Adware, wyskakujące skrypty/reklamy itp.

[Damian255555]

Mam problem z wyskakującymi reklamami i skryptami, które pojawiają się na każdej stronie. Prawdopodobnie jest to PirritSugestor ale nie wiem jak się go pozbyć. Proszę o pomoc.

FRST.txt

Addition.txt

Shortcut.txt

OTL.Txt

Extras.Txt

[picasso]

Poprzedni post usuwam. Tu jest do deinstalacji więcej śmieci, w tytm ów zgłaszany PirritSuggestor. Przeprowadź następujące działania:

1. Otwórz Notatnik i wklej w nim:

() C:\Program Files\Mega Browse\bin\utilMegaBrowse.exe
() C:\Program Files\Mega Browse\updateMegaBrowse.exe
() C:\Program Files\Mega Browse\bin\FilterApp_C.exe
S2 bonanzadealslive; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2014-01-13] (BonanzaDeals)
S3 bonanzadealslivem; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2014-01-13] (BonanzaDeals)
R2 ca82e1a5; C:\Program Files\Optimizer Pro\OptProCrashSvc.dll [220800 2014-04-07] ()
S2 PirritDesktop; C:\Users\user\AppData\Local\PirritSuggestor\PirritService.exe [52568 2014-02-14] ()
S2 PirritUpdater; C:\Program Files\Pirrit\AutoUpdater.exe [55296 2014-01-10] ()
R2 Update Mega Browse; C:\Program Files\Mega Browse\updateMegaBrowse.exe [350496 2014-04-04] ()
R2 Util Mega Browse; C:\Program Files\Mega Browse\bin\utilMegaBrowse.exe [350496 2014-04-07] ()
S2 WinRST; C:\Program Files\WinRST\WinRST.exe [59904 2014-02-26] ()
S2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2014-01-13] (Cherished Technololgy LIMITED)
R1 wStLibG; C:\Windows\System32\drivers\wStLibG.sys [52928 2014-04-07] (StdLib)
S3 cpuz134; \??\C:\Users\user\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X]
R3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe
HKLM\...\Run: [fst_pl_96] - [X]
HKU\S-1-5-21-101661676-3665781825-895367130-1000\...\Run: [LiveSupport] - "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log
HKU\S-1-5-21-101661676-3665781825-895367130-1000\...\Run: [NextLive] - C:\Windows\system32\rundll32.exe "C:\Users\user\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
HKU\S-1-5-21-101661676-3665781825-895367130-1000\...\Run: [Optimizer Pro] - C:\Program Files\Optimizer Pro\OptProLauncher.exe [135160 2014-01-28] (PC Utilities Software Limited)
AppInit_DLLs: c:\progra~1\optimi~1\optpro~2.dll => C:\Program Files\Optimizer Pro\OptProCrash.dll [4110808 2014-04-07] ()
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC
ProxyServer: http=http://127.0.0.1:9880
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC&q={searchTerms}
URLSearchHook: HKLM - Winamp Toolbar Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.)
URLSearchHook: HKCU - Winamp Toolbar Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC&q={searchTerms}
SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20140105145753022&tb_oid=05-01-2014&tb_mrud=05-01-2014
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389564027&from=cor&uid=ST500LT012-1DG142_W3P0TLLCXXXXW3P0TLLC&q={searchTerms}
SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20140105145753022&tb_oid=05-01-2014&tb_mrud=05-01-2014
BHO: Mega Browse - {4e6cd411-ce62-4584-97ff-6afbcf6900af} - C:\Program Files\Mega Browse\MegaBrowsebho.dll (Mega Browse)
BHO: IEExtension.Extension - {d40c654d-7c51-4eb3-95b2-1e23905c2a2d} - C:\Windows\system32\mscoree.dll (Microsoft Corporation)
Toolbar: HKLM - Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.)
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
Toolbar: HKCU - Winamp Toolbar - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.)
Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml [2014-01-13]
CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2014-01-12]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction GroupPolicy: Group Policy on Chrome detected Task: {0145FED3-CDBD-431B-9B04-0933E0224BA0} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {1613FEAB-F8C5-430C-A51A-7E400BBCC778} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\user\AppData\Local\FilesFrog Update Checker\update_checker.exe [2013-10-17] (Somoto) Task: {99556109-4501-44FA-A7E9-0B0F5B6D693C} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2014-01-13] (BonanzaDeals) Task: {ED856101-DC94-4C40-AD74-D5A04491AC7A} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2014-01-13] (BonanzaDeals) Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe C:\Program Files\BBlockUTubeAd
C:\Program Files\BonanzaDealsLive
C:\Program Files\Enigma Software Group
C:\Program Files\Mobogenie
C:\Program Files\predm
C:\Program Files\WinRST
C:\ProgramData\eec33f7f144d96af
C:\ProgramData\BBlockUTubeAd
C:\ProgramData\BonanzaDealsLive
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2
C:\Users\user\AppData\Local\{6303A451-8642-457B-A55E-60A00DB72522}
C:\Users\user\AppData\Local\BIT2C6A.tmp
C:\Users\user\AppData\Local\genienext
C:\Users\user\AppData\Local\Lollipop
C:\Users\user\AppData\Local\Torch
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BonanzaDeals
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
C:\Users\user\AppData\Roaming\Mozilla
C:\Users\user\AppData\Roaming\newnext.me
C:\Users\user\Downloads\SpyHunter-Installer.exe
C:\Windows\455F074C814E4520B69B5584BD90400C.TMP
C:\Windows\system32\LogFiles
C:\Windows\system32\Drivers\wStLibG.sys
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reboot:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Przez Panel sterowania odinstaluj adware DAEMON Tools Toolbar, FilesFrog Update Checker, Mega Browse, Optimizer Pro v3.2, PirritSuggestor version 1.5, Winamp Toolbar (2 pozycje), WPM17.8.0.3297, YoutubeAdblocker.

3. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj BBlockUTubeAd
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

5. Odbuduj brakujący plik HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

#    127.0.0.1       localhost
#    ::1             localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

 

6. Zrób nowy log FRST, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt i log z AdwCleaner.


.

[Damian255555]

Oto logi.

Addition.txt

Shortcut.txt

FRST.txt

AdwCleanerR1 (2).txt

AdwCleanerS1 (2).txt

[picasso]

Po pierwsze: brak plik fixlog.txt, który powstał podczas przetwarzania skryptu FRST. Dołącz go, nie uruchamiaj przypadkiem skryptu ponownie, log już jest na dysku.

 

Po drugie: użyty potwornie stary AdwCleaner v1.703. Tego programu się nie chomikuje na dysku, jego siła jest w aktualizacjach baz. Program pobiera się za każdym razem na nowo z jego strony domowej. Nawet jeśli go skądś teraz pobrałeś, to z jakiegoś lewego źródła. Podałam wyraźnie link do tematu na forum, gdzie jest strona domowa. Pobieraj program ponownie, zrób ponownie usuwanie i dołącz końcowe logi.

 

Po trzecie: nie przymierzaj się nawet do rozpakowania i uruchomienia co dopiero pobranego C:\Users\user\Downloads\Optimizer Pro 3.2.0 pl-full.rar. To śmieć, lewy program. Instalka do wyrzucenia.

 

 

.

[Damian255555]

Niechcący musiałem usunąć plik fixlog.txt ;/ sorki. Nie wiedziałem że będzie potrzebna. Usunąłem tą instalkę optimizera, a to są logi.

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Kopia pliku fixlog.txt jest w folderze C:\FRST\Logs. Dostarcz go.

[Damian255555]

Ok znalazłem dzięki.

Fixlog_08-04-2014_16-03-09.txt

[picasso]

Zadania wykonane. Poprawki:

 

1. Omyłkowo zaplątał mi się w skrypcie poprawny folder LogFiles, ale się zdążył zregenerować. Na wszelki wypadek pokaż mi co w nim jest obecnie. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Windows\system32\LogFiles

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

 

 

.

[Damian255555]

Ok zrobione.

Fixlog.txt

[picasso]

Folder jest na miejscu i niczego tam nie brakuje. Kolejna porcja zadań:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Dla pewności zrób jeszcze skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport, w przeciwnym wypadku jest on zbędny.

 

 

 

.

[Damian255555]

Ok zrobione wykryło kilka błędów oto raport.

log.txt

[picasso]

MBAM wykrył drobnostki, czyli resztki adware oraz instalator Pando Media Booster jako nośnik adware. Usuń te wszystkie wyniki za pomocą programu. Na koniec:

 

1. Wyczyść foldery Przywracania systemu: KLIK.

 

2. Zaktualizuj cały system oraz wtyczkę Adobe Flash w wersji dla Internet Explorer: KLIK. Obecny stan:

 

Microsoft Windows 7 Home Premium (X86) OS Language: Polish

Internet Explorer Version 8
 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.9.900.170 - Adobe Systems Incorporated)

 

Poczytaj także czego unikać, by zminimalizować ryzyko instalacji adware: KLIK.

 

 

 

.

[Damian255555]

Dziękuje Ci bardzo za pomoc.