Reklamy w przeglądarce

[pawelkkkk]

Dzień dobry

Proszę o pomoc w usunięciu wyświetlających się reklam w przeglądarkach oraz kontrolę systemu pod kątem obecności wirusów. Niektóre strony nie otwierają się czasem w przeglądarkach, a poza tym jest problem z wyświetlającymi się reklamami w przeglądarkach. Dodatkowo od czasu do czasu komputer sam się resetuje.

 

Pozdrawiam

Paweł

Addition.txt

FRST.txt

OTL.Txt

[picasso]

Dodatkowo od czasu do czasu komputer sam się resetuje.

To nie jest związane z reklamami. Wątek do innego działu. Diagnostyka w punkcie 5 ogłoszenia: KLIK. I w Dzienniku zdarzeń jest taki błąd:

 

Error: (01/10/2014 09:44:08 AM) (Source: Microsoft-Windows-Kernel-Power) (User: )

Description: Nastąpiło przejście systemu do stanu hibernacji z powodu krytycznego zdarzenia termicznego.

Czas hibernacji = 2014-01-10T08:44:08.954740800Z
 

Strefa termiczna ACPI = ACPI\ThermalZone\TZ01
 

_HOT = 368 K

 

Proszę o pomoc w usunięciu wyświetlających się reklam w przeglądarkach oraz kontrolę systemu pod kątem obecności wirusów.

Są tu śmieci adware Sweet / Yoonto, w tym w Firefox lewe rozszerzenie Easy YouTube Video Downloader: KLIK. To rozszerzenie i tak jest martwe, po zdemaskowaniu procederu reklamodawczego firma je usunęła. Po tym kątem przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

URLSearchHook: HKCU - (No Name) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No File
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={E0C3B5B3-5906-45BD-AC54-11D5CB19E4C5}
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240
SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={E0C3B5B3-5906-45BD-AC54-11D5CB19E4C5}
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=113679&tt=270912_nocpc_3912_2&babsrc=SP_ss&mntrId=40700386000000000000c217fe885f8a
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=113679&tt=270912_nocpc_3912_2&babsrc=SP_ss&mntrId=40700386000000000000c217fe885f8a
SearchScopes: HKCU - {7380D900-F15F-412D-94D7-CDCA77283638} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=DDA3F6CF-97B4-438D-B936-C35CFB4A9899&apn_sauid=41E1890B-0F83-4E08-8F58-A0EFB82A4E8E
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No File
Toolbar: HKCU - No Name - {30F9B915-B755-4826-820B-08FBA6BD249D} - No File
Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\EWA\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-06-12]
Task: {0F119FE7-AA7D-4798-BDF4-94386BC4C911} - System32\Tasks\{7DFCEED7-A660-41C2-8047-FE519D6AC483} => C:\Program Files (x86)\Counter-Strike\cstrike.exe
Task: {1238E87F-1AD7-47A3-86EB-97C9BAEC25C7} - System32\Tasks\{6AA318A8-6506-42BE-BE01-C904D45DB17B} => C:\Users\EWA\Documents\Chicken Invaders 3 Xmas\CI3Xmaslol.exe
Task: {1EBBF3CB-DED2-4559-9098-514BF344FF00} - System32\Tasks\{5667FA46-6FFF-4DDF-A10B-032323DFB4B4} => C:\Users\EWA\Documents\Chicken Invaders 3 Xmas\CI3Xmaslol.exe
Task: {44721CA0-CFF0-41DF-A6E9-4E222B206D47} - System32\Tasks\{6D5FF3E3-AA33-4E70-894B-A965B8C7B0D5} => C:\Users\EWA\Documents\Chicken Invaders 3 Xmas\CI3Xmaslol.exe
Task: {4B4C60B7-13B7-4DF4-998B-497DADEDE53D} - System32\Tasks\{89926498-9F8F-4F08-967D-C9B726AD7185} => C:\Users\EWA\Documents\Chicken Invaders 3 Xmas\CI3Xmaslol.exe
Task: {51AF7EDF-A363-4585-BD65-5A1BE6551D12} - System32\Tasks\{C71C00C8-F6EC-45F2-9B7B-98319B9382E1} => C:\Program Files (x86)\Counter-Strike\cstrike.exe
Task: {53232041-37D4-4854-B0A1-B4E11C8B7E80} - System32\Tasks\{C8DC4E47-F019-44F8-BDEF-FAB1DEC18CFC} => C:\Program Files (x86)\Counter-Strike\cstrike.exe
Task: {93672AA8-2301-4A44-9D1B-73821816053A} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
Task: {A5ADCED9-F076-426D-BA5A-94506F1FB6B6} - System32\Tasks\{F20CCC05-4EB7-430F-B818-8CDBAC96BB41} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar
Task: {B154F4C9-4BC5-43D9-8187-4AD13634EEDD} - System32\Tasks\{97AEAE0B-ECB4-4FD8-84C1-16D7680152B1} => C:\Users\EWA\Downloads\Pijaczek_5.35_alfa-beta_analfabeta_hahaha_by_kurpiq.exe
Task: {BED268BA-823F-4F93-82C6-64B1F576AAF3} - System32\Tasks\{06E8BF83-BD4B-4918-911A-EF763332564E} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar
Task: {CAD8634D-B525-40AB-987D-47FEA540210B} - System32\Tasks\{716600E3-1CA9-461C-96AD-C46C0672268A} => C:\Program Files (x86)\Counter-Strike\cstrike.exe
Task: {D516BC7D-1248-4A93-9606-1AE0111F0266} - System32\Tasks\{7612AA30-0C5F-48AA-BEB2-BC2607C80A37} => C:\Program Files (x86)\Counter-Strike\cstrike.exe
Task: {E2E7B8C5-856F-4773-A895-28E827A1BA19} - System32\Tasks\{8B9BED87-348F-4599-A4C7-E1F9B80B3979} => Firefox.exe
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x]
U3 mbr; \??\C:\Users\EWA\AppData\Local\Temp\mbr.sys [x]
C:\Users\EWA\AppData\Local\Temp*.html
C:\Users\EWA\AppData\Roaming\_MDLogs
C:\Windows\System32\Tasks\{31A01333-A491-42F6-8C12-5E0ACC605A7E}
C:\Windows\System32\Tasks\{65B0100C-C1F8-4B6B-B7DE-1B21A7AECD10}
C:\Windows\System32\Tasks\{83A838DE-F276-4A8F-8EDC-C652BD6E3B2F}
C:\Windows\System32\Tasks\{781FC8E1-B8C1-4058-AE3B-58A5628D3DB0}
C:\Windows\System32\Tasks\{CB5DBDFA-2846-482A-992B-B2B1B0E3A516}
C:\Windows\System32\Tasks\{D4F35790-68EE-4086-B059-0E9C3109B9C2}
C:\Windows\System32\Tasks\{DBB086BA-88A6-49F4-B84F-1BE701F19AF5}

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj: Qtrax Player, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.0.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

4. Wyczyść Google Chrome z adware:

• Ustawienia > karta Rozszerzenia > odinstaluj SweetIM for Facebook (o ile nadal będzie po ogólnych deinstalacjach)
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasłanie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
• Ustawienia > karta Historia > wyczyść

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Uruchom TFC - Temp Cleaner.

 

7. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[pawelkkkk]

Dziękuję za odpowiedź. Logi w załączniku. Zastanawiam się, czy nie popełniłem błędu wyłączając część wpisów w autostarcie i przeglądarkach programem Ccleaner. Czy Ty widzisz takie wpisy? Czy po czyszczeniu będę mógł je wszystkie lub niektóre z nich bezpiecznie włączyć?

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko zrobione i możemy kończyć:

 

1. Przed usunięciem FRST podaj mi jeszcze dane na temat usługi EasyBits, gdyż FRST pokazują ją w niepoprawny sposób. Otwórz Notatnik i wklej w nim:

 

Reg: reg export HKLM\SYSTEM\CurrentControlSet\Services\ezSharedSvc C:\Users\EWA\Desktop\EasyBits.reg

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. NaPulpicie powstanie plik EasyBits.reg, shostuj go gdzieś i podaj link do tego. Po pokazaniu tych danych przejdź dalej:

 

2. Przez SHIFT+DEL skasuj FRST i foldery:

 

C:\FRST

C:\Users\EWA\Desktop\Stare dane programu Firefox

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej programy: KLIK / KLIK. Wg raportu są tu zainstalowane wersje:

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox

Adobe Reader X (10.1.8) - Polish (x32 Version: 10.1.8 - Adobe Systems Incorporated)

Gadu-Gadu 10 (x32 Version: - GG Network S.A.)

Google Chrome (x32 Version: 31.0.1650.63 - Google Inc.)

Java 7 Update 45 (x32 Version: 7.0.450 - Oracle)

 

 

Zastanawiam się, czy nie popełniłem błędu wyłączając część wpisów w autostarcie i przeglądarkach programem Ccleaner. Czy Ty widzisz takie wpisy? Czy po czyszczeniu będę mógł je wszystkie lub niektóre z nich bezpiecznie włączyć?

Ale do czego zmierzasz z tymi wyłączonymi wpisami? Jaki to ma mieć tu związek? Nie, nie widzę wpisów wyłączonych (via msconfig lub narzędzie trzecie), gdyż raporty adresują tylko to co ma znaczenie (wpisy aktywnie ładowane). I nie mogę ocenić czy możesz je "bezpiecznie włączyć", skoro nie mam żadnych danych co i za pomocą czego wyłączałeś. Tak więc: co i czym?

 

 

.

[pawelkkkk]

Wpisy kasowałem programem Ccleaner. W załącznikach zamieszczam pliki tekstowe z konfiguracją autouruchamiania (tylko dla działów, które mają wyłączone jakieś wpisy). W pierwszej kolumnie informacja czy wpis jest aktywny, czy nie . Czy, są takie, których absolutnie nie powinienem uruchamiać?

Internet Explorer.txt

Chrome.txt

Windows.txt

Zaplanowane zadania.txt

[picasso]

Prosiłam się o wykonanie zadania w FRST, które tworzy plik EasyBits.reg i dostarczenie tego pliku. Co do podanych wpisów: nie ma nic szkodliwego, w(y)łączenie wpisów to już kwestia wyboru czy z danej funkcji korzystasz czy nie.

 

 

.

[pawelkkkk]

Przepraszam, że tak długo się nie odzywałem, ale ten laptop wyraźnie niedomaga sprzętowo, a nie miałem możliwości zająć się tym głębiej. Bardzo dziękuję za pomoc. Pod linkiem znajduje się plik, o który prosiłaś.

http://przeklej.org/file/ECvUZb/EasyBits.reg

[picasso]

Dzięki za plik REG. Czynności końcowe już podałam wcześniej. Jeśli sprzętowe niedomagania wymagają analizy, to załóż pod tym kątem temat w dziale Hardware stosując się do wymogów tego działu: KLIK.

 

Tu temat rozwiązany. Zamykam.

 

 

 

.