Niechciane reklamy

[Daniel2000]

Od niedawna po wejściu w każdą stronę internetową wyskakują reklamy otwierające się w nowej karcie na całą stronę np. jaedna z reklam http://www.lockyourhome.com/link/wrap-0.01.html?u=http%3A%2F%2Fad.adserverplus.com%2Fiframe3%3F6GngGFjvRQAWyrMAAAAAAB6tKwAAAAAAAgAAAAAAAAAAAP8AAAAHEIaIbQAAAAAAquguAAAAAAABYTkAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAzghgAAAAAAAICAwAAgD8AAAAAAAAA0D8AAAAAAADQP2ZmZmZmZtY.ZmZmZmZm1j8AAAAAAADgPwAAAAAAAOA.AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD6ILkikjYqDpGhrtfUtjjK1dJ7Phviuqt18MRbAAAAAA%3D%3D%2C%2Chttp%253A%252F%252Fwww.lockyourhome.com%252Flink%252Fr%252Fpquery-0.0.1.html%253Fpeid%253D889349%2526aff%253D1060-2000%2526brwsr%253Dlockyourhome%2526purl%253Dwww.lockyourhome.com%2CB%253D10%2526H%253Dhttp%25253A%25252F%25252Fwww.lockyourhome.com%25252Flink%25252Fr%25252Fpquery-0.0.1.html%25253Fpeid%25253D889349%252526aff%25253D1060-2000%252526brwsr%25253Dlockyourhome%252526purl%25253Dwww.lockyourhome.com%2526I%253D1060-2000%2526M%253D2%2526S%253Dlockyourhome%2526Z%253D0x0%2526_salt%253D2329789728%2526e%253D889349%2526r%253D0%2526y%253D28%2Cc55cc864-ebbd-11e2-95c0-78e3b5196fec%2C1373721106707.

Na wszelki wypadek podaję model komputera HP Pavilion dv7 4130ew.

Skanowałem cały system programem antywirusowym Avast FREE Antivirus i skanowanie pełne nic nie wykryło.

Proszę o szybką pomoc.

[skamil29]

Wrzuc logi OTL/FRST, GMER potrzebne jesli jest infekcja. Pozatym mozesz spróbowac włączenie dodatku adblocka w firefox i przeskanowac komputer programem adwcleaner. Najwazniejsze wrzuc logi.

[Daniel2000]

Ok dzięki już nie wyskakują.

[picasso]

Daniel2000, proszę podaj wymagane raporty OTL / FRST. A skoro użyłeś AdwCleaner, proszę też o log który program utworzył na dysku C.

 

Temat przenoszę do działu diagnostyki Malware.

 

 

 

.

[Daniel2000]

Nie rozumiem.

[picasso]

Daniel2000, ale co tu jest niejasne? Zgłaszałeś problem reklam, który niby ustał po Twoich niesprecyzowanych akcjach. Toteż proszę o podanie logów, by sprawdzić co robił AdwCleaner i czy wszystko poprawnie usunięte.

 

 

 

.

[Daniel2000]

Program pobrałem wyszukał mi coś tam i dałem USUŃ. Komputer zrestartował się i pliki wyszukane zostały usunięte. Reklamy już mi nie wyskakują.

[picasso]

Wiem o tym i proszę byś mi przedstawił logi (OTL + FRST + log utworzony przez AdwCleaner na dysku C). A dlatego, gdyż musi być sprawdzone co było usuwane, w jaki sposób i czy to na pewno wszystko. Notabene: użycie AdwCleaner bez deinstalacji adware (o ile to możliwe) to nie jest 100% poprawna metoda.

 

 

 

.

[Daniel2000]

To chyba te logi:

AdwCleanerR1.txt

AdwCleanerR2.txt

AdwCleanerR3.txt

[picasso]

Daniel2000, to są raporty AdwCleaner z opcji Szukaj, te z usuwania mają oznaczenie "S" w nazwie. I konsekwentnie omijasz zrobienie ogólnych raportów systemowych z OTL i FRST. Podałam linki do instrukcji tworzenia raportów.

 

 

.

[Daniel2000]

Raporty AdwCleaner:

AdwCleanerS1.txt

AdwCleanerS2.txt

[picasso]

Daniel2000, ale dlaczego Ty nie chcesz mi podać logów z OTL i FRST? Pięć razy padała o to prośba. Logi z AdwCleaner tylko tyle powiedzą co było usuwane, ale to nie jest skan systemu i nie pozwoli to ocenić czy wszystko zostało poprawnie usunięte.

 

 

.

[Daniel2000]

Żadnych logów nie dawałem ponieważ komputer nie jest zainfekowany wirusem, więc nie podam żadnych logów.

[picasso]

Daniel2000, ponawiam prośbę o raporty. Nie rozumiem w ogóle Twojego podejścia. W systemie było adware (to też rodzaj infekcji). Użyłeś AdwCleaner, który tylko pokazuje co usuwał, ale nie pokazuje jak wygląda finalny stan Windows i przeglądarek. Raporty służą m.in. do dokładnej oceny czy adware z preferencji przeglądarek usunięte poprawnie i czy nie należy czegoś jeszcze poprawić. AdwCleaner może coś pominąć, AdwCleaner może czegoś nie dokończyć.

 

 

.

[Daniel2000]

No to co mam robić?

[picasso]

Daniel2000, przecież podawałam linki:

 

proszę podaj wymagane raporty OTL / FRST

 

.

[Daniel2000]

Czyli mam je pobrać i sprawdzić i powinienem jutro odpowiedzieć.

 

Raporty OTL i FRST:

Extras.Txt

OTL.Txt

Addition.txt

[picasso]

Dałeś mi dwa razy plik OTL Extras, a nie ma głównego raportu FRST...

 

Wg moich spodziewań reklamodawcze adware nie zostało usunięte do końca. Kupa śmieci w Google Chrome, w innych częściach systemu też śmieci. Przeprowadź następujące działania:

 

1. Deinstalacje adware:

- Przez Panel sterowania: Qtrax Player, VuuPC Packages, WinZipper. I czy przypadkiem MyPC Backup to także nie jest jakaś niecelowa instalacja?

- W Google Chrome w Rozszerzeniach: Amazon Shopping Assistant by Spigot, Ebay Shopping Assistant by Spigot, DealPly Shopping, Domain Error Assistant, Lyrmix, Slick Savings, GoPhoto.it. Następnie wejdź do zarządzania wyszukiwarkami, ustaw Google jako domyślną, po tym usuń z listy qvo6.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

2. Deinstalacje nadmiaru skanerów. Skoro masz Avast, to pozbądź się Ad-aware oraz niespecjalnie ciekawego IObit Malware Fighter. System mniej się będzie męczył.

 

3. Otwórz Notatnik i wklej w nim:

 

Task: {03A035EC-AD78-4AD8-90A5-17BD8EA7EFE5} - System32\Tasks\DSite => C:\Users\hp\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE No File
Task: {130E987C-C17E-45C2-A71F-1137D66EE3A2} - System32\Tasks\Funmoods => C:\Users\hp\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE No File
Task: {228029A1-3C45-4610-B8F0-56F7BA76A761} - \Program aktualizacji online firmy Adobe. No Task File
Task: {690D186E-86D8-4487-B1CC-D87072E2EC8A} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe No File
Task: {EA9033EA-D02D-4B8B-A83A-4D4A3707BA02} - System32\Tasks\DealPlyUpdate => C:\Program No File
Task: {FB466942-DC4C-4800-B884-56583AC78DB8} - System32\Tasks\EPUpdater => C:\Users\hp\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe No File
CMD: sc delete WsysSvc
CMD: netsh advfirewall reset
Reg: reg delete HKCU\Software\mozilla\Firefox\Extensions /v lyrmix@lyrmix.net /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00e71626-0bef-11dc-8314-0864264c9a64}" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00e71626-0bef-11dc-8314-0864264c9a64}" /f
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {66E5AC80-0B66-4B14-AAC3-76A9A179698E} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {66E5AC80-0B66-4B14-AAC3-76A9A179698E} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {66E5AC80-0B66-4B14-AAC3-76A9A179698E} /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{425ED333-6083-428a-92C9-0CFC28B9D1BF}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{425ED333-6083-428a-92C9-0CFC28B9D1BF}" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{425ED333-6083-428a-92C9-0CFC28B9D1BF}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Users\hp\AppData\Local\Lollipop
C:\Users\hp\AppData\Roaming\DownloaderGold
C:\Users\hp\AppData\Roaming\iSafe
C:\Users\hp\AppData\Roaming\eCyber
C:\Users\hp\AppData\Roaming\WinZipper
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper
C:\ProgramData\eSafe
C:\Program Files (x86)\iSafe
C:\Program Files (x86)\Przyspiesz
C:\Program Files (x86)\WinZipper
C:\Program Files (x86)\mozilla firefox\searchplugins\delta-homes.xml
C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml
C:\Users\hp\Documents\Chica Passwords
C:\Windows\system32\%LocalAppData%
C:\Windows\SysWow64\%LOCALAPPDATA%
C:\Windows\DeleteOnReboot.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

4. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + FRST (bez Addition). Dołącz fixlog.txt.

 

 

 

.

[Daniel2000]

Oto logi OTL i FRST:

FRST.txt

OTL.Txt

[picasso]

Jeszcze dołącz fixlog.txt, który FRST utworzył podczas usuwania.

[Daniel2000]

Ale mi utworzył tylko jeden log i nic więcej.

[picasso]

Teraz widzę, że ... w ogóle opcja Fix nie wykonana. Mówiłam:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

A u Ciebie FRST uruchomiony z tej ścieżki:

 

Running from C:\Users\hp\Downloads\Konserwacja

 

... a plik naprawczy jest w innej:

 

2013-07-19 22:57 - 2013-07-19 22:57 - 00003012 _____ C:\Users\hp\Downloads\fixlist.txt

 

Plik fixlist.txt ma być obok FRST w dokładnie tej samej ścieżce, w przeciwnym wypadku narzędzie nie uruchomi skryptu. Powtarzaj operację z opcją Fix, po tym zrób nowe logi OTL + FRST.

 

 

.

[Daniel2000]

Ale jak?

[picasso]

Masz położyć plik fixlist.txt obok narzędzia FRST. Skoro uruchamiasz FRST ze ścieżki C:\Users\hp\Downloads\Konserwacja, to i plik fixlist.txt też tam ma być. Gdy oba pliki będą w tym samym folderze, uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt i ten przedstawiasz. Następnie robisz nowe logi OTL + FRST.

 

 

.

[Daniel2000]

Ale gdzie jest ten Fix?