe0c8
    C:\Users\Rob\AppData\Local\Tempzxpsign*
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    0
  • Pomocny post
    #5 06 Wrz 2016 11:27
    Acorus 20
    Spec od komputerów

    Odinstaluj Booking.com version 1.1.0.5019, FileFinder. Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {2B643115-4945-4846-840C-9374FC0975EE} - System32\Tasks\{30978A95-6014-479A-A8DD-C96E0BE73F87} => pcalua.exe -a C:\Users\Rob\AppData\Local\Temp\Temp1_Realtek_Audio_Driver_6.0.1.6098.zip\Realtek_Audio_Driver_6.0.1.6098\Setup.exe <==== UWAGA
    HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [508128 2016-07-01] (Adobe Systems Incorporated)
    HKLM-x32\...\Run: [] => [X]
    AutoConfigURL: [S-1-5-21-82957705-2897375400-1377272203-1001] => hxxp://stoppblock.biz/wpad.dat?6e35b00b6c4dfac702a2829e5b3529b515844973
    ManualProxies: 0hxxp://stoppblock.biz/wpad.dat?6e35b00b6c4dfac702a2829e5b3529b515844973
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\1741940915.js [2016-09-05] <==== UWAGA (Linkuje do pliku *.cfg)
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\1741940915.cfg [2016-09-05] <==== UWAGA
    CHR HKU\S-1-5-21-82957705-2897375400-1377272203-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    S3 semav6thermal64ro; \??\C:\Windows\system32\drivers\semav6thermal64ro.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2016-09-06 09:12 - 2016-09-06 09:16 - 00000000 ____D C:\AdwCleaner
    RemoveProxy:
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Przeskanuj progr. Malwarebytes Anti-Malware http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

    0
  • #6 08 Wrz 2016 10:55
    absinthe
    Poziom 5  

    Miałem problem z odinstalowaniem FileFinder bo wywalone były już pliki z folderu a w "Panelu Sterowania" dalej program wisiał (ostatecznie odinstalowałem go, jakoś).

    Cytat:
    Odinstaluj:
    Booking.com version 1.1.0.5019
    FileFinder
    TweakNow RegCleaner

    Uzyj Adwc: http://www.bleepingcomputer.com/download/adwcleaner/ opcja szukaj i usun.


    Nie bardzo wiem jak miałem usunąć je za pomocą AdwCleaner ... nie widzę opcji "szukaj" "usuń" ....
    Przeskanowałem AdwCleaner i oczyściłem to co tam było

    I stworzyłem plik Fixlist.txt z zawartością jaką miałem wkleić i naprawiłem W FRST.


    FRST wyszukałem nazwę plików "FileFinder" i niby coś jeszcze tam siedzi??
    SearchRegLink 0

    Wklejam logi jeszcze raz
    FRST Link 1
    Addition Link 2

    0
  • #7 08 Wrz 2016 11:03
    Kolobos
    Spec od komputerów

    > Nie bardzo wiem jak miałem usunąć je za pomocą AdwCleaner ... nie widzę opcji "szukaj" "usuń" ....

    AdwCleaner miales uzyc po odinstalowaniu programow, a nie do usuwania "ich".

    1
  • #8 08 Wrz 2016 11:09
    absinthe
    Poziom 5  

    OK, usunięcie=odinstalowanie o to mi chodziło.

    W takim razie zrobiłem to ... ("Skanuj" i "Oczyść" to co wykryło ...)

    0
  • #10 09 Wrz 2016 15:30
    absinthe
    Poziom 5  

    Dziękuję serdecznie, za poświęcony czas i profesjonalną pomoc, wszystko jest już OK.
    Prośba o sprawdzenie logów / otwierają się dziwne zakładki w przeglądarce

    0