Problem z wyskakującymi reklamami

[rege]

Zrobiłem skan logów Otl , bo mam problem z wirusem, gdzie wyskakują mi reklamy. W necie czytałem że jakoś naprawia sie te logi ale niestety sam nie umiem. Proszę o pomoc  .  W załącznikach dodaję loga OTL.txt oraz Extras.txt

Extras.Txt

OTL.Txt

[picasso]

Zasady działu na temat tytułowania tematów (zmieniam tytuł na adekwatniejszy): KLIK. Obowiązkowym logiem jest też GMER.

 

W raportach OTL widzę aktywne adware, stąd pewnie reklamy. Strasza ilość śmieci. Przejdź do usuwania:

 

1. Przez Dodaj/Usuń programy odinstaluj adware: Ask Toolbar, AVG Security Toolbar, Babylon Chrome Toolbar, BrowserProtect, BrowseToSave 1.74, DAEMON Tools Toolbar, Delta Chrome Toolbar, FoxTab PDF Converter, Search Assistant WebSearch 1.74, Searchqu Toolbar, SweetIM for Messenger 3.6, SweetIM Toolbar for Internet Explorer 4.2.

Pozbądź się też: Akamai NetSession Interface (zbędny downloader), Norton Security Scan (pewnie też był instalacją sponsorowaną) i PC Confidential 2008 (program niezgodny z IE8: KB970367).

 

2. Następnie wyczyść po kolei przeglądarki:

- W Google Chrome: w Rozszerzeniach odinstaluj Broowsoee22savee. Ustaw wybraną stronę startową. Wyczyść Historię.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCYYYYYYYYPL&ptb=t2g.I.dDMd80Y1ympbvXRA&ind=2011031204&ptnrS=ZCYYYYYYYYPL&si=&n=77dde6a4&psa=&st=sb&searchfor={searchTerms}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=726&r=2013/04/29&hid=3671019100&lg=EN&cc=PL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={F3FFDA2E-3420-42AE-889E-4CA0EEC96797}
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=iron&s={searchTerms}&f=4
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119535&tt=030912_10ftt_3612_2&babsrc=SP_ss&mntrId=f8da2b2300000000000090e6ba5ba3e5
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCYYYYYYYYPL&ptb=t2g.I.dDMd80Y1ympbvXRA&ind=2011031204&ptnrS=ZCYYYYYYYYPL&si=&n=77dde6a4&psa=&st=sb&searchfor={searchTerms}
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searcrms}
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={9974C7A7-D5BD-4841-9D94-4EB0AD71DF98}&mid=5afe52fdb87e43fda27ef54ee7767c9e-932a4ba611a5999e8d625d68a8de28c588bc9102&lang=pl&ds=ax011&pr=&d=2012-12-16 12:49:58&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/hypercam/{814D26D0-A2C4-4845-BFA8-ECF6B9A052C2}?q={searchTerms}
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=726&r=2013/04/29&hid=3671019100&lg=EN&cc=PL
IE - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={F3FFDA2E-3420-42AE-889E-4CA0EEC96797}
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com: C:\Program Files\ShopperReports3\bin\3.1.71.0\firefox\firefoxtoolbar\extensions [2011-09-15 10:15:30 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\searchpredict@speedbit.com: C:\Program Files\SearchPredict\PRFireFox [2012-03-13 21:34:38 | 000,000,000 | ---D | M]
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found.
O2 - BHO: (no name) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-725345543-1060284298-682003330-1003\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found.
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found
O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Value error.)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe -- (NBService)
DRV - File not found [Kernel | Boot | Stopped] -- -- (mv91xx)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\USER\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\USER\USTAWI~1\Temp\aaudstum.sys -- (aaudstum)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
C:\WINDOWS\tasks\EPUpdater.job
C:\WINDOWS\tasks\Express Files Updater.job
C:\WINDOWS\tasks\Express FilesUpdate.job
C:\WINDOWS\tasks\RegClean Pro_DEFAULT.job
C:\WINDOWS\tasks\RegClean Pro_UPDATES.job
C:\WINDOWS\System32\ealregsnapshot1.reg
C:\Documents and Settings\All Users\Dane aplikacji\avg9
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\Premium
C:\Documents and Settings\All Users\Dane aplikacji\Seeaarchh-NewTaab
C:\Documents and Settings\All Users\Dane aplikacji\SoftSafe
C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit
C:\Documents and Settings\USER\Dane aplikacji\BabSolution
C:\Documents and Settings\USER\Dane aplikacji\chrtmp
C:\Documents and Settings\USER\Dane aplikacji\DVDVideoSoft
C:\Documents and Settings\USER\Dane aplikacji\ExpressFiles
C:\Documents and Settings\USER\Dane aplikacji\facemoods.com
C:\Documents and Settings\USER\Dane aplikacji\NCdownloader
C:\Documents and Settings\USER\Dane aplikacji\OpenCandy
C:\Documents and Settings\USER\Dane aplikacji\PriceGong
C:\Documents and Settings\USER\Dane aplikacji\ShopperReports3
C:\Documents and Settings\USER\Dane aplikacji\Toolbar4
C:\Documents and Settings\USER\Ustawienia lokalne\Dane aplikacji\promo.exe
C:\Documents and Settings\USER\Moje dokumenty\PCSUUpdate.exe
C:\Program Files\WebSearch
C:\Program Files\Mozilla Firefox\extensions\adapter@babylontc.com
C:\Program Files\Mozilla Firefox\extensions\ocr@babylon.com
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
netsh firewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i na wszelki wypadek też zaległy GMER. Przed uruchomieniem GMER należy usunąć emulator i sterownik SPTD: KLIK.

 

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (aopik8fs)

DRV - [2011-04-07 18:30:38 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

Dołącz log z usuwania OTL z punktu 3 oraz log utworzony przez AdwCleaner.

 

 

 

.

[rege]

Dziękuję ci bardzo           ! 

GMER nie przesyłam bo nie ma takiej potrzeby, ponieważ za niedługo wgrywam nowego Windows'a

OTL.Txt

AdwCleanerS2.txt

[picasso]

1. Nie wygląda na to byś zresetował Firefox. Brak oznak, poza tym w Firefox nadal widać adware. Proszę to wykonać. Po tym:

 

2. Log z OTL źle zrobiony, dlatego waży tak dużo i ma multum zbędnych informacji. Opcje Pliki utworzone / zmodyfikowane w przeciągu ustawiłeś na Wszystko, a ma być Młodsze niż. Proszę go zrobić jeszcze raz w poprawny sposób i podmienić załącznik w poście powyżej.

 

 

GMER nie przesyłam bo nie ma takiej potrzeby, ponieważ za niedługo wgrywam nowego Windows'a

 

Ale to nielogiczne co mówisz. W takiej sytuacji to całe czyszczenie tutaj było pozbawione sensu i należało po prostu przyśpieszyć stawianie nowego systemu... Dlaczego chcę sprawdzić GMER: system był tak zaśmiecony, że nie wiadomo czy nie ma czegoś ukrytego. Ukryty rootkit może np. kraść hasła. "Za niedługo" wgrywany Windows, ale to wystarczający czas, by się coś stało, jeśli jest coś ukrytego. Ponawiam prośbę o GMER, system należy sprawdzić. Uspokoję się, gdy zobaczę log i nic podejrzanego w nim.

 

 

 

.

Edytowane 11 Czerwca 2013 przez picasso
12.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso