Wyskakujące reklamy stron erotycznych

[KOLO41a]

Witam,

mam problem w laptopie.

Złośliwie wyskakujące reklamy stron erotycznych w przeglądarkach. Strony włączają się automatycznie, bez ingerencji. Wszytko wskazuje że komputer został zainfekowany.

Niezbędne logi przesyłam w załączniku.

Niestety uruchomienie programu GMER skutkuje wyłączeniem komputera, więc nie mogę przesłać logów.

 

Bardzo będę wdzięczny za pomoc.

 

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

[picasso]

W systemie jest zainstalowane adware (Mega Browse, Mysearchdial). Z tym, że wygląda, iż Mysearchdial nabyłeś już w trakcie diagnostyki problemu przy pobieraniu Avast. Poniższy plik to nie jest instalator Avast tylko "Asystent pobierania" planujący instalacje adware: KLIK.

 

2014-03-31 18:40 - 2014-03-31 18:40 - 00002634 _____ () C:\Windows\System32\Tasks\MySearchDial

2014-03-31 18:40 - 2014-03-31 18:40 - 00000000 ____D () C:\Users\asus\AppData\Roaming\mysearchdial

2014-03-31 18:40 - 2014-03-31 18:40 - 00000000 ____D () C:\Program Files (x86)\Mysearchdial

2014-03-31 18:38 - 2014-03-31 18:38 - 00692376 _____ () C:\Users\asus\Downloads\avast-Free-Antivirus(13266)(1).exe

 

Będę także usuwać Google, które nie wygląda na zainstalowane. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe
() C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe
R2 Update Mega Browse; C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe [350496 2014-04-17] ()
R2 Util Mega Browse; C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe [350496 2014-04-17] ()
R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-03-25] (StdLib)
S3 cpuz135; \??\C:\Users\asus\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X]
Task: {468A200B-4897-4E55-BF1F-DD49321100C3} - System32\Tasks\MySearchDial => C:\Users\asus\AppData\Roaming\mysearchdial\UpdateProc\UpdateTask.exe [2013-04-12] () 
Task: C:\Windows\Tasks\MySearchDial.job => C:\Users\asus\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir=
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir=
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir=
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir=
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir=
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir=
SearchScopes: HKCU - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL =
BHO-x32: Mega Browse - {4e6cd411-ce62-4584-97ff-6afbcf6900af} - C:\Program Files (x86)\Mega Browse\MegaBrowsebho.dll (Mega Browse)
BHO-x32: mysearchdial Helper Object - {EF5625A3-37AB-4BDB-9875-2A3D91CD0DFD} - C:\Program Files (x86)\Mysearchdial\1.8.29.0\bh\mysearchdial.dll (MySearchDial)
Toolbar: HKLM-x32 - mysearchdial Toolbar - {3004627E-F8E9-4E8B-909D-316753CBA923} - C:\Program Files (x86)\Mysearchdial\1.8.29.0\mysearchdialTlbr.dll (MySearchDial)
C:\Program Files (x86)\Google
C:\Users\asus\AppData\Local\Google
C:\Users\asus\AppData\Local\Temp\fp_pl_pfs_installer.exe
C:\Users\asus\AppData\Roaming\sp_data.sys
C:\Users\asus\AppData\Roaming\systweak
C:\Users\asus\Downloads\avast-Free-Antivirus(13266)(1).exe
C:\Windows\System32\drivers\wStLibG64.sys
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Mega Browse, Mysearchdial. Następnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[KOLO41a]

Wszystko zrobiłem zgodnie ze wskazówkami.

Więcej w załącznikach.

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko wykonane. Kończymy:

 

1. Drobna korekta domyślnych wyszukiwarek IE. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Usuń używane narzędzia za pomocą DelFix. Dokasuj z Pulpitu folder "Stare dane programu Firefox".

 

4. Wyczyść foldery Przywracania systemu: KLIK

 

5. Zaktualizuj produkty Adobe:

 

==================== Installed Programs ======================
 

Adobe Flash Player 12 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla Firefox

Adobe Reader X (10.1.9) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.9 - Adobe Systems Incorporated)

 

 

 

.