NorbertBaczyk utworzono 11 maja 2017 utworzono 11 maja 2017 Witam wczoraj zauważyłem , że w mojej przeglądarce została zamieniona przeglądarka na webserch czy coś takiego . w trakcie wyszukiwania czegoś wyszukiwarka pokazuje yahoo jednak to nie jest to , została zmieniona także karta główna oraz kiery otwieram nową kartę też wyskakuję jakaś strona . Na komputerze znalazłem jakąś aplikacje SnapDo ( Resort ) i nie wiem skąd ona wgl. pochodzi . Proszę o pomoc w oczyszczeniu komputera , PROSZĘ . Pozdrawiam .
Youki komentarz 11 maja 2017 komentarz 11 maja 2017 Temat został przeniesiony z Sprzęt komputerowy > Awarie komputerów do Oprogramowanie > Bezpieczeństwo
NorbertBaczyk komentarz 11 maja 2017 Autor komentarz 11 maja 2017 Addition.txt FRST.txt Shortcut.txt AdwCleaner[C4].txt AdwCleaner[S4].txt AdwCleaner[S3].txt
Twój_Anioł_Stróż komentarz 12 maja 2017 komentarz 12 maja 2017 (edytowane) 1) Spróbuj odinstalować ten program: SnapDo (HKLM-x32\...\{0F15FDAE-43A9-4558-96CE-2AA31C1B5C83}) (Version: 1.0.0.0 - Resoft) <==== UWAGA 2) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj Task: {1A3E7B2E-4934-46FD-9436-91DB4FD13C11} - System32\Tasks\irowuit => C:\WINDOWS\system32\config\systemprofile\AppData\Local\Zath <==== UWAGA Task: {1D0D10FE-9285-4AB1-828E-5FBF2CB81151} - System32\Tasks\SessionAgent => C:\windows\sysde32.exe [2017-05-07] () Task: {4B905C81-343E-4DB3-B03F-7C189CB1CCA5} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2016-09-08] (Google Inc.) Task: {4F040AFE-C4CB-4741-BF79-A0AA3DDF1E7F} - System32\Tasks\{602189A8-C5A0-4AFB-AA7E-97E29278E92A} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Zamdom\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Zamdom\uninstall.dat" -a uninstallme 0F15FDAE-43A9-4558-96CE-2AA31C1B5C83 DeviceId=09949860-9c6d-8875-ef31-b956bed5850f BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev ShortcutWithArgument: C:\Users\Norebrt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Norebrt\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Norebrt\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Norebrt\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Norebrt\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% C:\windows\sysde32.exe 2017-05-08 12:24 - 2017-05-08 12:24 - 00117561 _____ () C:\Users\Norebrt\AppData\Local\YkPack\gtpbmx.exe HKU\S-1-5-21-1457924769-2434346518-2279483667-1005\...\StartupApproved\Run: => "YkPack" HKU\S-1-5-21-1457924769-2434346518-2279483667-1005\...\Run: [{37C67F08-7DDE-A8D1-E0CF-7D9BB1C839EB}] => C:\WINDOWS\temp\gtpbmx.exe <===== UWAGA HKU\S-1-5-21-1457924769-2434346518-2279483667-1005\...\Run: [YkPack] => C:\Users\Norebrt\AppData\Local\YkPack\gtpbmx.exe [117561 2017-05-08] () HKU\S-1-5-21-1457924769-2434346518-2279483667-1005\...\Run: [AZFworks] => C:\WINDOWS\SysWOW64\regsvr32.exe C:\Users\Norebrt\AppData\Local\YkPack\fktsyplv.dll <===== UWAGA AppInit_DLLs: C:\ProgramData\locep\FixSanla.dll => C:\ProgramData\locep\FixSanla.dll [343552 2017-05-08] () AppInit_DLLs-x32: C:\ProgramData\locep\Y-job.dll => C:\ProgramData\locep\Y-job.dll [246784 2017-05-08] () HKU\S-1-5-21-1457924769-2434346518-2279483667-1005\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7S9fmppsJYD18aXmsOsL8vHh2helGZFOi-RboTit7wymoiIoGeI7Lmq-R-AQS_enpOUvjQ7Mm2GAWKqGqu3BJIJlpBODUCL5RucD7qOXsVDvOGzip0uYz8Hv1fEJQXpTphOWWjlLpLTQgBOCjengAQjN21MTJU,&q={searchTerms} HKU\S-1-5-21-1457924769-2434346518-2279483667-1005\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7S9fmppsJYD18aXmsOsL8vHh2helGZFOi-RboTit7wymoiIoGeI7Lmq-R-AQS_enp89K738vnI4Y3zaDxlLMGAopvEcR2a84s1xNMcvfb-2utNyAySYCiA2j6MO_vxQMTSnOk9JiywIcpQ34S0fmR7cniCOgCE, SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7S9fmppsJYD18aXmsOsL8vHh2helGZFOi-RboTit7wymoiIoGeI7Lmq-R-AQS_enpOUvjQ7Mm2GAWKqGqu3BJIJlpBODUCL5RucD7qOXsVDvOGzip0uYz8Hv1fEJQXpTphOWWjlLpLTQgBOCjengAQjN21MTJU,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1457924769-2434346518-2279483667-1005 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7S9fmppsJYD18aXmsOsL8vHh2helGZFOi-RboTit7wymoiIoGeI7Lmq-R-AQS_enpOUvjQ7Mm2GAWKqGqu3BJIJlpBODUCL5RucD7qOXsVDvOGzip0uYz8Hv1fEJQXpTphOWWjlLpLTQgBOCjengAQjN21MTJU,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1457924769-2434346518-2279483667-1005 -> {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7S9fmppsJYD18aXmsOsL8vHh2helGZFOi-RboTit7wymoiIoGeI7Lmq-R-AQS_enpOUvjQ7Mm2GAWKqGqu3BJIJlpBODUCL5RucD7qOXsVDvOGzip0uYz8Hv1fEJQXpTphOWWjlLpLTQgBOCjengAQjN21MTJU,&q={searchTerms} FF Homepage: Mozilla\Firefox\Profiles\q5p4qc9i.default -> C:\ProgramData\loceps\ff.HP FF NewTab: Mozilla\Firefox\Profiles\q5p4qc9i.default -> C:\ProgramData\loceps\ff.NT FF SearchPlugin: C:\Users\Norebrt\AppData\Roaming\Mozilla\Firefox\Profiles\q5p4qc9i.default\searchplugins\findit.xml [2017-05-11] CHR HomePage: Profile 1 -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7S9fmppsJYD18aXmsOsL8vHh2helGZFOi-RboTit7wymoiIoGeI7Lmq-R-AQS_enpOPsjhlVLFncySWsdnQ--iOA_DPYHkA4khXOJ4lpoxV1xtZGpqm9ZazUyLXaPjxQOxYOd8CUAe0yPbDnzHZvhdLBMT3oOk, CHR DefaultSearchURL: Profile 1 -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdL25HV1vubOq9ZMqTTgSBTmxoD6lauqLI1m0p5cSxzVq239AxVmDWD5kalaqeYs6Ah2ry2urg7Q8JgNcaoUB9n41HUvntHsPK3A-EL2p6kf4Moa7a1r_Yhsis-iILFdXhNbwgBJ1ftlCcvfzEDWvPjfw1vbjrg,&q={searchTerms} CHR DefaultSearchKeyword: Profile 1 -> feed.sonic-search.com R2 Affenpinscher; C:\ProgramData\\Affenpinscher\\Affenpinscher.exe [1634816 2017-05-09] (TODO: <Company name>) [Brak podpisu cyfrowego] R2 locep; C:\ProgramData\\locep\\locep.exe [1634816 2017-05-08] (TODO: <Company name>) [Brak podpisu cyfrowego] S2 upyatqupeatrarod; C:\WINDOWS\system32\config\systemprofile\AppData\Local\Damfase.exe [4608 2017-05-08] () [Brak podpisu cyfrowego] C:\WINDOWS\system32\config\systemprofile\AppData\Local\Damfase.exe RemoveDirectory: C:\Users\Norebrt\AppData\Local\YkPack RemoveDirectory: C:\ProgramData\Affenpinscher RemoveDirectory: C:\ProgramData\locep S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] C:\Program Files\Common Files\g41ltsxo.exe RemoveDirectory: C:\ProgramData\Affenpinschers 2017-05-11 11:31 - 2017-05-11 11:31 - 00000000 ____D C:\Program Files\Common Files\snfmpsw1 2017-05-10 23:09 - 2017-05-10 23:09 - 03670984 _____ C:\Program Files\Common Files\3lcbht0n.exe 2017-05-10 23:09 - 2017-05-10 23:09 - 00000000 ____D C:\Program Files\Common Files\rijt3dqs 2017-05-10 15:55 - 2017-05-10 15:55 - 03670984 _____ C:\Program Files\Common Files\qzvuuqmj.exe 2017-05-10 15:55 - 2017-05-10 15:55 - 00000000 ____D C:\Program Files\Common Files\pcg1w40s 2017-05-10 13:33 - 2017-05-10 13:33 - 03670984 _____ C:\Program Files\Common Files\e5x2wdhs.exe 2017-05-10 13:33 - 2017-05-10 13:33 - 00000000 ____D C:\Program Files\Common Files\y5el5qmo 2017-05-09 00:34 - 2017-05-09 00:34 - 00003238 _____ C:\WINDOWS\System32\Tasks\irowuit 2017-05-08 21:00 - 2017-05-12 00:24 - 00000000 ____D C:\ProgramData\locep 2017-05-08 21:00 - 2017-05-08 21:00 - 00000000 ____D C:\ProgramData\loceps 2017-05-08 13:26 - 2017-05-08 13:26 - 03670144 _____ C:\Program Files\Common Files\sfu1xtgp.exe 2017-05-08 13:26 - 2017-05-08 13:26 - 00000000 ____D C:\Program Files\Common Files\xojj0gdy 2017-05-08 12:25 - 2017-05-08 12:25 - 00140800 _____ C:\Users\Norebrt\AppData\Local\installer.dat 2017-05-08 12:25 - 2017-05-08 12:25 - 00011568 _____ C:\Users\Norebrt\AppData\Local\InstallationConfiguration.xml 2017-05-08 12:24 - 2017-05-08 12:27 - 00000000 ____D C:\Users\Norebrt\AppData\Local\YkPack 2017-05-07 13:24 - 2017-05-07 13:24 - 00061620 _____ C:\WINDOWS\sysde32.exe 2017-05-07 13:24 - 2017-05-07 13:24 - 00003334 _____ C:\WINDOWS\System32\Tasks\SessionAgent hosts: EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). 3) Zrób nowe logi FRST -już bez Shortcut. 4) Napisz, jaka sytuacja? . Edytowane 12 maja 2017 przez Twój_Anioł_Stróż
NorbertBaczyk komentarz 16 maja 2017 Autor komentarz 16 maja 2017 Przepraszam ,że teraz odpisuję lecz nie miałem dostępu do komputera . A więc nie mogę odinstalować tego : SnapDo (HKLM-x32\...\{0F15FDAE-43A9-4558-96CE-2AA31C1B5C83}) (Version: 1.0.0.0 - Resoft) <==== UWAGA Kiedy klikam odinstaluj nic się nie dzieje . Addition.txt FRST.txt
Twój_Anioł_Stróż komentarz 16 maja 2017 komentarz 16 maja 2017 1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0F15FDAE-43A9-4558-96CE-2AA31C1B5C83} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0F15FDAE-43A9-4558-96CE-2AA31C1B5C83} ShortcutWithArgument: C:\Users\Norebrt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Norebrt\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Norebrt\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Norebrt\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% HKU\.DEFAULT\Software\Classes\a6ac1: "C:\WINDOWS\system32\mshta.exe" "javascript:e8El5WXs="7i";SJ0=new ActiveXObject("WScript.Shell");Odew9="8qZyLa";gj9PF=SJ0.RegRead("HKCU\\software\\wtic\\ljhkhdfq");bmWE0o="WIMmkSE";eval(gj9PF);jQfQ82b="n1OM3";" <===== UWAGA RemoveDirectory: C:\ProgramData\locep AppInit_DLLs: C:\ProgramData\locep\Vila-Ity.dll => C:\ProgramData\locep\Vila-Ity.dll [343552 2017-05-16] () AppInit_DLLs-x32: C:\ProgramData\locep\Opentozap.dll => C:\ProgramData\locep\Opentozap.dll [246784 2017-05-16] () HKU\S-1-5-21-1457924769-2434346518-2279483667-1005\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7S9fmppsJYD18aXmsOsL8vHh2helGZFOi-RboTit7wymoiIoGeI7Lmq-R-AQS_enpOUvjQ7Mm2GAWKqGqu3BJP_C-J8EYma_p4c80RzMAahR8QTFcFwlSpw4aJwcw2vPMNRrbpdDYfGEQCIb_kTis2iWkcdBHA,&q={searchTerms} HKU\S-1-5-21-1457924769-2434346518-2279483667-1005\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7S9fmppsJYD18aXmsOsL8vHh2helGZFOi-RboTit7wymoiIoGeI7Lmq-R-AQS_enp89K738vnI4Y3zaDxlLMGEqVV60X2o8H1XGC3wXScP5OPSBLCAudhYhgyhijEo6eA3dp0BtTYNzZyOs-u4dHkXliNs0UKk, SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7S9fmppsJYD18aXmsOsL8vHh2helGZFOi-RboTit7wymoiIoGeI7Lmq-R-AQS_enpOUvjQ7Mm2GAWKqGqu3BJP_C-J8EYma_p4c80RzMAahR8QTFcFwlSpw4aJwcw2vPMNRrbpdDYfGEQCIb_kTis2iWkcdBHA,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1457924769-2434346518-2279483667-1005 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7S9fmppsJYD18aXmsOsL8vHh2helGZFOi-RboTit7wymoiIoGeI7Lmq-R-AQS_enpOUvjQ7Mm2GAWKqGqu3BJP_C-J8EYma_p4c80RzMAahR8QTFcFwlSpw4aJwcw2vPMNRrbpdDYfGEQCIb_kTis2iWkcdBHA,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1457924769-2434346518-2279483667-1005 -> {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7S9fmppsJYD18aXmsOsL8vHh2helGZFOi-RboTit7wymoiIoGeI7Lmq-R-AQS_enpOUvjQ7Mm2GAWKqGqu3BJP_C-J8EYma_p4c80RzMAahR8QTFcFwlSpw4aJwcw2vPMNRrbpdDYfGEQCIb_kTis2iWkcdBHA,&q={searchTerms} FF Homepage: Mozilla\Firefox\Profiles\q5p4qc9i.default -> C:\ProgramData\loceps\ff.HP FF NewTab: Mozilla\Firefox\Profiles\q5p4qc9i.default -> C:\ProgramData\loceps\ff.NT FF SearchPlugin: C:\Users\Norebrt\AppData\Roaming\Mozilla\Firefox\Profiles\q5p4qc9i.default\searchplugins\findit.xml [2017-05-16] R2 locep; C:\ProgramData\\locep\\locep.exe [2053120 2017-05-16] (TODO: <Company name>) [Brak podpisu cyfrowego] 2017-05-16 10:06 - 2017-05-16 10:07 - 00000000 ____D C:\ProgramData\locep 2017-05-16 10:06 - 2017-05-16 10:06 - 00140800 _____ C:\Users\Norebrt\AppData\Local\installer.dat 2017-05-16 10:06 - 2017-05-16 10:06 - 00011568 _____ C:\Users\Norebrt\AppData\Local\InstallationConfiguration.xml 2017-05-16 10:06 - 2017-05-16 10:06 - 00000000 ____D C:\ProgramData\loceps 2017-05-12 00:58 - 2017-05-16 10:06 - 00015603 _____ C:\WINDOWS\SysWOW64\findit.xml 2017-05-12 00:58 - 2017-05-12 00:58 - 03670984 _____ C:\Program Files\Common Files\04jutubr.exe 2017-05-12 00:57 - 2017-05-12 00:57 - 00000000 ____D C:\Program Files\Common Files\lny4xrvj EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Daj z tego raport. 2) Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, .
NorbertBaczyk komentarz 16 maja 2017 Autor komentarz 16 maja 2017 Cały czas coś zmienia stronę startową , wyszukiwarkę oraz strone nowej karty . Addition.txt Fixlog.txt FRST.txt Shortcut.txt
franczakr komentarz 16 maja 2017 komentarz 16 maja 2017 Możesz przeskanować system Malwarebytes Anti Malware i HitmanPro
Twój_Anioł_Stróż komentarz 16 maja 2017 komentarz 16 maja 2017 Z "fixlogu" wynika, że prawie wszystko zostało usunięte (dwie pierwsze linijki zlały się u Ciebie w jedną, więc to nie mogło się wykonać) -ale po restarcie wszystko dalej jest, to wygląda taki, jakbyś zriobił "Przywracanie Systemu". Powtórz usuwanie. Powtórz też użycie Adw-Cleanera. .
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.