Reklamy w przeglądarkach

[anonimek]

Jak w temacie, serdecznie proszę o sprawdzenie logów, gdyż mam problem z uciążliwymi reklamami w lewym dolnym rogu ekranu podczas korzystania z jakiejkolwiek przeglądarki. Co więcej czasem zamiast wyświetlenia jakiejś konkretnej strony otwiera się inna też z niechcianą treścią i jest to dość irytujące. Pragnę się tego jak najszybciej pozbyć i chciałem nawet sam sobie poradzić, ale

ale jestem kompletnie zielony w tych sprawach, a doczytałem gdzieś, że lepiej skorzystaj z fachowej pomocy bo w innym przypadku można narobić jeszcze większego bałaganu. Z tego powodu załączam 2 pliki otl.txt i extras.txt

 

Ok, przepraszam:) Mam nadzieję, że teraz jest jak należy.

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

1. Przez Panel sterowania odinstaluj adware Delta Chrome Toolbar, Delta toolbar, EbookiBrowseu, Update for Video Converter. Poza tym, przegiąłeś z antywirusami, wspólnie działają Avast + AVG, jeden z nich odinstaluj.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome, wejdź do ustawień i w Rozszerzeniach usuń BitTorrentBar.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={21C81857-BBC7-11E1-AE49-00235438F767}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=120660&tt=070313_9111gen&babsrc=SP_ss&mntrId=8e3af0c600000000000000215d2ff327
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392
IE - HKCU\..\SearchScopes\{B7E4838C-5A77-4D1C-9C7A-DE84017ED66C}: "URL" = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={21C81857-BBC7-11E1-AE49-00235438F767}
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}: C:\Program Files\Common Files\DVDVideoSoft\plugins\ff\
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Users\wzur\AppData\Local\Temp\5952.sys -- (5952)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
@C:\Windows:5CEDC594BB36B61E
C:\Windows\tasks\Vzyzllr.job
C:\Program Files\BrowseToSave
C:\ProgramData\Barowasse2saave
C:\ProgramData\SoftSafe
C:\Users\wzur\AppData\Roaming\BabMaint.exe
C:\Users\wzur\AppData\Roaming\BabSolution
C:\Users\wzur\AppData\Roaming\Babylon
C:\Users\wzur\AppData\Roaming\DSite
C:\Users\wzur\AppData\Roaming\DVDVideoSoft
C:\Users\wzur\AppData\Roaming\Luutko
C:\Users\wzur\AppData\Roaming\Naow
C:\Users\wzur\AppData\Roaming\Oxki
C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[anonimek]

Wykonane wg instrukcji.

OTL.Txt

adw.txt

[picasso]

Coś tu poszło nie tak. Skrypt się nie wykonał w całości, tak jakby sekcja :Files nie przetworzona wcale. Pokaż mi log z wynikami usuwania, jest w katalogu C:\_OTL. By log wszedł w załącznik, musisz mu ręcznie zmienić nazwę rozszerzenia z *.LOG na *.TXT.

[anonimek]

Oto log.

 

 

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C360-6118-11DC-9C72-001320C79847}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B7E4838C-5A77-4D1C-9C7A-DE84017ED66C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B7E4838C-5A77-4D1C-9C7A-DE84017ED66C}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C360-6118-11DC-9C72-001320C79847}\ not found.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}\ not found.
File C:\Program Files\Common Files\DVDVideoSoft\plugins\ff not found.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com deleted successfully.
File C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird not found.
Service Lavasoft Kernexplorer stopped successfully!
Service Lavasoft Kernexplorer deleted successfully!
File C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys not found.
Service 5952 stopped successfully!
Service 5952 deleted successfully!
File C:\Users\wzur\AppData\Local\Temp\5952.sys not found.
File EY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] not found.
File EY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] not found.
ADS C:\Windows:5CEDC594BB36B61E deleted successfully.
File ptytemp] not found.

OTL by OldTimer - Version 3.2.69.0 log created on 04182013_211649

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

 

[picasso]

Nie mam pojęcia co się dzieje, to już drugi temat, w którym wklejony skrypt OTL z posta do okna jest kompletnie obięty... Praktycznie połowa nie wykonana, wszystko od komendy :Reg w dół. Powtórka (z poprawką na to co już zrobił AdwCleaner):

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej (patrz uważnie, czy w oknie OTL wszystko wkleiło się 1:1 jak w poście):

:Files
C:\Windows\tasks\Vzyzllr.job
C:\ProgramData\Barowasse2saave
C:\Users\wzur\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
C:\Users\wzur\AppData\Roaming\mozilla\firefox\profiles\0\extensions\OneClickDownloader@OneClickDownloader.com.xpi
C:\Users\wzur\AppData\Roaming\DSite
C:\Users\wzur\AppData\Roaming\DVDVideoSoft
C:\Users\wzur\AppData\Roaming\Luutko
C:\Users\wzur\AppData\Roaming\Naow
C:\Users\wzur\AppData\Roaming\Oxki

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart.

2. AVG niepełnie odinstalowany. Zastosuj specjalizowany usuwacz AVG Remover.

3. Zrób nowy log OTL z opcji Skanuj oraz dołącz log z wynikami usuwania OTL.



.

[anonimek]

OTL, log w załączniku i wyniki usuwania poniżej.

 

 

All processes killed
========== FILES ==========
C:\Windows\tasks\Vzyzllr.job moved successfully.
C:\ProgramData\Barowasse2saave\data folder moved successfully.
C:\ProgramData\Barowasse2saave folder moved successfully.
C:\Users\wzur\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\searchplugin folder moved successfully.
C:\Users\wzur\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\Plugins folder moved successfully.
C:\Users\wzur\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\modules folder moved successfully.
C:\Users\wzur\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\META-INF folder moved successfully.
C:\Users\wzur\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\defaults folder moved successfully.
C:\Users\wzur\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\components folder moved successfully.
C:\Users\wzur\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\chrome folder moved successfully.
C:\Users\wzur\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} folder moved successfully.
C:\Users\wzur\AppData\Roaming\mozilla\firefox\profiles\0\extensions\OneClickDownloader@OneClickDownloader.com.xpi moved successfully.
C:\Users\wzur\AppData\Roaming\DSite\UpdateProc folder moved successfully.
C:\Users\wzur\AppData\Roaming\DSite folder moved successfully.
C:\Users\wzur\AppData\Roaming\DVDVideoSoft\logs folder moved successfully.
C:\Users\wzur\AppData\Roaming\DVDVideoSoft\FreeYouTubeToMP3Converter\Themes folder moved successfully.
C:\Users\wzur\AppData\Roaming\DVDVideoSoft\FreeYouTubeToMP3Converter\History folder moved successfully.
C:\Users\wzur\AppData\Roaming\DVDVideoSoft\FreeYouTubeToMP3Converter folder moved successfully.
C:\Users\wzur\AppData\Roaming\DVDVideoSoft\backup folder moved successfully.
C:\Users\wzur\AppData\Roaming\DVDVideoSoft folder moved successfully.
C:\Users\wzur\AppData\Roaming\Luutko folder moved successfully.
C:\Users\wzur\AppData\Roaming\Naow folder moved successfully.
C:\Users\wzur\AppData\Roaming\Oxki folder moved successfully.
File\Folder :Reg not found.
File\Folder [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] not found.
File\Folder Start Page"="about:blank not found.
File\Folder [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] not found.
File\Folder Start Page"="about:blank not found.
File\Folder [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] not found.
File\Folder DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A} not found.
File\Folder [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] not found.
File\Folder DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A} not found.
File\Folder [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] not found.
File\Folder :Commands not found.
File\Folder [emptytemp] not found.

OTL by OldTimer - Version 3.2.69.0 log created on 04192013_025152

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

 

OTL.Txt

[picasso]

Dobrawdy nie wiem co jest grane, znów skrypt wykonany tylko w części jednego bloku, :Reg i :Commands nie... Rozbij zadania:

 

1. Lokalizacje tymczasowe wyczyść za pomocą TFC - Temp Cleaner.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{F53C93F1-07D5-430c-86D4-C9531B27DFAF}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]

 

Klik w Wykonaj skrypt. Wklej do posta wyniki skryptu.

 

 

 

.

[anonimek]

Wynik skryptu

 

 

========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions\\{F53C93F1-07D5-430c-86D4-C9531B27DFAF} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F53C93F1-07D5-430c-86D4-C9531B27DFAF}\ not found.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]"Start Page"="about:blank"[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] /E : value set successfully!

OTL by OldTimer - Version 3.2.69.0 log created on 04192013_101441

 

[picasso]

anonimek, powiedz mi w jaki sposób przeklejasz treści z posta do OTL i vice versa, bo dzieją się tu dziwactwa. Znów coś nie tak, od trzeciej linii wszystko sklejone razem....

[anonimek]

Najzwyczajniej w świecie ctrl+c i ctrl+v. Sam pomyślałem już, że to nie może tak być, ale cóż... wklejam to co wyszło. Może po prostu robię coś źle - nie wiem.

[picasso]

Przychodzi mi na myśl tylko jedno: miesza nowy silnik forum i tryb edycji w którym wysłałam post. To samo wysłane z poziomu WYSIWYG a czystego BBCode to nie to samo pod maską, przejścia do nowej linii są inaczej oznaczane i przy CTRL+V zanotowałam w Firefox dziwne rzeczy. Więc zróbmy próbę, wysyłam post teraz w czystym BBCode:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{F53C93F1-07D5-430c-86D4-C9531B27DFAF}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]

 

CTRL+C i CTRL+V w oknie OTL, czy treść jest identyczna jak w poście (chodzi o przejścia do nowej linii)? Klik w Wykonaj skrypt i przeklej do posta wyniki. Nieważne, że dwa pierwsze już niejako zrobione, interesuje mnie czy przetworzone zostaną wszystkie linie bez sklejania.

 

 

 

.

[anonimek]

Wygląda to tak.

 

========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions\\{F53C93F1-07D5-430c-86D4-C9531B27DFAF} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F53C93F1-07D5-430c-86D4-C9531B27DFAF}\ not found.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.

OTL by OldTimer - Version 3.2.69.0 log created on 04192013_231144

[picasso]

Zadanie wykonane pomyślnie. W związku z tym przejdź do wykończeń:

 

1. Plik HOSTS ma złe atrybuty oraz zawartość rozmijającą się z domyślną postacią w Windows 7. Uruchom GrantPerms i w oknie wklej:

 

C:\Windows\System32\drivers\etc\hosts

 

Klik w Unlock. Następnie zresetuj plik HOSTS narzędziem Fix-it: KLIK.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder Stare dane programu Firefox z Pulpitu, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj system i wyliczone poniżej aplikacje: KLIK. Wg raportu są tu wersje:

 

Professional (Version = 6.1.7600) - Type = NTWorkstation

Internet Explorer (Version = 9.0.8112.16421)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.6)

"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

"ENTERPRISE" = Microsoft Office Enterprise 2007

"Mozilla Firefox 18.0.1 (x86 pl)" = Mozilla Firefox 18.0.1 (x86 pl)
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)

 

 

 

.

[anonimek]

Zrobione, niestety reklamy wciąż mnie nękają.

[picasso]

W związku z tym proszę o nowy zestaw raportów OTL.

[anonimek]

Proszę.

OTL.Txt

Extras.Txt

[picasso]

anonimek, problem występuje, bo znowu zainstalowałeś śmieci. Ja wszystko czyściłam, a tu w nowym logu widać: zainstalowane adware RelevantKnowledge oraz zaśmiecony Google Chrome. RelevantKnowledge prawdopodobnie wszedł w instalatorze All Free Video Converter, bo pliki tworzone w podobnym przedziale czasowym:

 

[2013-04-23 00:14:44 | 000,000,000 | ---D | C] -- C:\Program Files\RelevantKnowledge

[2013-04-23 00:14:42 | 000,000,000 | ---D | C] -- C:\Users\wzur\AppData\Roaming\All Free Video Converter

[2013-04-23 00:14:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\All Free Video Converter

[2013-04-23 00:14:02 | 000,000,000 | ---D | C] -- C:\Program Files\All Free Video Converter

[2013-04-23 00:13:41 | 000,000,000 | ---D | C] -- C:\Users\wzur\AppData\Local\Programs

[2013-04-23 00:13:11 | 005,033,112 | ---- | C] (AllFreeVideoSoft Co., Ltd. ) -- C:\Users\wzur\Desktop\AllFreeVideoConverter.exe

 

Robota od początku:

 

1. Przez Panel sterowania odinstaluj adware RelevantKnowledge.

 

2. Otwórz Google Chrome i wejdź do ustawień. W Rozszerzeniach odinstaluj BBrowse2saovve, BitTorrentBar, SearchNewTab. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy Mixi.DJ Search.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\Babylon
C:\ProgramData\SoftSafe
C:\ProgramData\SearchNewTab
C:\ProgramData\BBrowse2saovve
C:\ProgramData\InstallMate
C:\Users\wzur\AppData\Roaming\Babylon
C:\Users\wzur\AppData\Roaming\CompuClever
C:\Users\wzur\AppData\Roaming\Mozilla
C:\Program Files\CompuClever
C:\Program Files\Mozilla Firefox
C:\Windows\System32\drivers\etc\hosts.old
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Uruchom AdwCleaner i zastosuj Usuń.

 

5. Skoryguj wyszukiwarki IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
 

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

6. Zrób nowy log OTL z opcji Skanuj (bez Extras). Zaznacz opcję Pomiń pliki Microsoftu. Dołącz log z usuwania OTL oraz ten utworzony przez AdwCleaner.

 

 

 

.

[anonimek]

Cóż... chyba nie radzę sobie z weryfikacją tego co mógłbym bezpecznie zainstalować.

Przesyłam komplet:

OTL.Txt

AdwCleanerS1.txt

log.txt

[picasso]

Zadania pomyślnie wykonane. Finalizuj, tak jak poprzednio:

 

1. Usunięcie narzędzi: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Czyszczenie folderów Przywracania systemu: KLIK.

 

 

 

.

[anonimek]

Ok:) wykonano, ale pomimo braku jakichkolwiek instalacji, problem nadal istnieje.

[picasso]

Sprawdź co widzi Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, nie usuwaj i ustaw opcję Skip. TDSSKiller stworzy na dysku C log. Przedstaw go.

[anonimek]

Proszę

TDSSKiller.2.8.16.0_03.05.2013_10.30.27_log.txt

[picasso]

I wszystko jasne, ten taki wątek widzialny poprzednio w GMER w sekcji Threads jest od rootkita. Zastanawiał mnie kurcze, bo rootkit Rloader niekiedy ma minimalne oznaki w GMER.

 

1. Uruchom TDSSKiller ponownie, tym razem dla wyniku Virus.Win32.Rloader.a wyasygnuj akcję Cure. Zresetuj system, by zatwierdzić leczenie.

 

2. Zrób ponowny skan w TDSSKiler. Jeśli nic nie wykryje, raportu nie zamieszczaj, tylko wyraźnie mi się tu wypowiedź czy ustał problem przekierowań.

 

 

.

[anonimek]

Udało się Przekierowania ustały, reklamy zniknęły i wygląda na to, że wszystko jest tak jak należy. Dziękuję za pomoc i poświęcenie czasu:)