Wyskakujące reklamy i inne dziwne rzeczy, wina combofix?

[Tova]

Od wczoraj dzieją mi się dziwne rzeczy z kompem. Pokażę dwie z nich:

1. Zaznaczone "nic" w lewym górnym rogu, czego nie dało się usunąć, przesunąć itp. Zniknęło samo po odinstalowaniu chrome.

 

2. Wyskakujące ciągle te same reklamy na stronach typu filmweb, o2 czy onet w domyślnej przeglądarce (jeszcze wczoraj rano ich nie było).

 

3. Do tego nie odtwarzają mi się filmiki na yt. Wyskakuje błąd i takie szare tło.

4. Strasznie wolno chodzi internet (mam 10 mb/s).

5. Jak skanuję komputer nodem 32 to mi się zatrzymuje na 41 % na pliku z folderu MSOceche.

 

A teraz od początku. Kilka dni temu weszłam na jakiś link z maila (wiem, wiem nie wchodzi się w nieznane linki ) i wyskoczyło mi w nowym oknie  jak reklama to: http://www.komputerswiat.pl/artykuly/redakcyjne/2012/07/weelsof---wirus-podszywajacy-sie-pod-policje.aspx. Zrobiłam jak radzili w komentarzach czyli użyłam combofixa   Potem doczytałam, że nie powinno się tego robić samemu. Po przeskanowaniu i usunięciu combofixa wszystko było ok, a wczoraj nagle takie coś jak wyżej.

 

Dziś przeskanowałam kompa online za pomocą F-secure i wykrył mi 3 zawirusowane pliki z 2012 roku, które usunął ale to nie rozwiązało problemu.

 

Co to może być? Jakiś wirus czy wina combofixa? Czeka mnie format systemu?

dodam do tego log z combofixa:

 

 

combofix Tova.txt

[Rucek]

zapoznaj się proszę z zasadami działu i dodaj resztę wymaganych logów, sama nie podejmuj już żadnych akcji.

https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

[Tova]

Ok, próbuję to wszystko ogarnąć :/ Tylko czemu to takie skomplikowane :/

[Rucek]

jak przeczytasz wszystko i będziesz robić krok po kroku to nie będzie skomplikowane

[Tova]

OTL

OTL Extra

 

FRST

Addition

Shortcut

 

GMER

 

mam nadzieję, że to wszystko, jeśli nie to podpowiedzcie co jeszcze mam dodać :-)

[picasso]

Proszę dołączaj raporty poprzez załączniki forum, a nie na serwisach hostingowych. Logi mogą być zniekształcone i źle się to czyta. Log z GMER został wykonany w złym środowisku, przy czynnym sterowniku SPTD, nie zostało wykonane to: KLIK.

 

Reklamy pojawiają się na stronach, bo w systemie nadal działa adware. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files\BrowseSmart\updateBrowseSmart.exe
() C:\Program Files\BrowseSmart\bin\utilBrowseSmart.exe
R2 Update BrowseSmart; C:\Program Files\BrowseSmart\updateBrowseSmart.exe [348960 2014-03-15] ()
R2 Util BrowseSmart; C:\Program Files\BrowseSmart\bin\utilBrowseSmart.exe [348960 2014-03-14] ()
S3 catchme; \??\C:\Users\User\AppData\Local\Temp\catchme.sys [X]
S3 clwvd; system32\DRIVERS\clwvd.sys [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=82013038_111_hao_pg
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=9400001A6BB7936D&affID=119828&tsp=4990
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=9400001A6BB7936D&affID=119828&tsp=4990
SearchScopes: HKCU - {0FC81C9F-FFBD-40AB-9749-F25BFBCD58DC} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=C09AA283-CAC1-4C1B-9A84-8D6428BD12D8&apn_sauid=F74A6388-9558-4924-92E2-EA19B36542B2
FF Plugin: @adobe.com/AdobeReader - C:\Users\User\Desktop\opera portable\CommonFiles\Plugins\nppdf32.dll No File
FF Plugin: @java.com/JavaPlugin - C:\Users\User\Desktop\opera portable\CommonFiles\Java\bin\plugin2\npjp2.dll No File
Task: {15735B28-06CC-4766-A26C-E79A2C27D677} - System32\Tasks\DTReg => C:\Users\User\AppData\Roaming\DefaultTab\DefaultTab\DTReg.exe 
Task: {200B9D25-8BE9-469D-A497-50F1D3906CA7} - System32\Tasks\ROC_JAN2013_TB_rmv => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
C:\Program Files\mozilla firefox\plugins
C:\Program Files\Common Files\ApnStub.exe
C:\Program Files\Common Files\ApnToolbarInstaller.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ĂŔÍĽ
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\美图
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\hao123楌面版
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VirtualDubMod
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MX Skype Recorder
C:\Users\User\AppData\Local\Mobogenie
C:\Users\User\AppData\Roaming\360Login
C:\Users\User\AppData\Roaming\360mobilemgr
C:\Users\User\AppData\Roaming\Babylon
C:\Users\User\AppData\Roaming\baidu
C:\Users\User\AppData\Roaming\DefaultTab
C:\Users\User\AppData\Roaming\Thinstall
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ĂŔÍĽż´ż´.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\美图秀秀.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\美图秀秀.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\ĂŔÍĽż´ż´.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\360安全浏览器
C:\Users\User\Favorites\*.url
C:\Users\User\Favorites\Links\*.url
C:\Users\User\Favorites\常用
C:\Users\User\Desktop\programy\美图秀秀.lnk
C:\Users\User\Desktop\programy\Animation Shop 3.lnk
C:\Users\User\Desktop\programy\Brain Challenge.lnk
C:\Users\User\Desktop\programy\DAEMON Tools Lite.lnk
C:\Users\User\Desktop\programy\DAEMON Tools Pro.lnk
C:\Users\User\Desktop\programy\Easy GIF Animator.lnk
C:\Users\User\Desktop\programy\Flv Audio Video Extractor.lnk
C:\Users\User\Desktop\programy\Free FLV Converter.lnk
C:\Users\User\Desktop\programy\Google Chrome.lnk
C:\Users\User\Desktop\programy\ipla.lnk
C:\Users\User\Desktop\programy\McAfee Security Scan Plus.lnk
C:\Users\User\Desktop\programy\osu!.lnk
C:\Users\User\Desktop\programy\Play 123 Free Solitaire.lnk
C:\Users\User\Documents\Corel\Próbki CorelDRAW X5\target.lnk
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware BrowseSmart oraz taki krzaczasty program od Meitu, Inc. Następnie wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST, zaznacz ponownie pola Addition i Shortcut, by powstały 3 logi. Dołącz też plik fixlog.txt i log z AdwCleaner. Wszystkie logi wstawione w załączniki.

 

 

 

 

.

[Tova]

Zrobiłam, mam nadzieję, że tym razem wszystko dobrze :-)

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[Tova]

Znów mam ten sam problem Pomóżcie proszę

Addition.txt

FRST.txt

GMER.txt

OTL Extras.Txt

OTL.Txt

Shortcut.txt

[picasso]

Tym razem problem stanowi całkiem inne adware (NetCrawl). Wdróż następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files\NetCrawl\updateNetCrawl.exe
() C:\Program Files\NetCrawl\bin\utilNetCrawl.exe
() C:\Program Files\NetCrawl\bin\NetCrawl.PurBrowse.exe
() C:\Program Files\NetCrawl\bin\NetCrawl.BrowserAdapter.exe
R2 Update NetCrawl; C:\Program Files\NetCrawl\updateNetCrawl.exe [318752 2014-07-06] ()
R2 Util NetCrawl; C:\Program Files\NetCrawl\bin\utilNetCrawl.exe [318752 2014-07-06] ()
R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys [52920 2014-07-05] (StdLib)
C:\Windows\system32\Drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys
SearchScopes: HKLM - DefaultScope value is missing.
BHO: NetCrawl - {769a91da-209f-47fe-88b9-b0321b0982c8} - C:\Program Files\NetCrawl\NetCrawlbho.dll (NetCrawl)
FF Extension: NetCrawl - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\vvc1kf1o.default-1394913388019\Extensions\{6fcd6092-9615-4f7f-8898-8df53980e5d2}.xpi [2014-07-06]
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware NetCrawl.

 

3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[Tova]

Już robię, dziękuję bardzo za odpowiedź!! :-)

[Tova]

Jeszcze raz dziękuję bardzo za pomoc. Picasso jesteś wielka, już po raz drugi uratowałaś mój komputer!! 

Jeszcze mam pytanie czy TFC - Temp cleaner można używać zamiast ccleanera co jakiś czas?

Fixlog.txt

FRST.txt

[Rucek]

Jeszcze mam pytanie czy TFC - Temp cleaner można używać zamiast ccleanera co jakiś czas?

 

możesz używać obu co jakiś czas

[Tova]

It's me again 

Tym razem trolatunt. Użyłam do jego usunięcia Malwarebytes Anti-Malware, ale to "coś" nadal widnieje w panelu sterowania jako zainstalowany program.

 

 

Addition.txt

FRST.txt

OTL.Txt

Shortcut.txt

GMER.txt

[jessica]

trolatunt (HKLM\...\trolatunt) (Version: 2014.08.11.142728 - trolatunt) <==== ATTENTION

A próbowałeś to po prostu odinstalować?

(jeśli pojawi się pytanie: czy tylko usunąć z listy programów? - to zgódź się.

 

W logach nic więcej z tego "trolatunt"  nie ma.

 

Znasz chiński? Pytam, bo w logach widzę "hao123"?

 

jessi

[Tova]

A próbowałeś to po prostu odinstalować?

 

Po użyciu tego Malwarebytes... jak chcę odinstalować to wyskakuje mi tylko, że "wystąpił błąd podczas dezinstalacji programu trolatunt. Mógł on zostać wcześniej odinstalowany. Czy chcesz usunąć program trolatunt z listy Programy i funkcje?". Może i tego programu już nie ma, ale zrobiłam logi bo wolę się upewnić, żeby nie było, że usunęłam z listy a to dalej siedzi w komputerze. 

[jessica]

Z logów wynika, że tego już nie masz.

 

 

jessi

[picasso]

Tym razem trolatunt. Użyłam do jego usunięcia Malwarebytes Anti-Malware, ale to "coś" nadal widnieje w panelu sterowania jako zainstalowany program.

Tova, cały czas nabywasz nowe instalacje adware (notabene: wszystkie są z grupy Sambreel/Yontoo), one muszą mieć konkretne źródło. Nasuwa się, iż coś pobierasz i przez nieuwagę zezwalasz na instalację "sponsorów". Proszę przeczytaj ten artykuł: KLIK.

 

W kwestii problemu: zastosowanie MBAM na w pełni zainstalowanym programie to niepoprawna metoda. To ma skutki uboczne, m.in. takie jak tu widać = martwy lecz widoczny wpis deinstalacji. W obecnej sytuacji po prostu usuń ten pusty wpis na liście programów. Na przyszłość podstawowa zasada przy problemach z wyskakującymi reklamami i adware:

- wchodzisz do Panelu sterowania i na liście deinstalacji programów wyłapujesz nieznane / podejrzane pozycje. Te deinstalujesz.

- proces powtarzasz w menedżerach rozszerzeń w przeglądarkach usuwając nieznane / podejrzane rozszerzenia

- dopiero po tym korzystasz ze skanerów typu AdwCleaner i MBAM

 

I jako że upłynęło trochę czasu, na wszelki wypadek pobierz najnowszy FRST i dostarcz świeży log.

 

 

 

.