Awardhotspot - problemy z reklamami

[Amare]

Zauważyłem ostatnio, że w przeglądarce (opera) po najechaniu na niektóre teksty wyskakują okienka typu awardhotspot, zdaje się, że to jakiś wirus. Jak mi adblock raz przestał działać to nie szło normalnie otworzyć stron tyle jakiś reklamowych śmieci się otwierało. A teraz jak działa to pojawiły się po bokach jakieś ramki z tekstem  'Ads not by this site', nie przypominam sobie wcześniej takich rzeczy. 

 

GMER.txt

Addition.txt

FRST.txt

OTL.Txt

Extras.Txt

Shortcut.txt

[picasso]

Żadne z narzędzi używanych w diagnostyce nie skanuje Opery, więc nie wiem na razie co w niej siedzi. Aczkolwiek jest prawie pewnym, że efekty pochodzą od adware HQ-Video-Pro-1.4. I są tu ślady używania AdwCleaner - kiedy on był uruchamiany?

 

Wstępne usuwanie:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {21668C5D-C198-4034-A812-9247A277259B} - System32\Tasks\HQ-Video-Pro-1.4-codedownloader => C:\Program Files (x86)\HQ-Video-Pro-1.4\HQ-Video-Pro-1.4-codedownloader.exe [2014-03-05] (HQ-Video) 
Task: {21B16EB4-4B07-452B-B891-0796B8FF0C91} - \Program aktualizacji online firmy Adobe. No Task File
Task: {70F36BDD-4773-4861-AE75-92DFA2E74CD3} - System32\Tasks\Express FilesUpdate => C:\Program Files (x86)\ExpressFiles\EFUpdater.exe 
Task: {ADF20EDE-EA9C-414B-A907-3362C74C2A22} - System32\Tasks\HQ-Video-Pro-1.4-firefoxinstaller => C:\Program Files (x86)\HQ-Video-Pro-1.4\HQ-Video-Pro-1.4-firefoxinstaller.exe [2014-03-05] (HQ-Video) 
Task: {C11F81B2-11BC-44D1-81A1-3FDA290E9C09} - System32\Tasks\HQ-Video-Pro-1.4-chromeinstaller => C:\Program Files (x86)\HQ-Video-Pro-1.4\HQ-Video-Pro-1.4-chromeinstaller.exe [2014-03-05] (HQ-Video) 
Task: C:\Windows\Tasks\HQ-Video-Pro-1.4-chromeinstaller.job => C:\Program Files (x86)\HQ-Video-Pro-1.4\HQ-Video-Pro-1.4-chromeinstaller.exe 
Task: C:\Windows\Tasks\HQ-Video-Pro-1.4-codedownloader.job => C:\Program Files (x86)\HQ-Video-Pro-1.4\HQ-Video-Pro-1.4-codedownloader.exe 
Task: C:\Windows\Tasks\HQ-Video-Pro-1.4-firefoxinstaller.job => C:\Program Files (x86)\HQ-Video-Pro-1.4\HQ-Video-Pro-1.4-firefoxinstaller.exe 
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKU\S-1-5-21-3905042303-2910020944-1063780956-1001\...\Run: [NextLive] - C:\Windows\SysWOW64\rundll32.exe "C:\Users\MB\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
HKU\S-1-5-21-3905042303-2910020944-1063780956-1001\...\Run: [speedUpMyComputer] - C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as /ss
HKU\S-1-5-21-3905042303-2910020944-1063780956-1001\...\Run: [FixMyRegistry] - C:\Program Files (x86)\SmartTweak\FixMyRegistry\FixMyRegistry.exe /ot /as /ss
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
C:\Program Files (x86)\mozilla firefox
C:\Program Files (x86)\SmartTweak
C:\Users\MB\AppData\Roaming\DVDVideoSoft
C:\Users\MB\AppData\Roaming\ExpressFiles
C:\Users\MB\AppData\Roaming\newnext.me
C:\Users\MB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SmartTweak Software
C:\Users\MB\AppData\Roaming\Mozilla
C:\Users\MB\AppData\Roaming\newnext.me
C:\Users\MB\AppData\Roaming\Panda Security
C:\Users\MB\AppData\Local\Google\Chrome
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware HQ-Video-Pro-1.4.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wykonaj zrzuty Ekranu z tych miejsc w Operze:

 

- Rozszerzenia: CTRL+SHIFT+E

- Wtyczki: w pasku adresów wklej opera:plugins i ENTER

 

 

 

.

[Amare]

Nie jestem pewien co do daty uruchamiania AdwCleaner, ale znalazłem instalke z 3 Grudnia więc przypuszczam, że właśnie wtedy. O dziwo jak jej szukałem w katalogu plików z internetu to AVG nagle mi pokazał informację o wirusie w tym katalogu (screen1 w załączniku). W trakcie wykonywania punktu 2 - usuwanie HQ, pojawił się kolejny komunikat od AVG (screen 2), a chwile później jeszcze jeden (3). Udało się wykonać jednak wszystko.

 

 

FRST.txt

Fixlog.txt

[picasso]

Podczas nawigacji po folderach uzyskałeś "dostęp do pliku", a to uruchamia jeden ze skanów AVG, stąd te wyniki. To co prezentujesz mi na większości zrzutów, czyli "InstallC" (= "Install Core"), to są pliki "Asystentów pobierania": KLIK.

 

Adware wygląda na usunięte. W opcjach Opery nic podejrzanego nie widać, więc jak sądzę przestały się w niej pokazywać te reklamy. Kończymy:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj poniższe foldery, pierwszy widoczny w logu, drugi nie (jest poza zakresem czasowym raportu i daję go tylko na wszelki wypadek):

 

C:\Program Files (x86)\HQ-Video-Pro-1.4

C:\Program Files (x86)\Mobogenie

 

2. Sprzątnij używane narzędzia za pomocą DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

.

[Amare]

Tak przestały, z ponad 40 reklam które były, teraz blokuje może kilka czyli wszystko w normie. : )  Folderu C:\Program Files (x86)\HQ-Video-Pro-1.4 już nie było, więc usunąłem drugi tylko. Pojawiło się jeszcze w AVG jakieś InstallC, ale wyrzucam już te śmieci od asystentów pobierania. To chyba wszystko, dziękuję za pomoc.