Wyskakujące reklamy i powolne działanie systemu

shanq · 18 Kwietnia 2014

Witam. Mam problem, jak wchodzę na jakąś stronę www to zawsze pojawia się dużo reklam. System działa również powolnie. Proszę o pomoc.

1.txt

Extras.Txt

picasso · 19 Kwietnia 2014

System jest potwornie zaśmiecony, multum instalacji adware oraz znaki jakiejś infekcji (masowe tworzenie plików EXE w folderze "Dane aplikacji"). Był też używany stosunko niedawno ComboFix, a brak wzmianek o tym.

Do przeprowadzenia następujące działania:

1. Otwórz Notatnik i wklej w nim:

(Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe
() c:\support\couponsupport.exe
() C:\Documents and Settings\Vision\Dane aplikacji\defaulttab\defaulttab\dtupdate.exe
(cake bake) C:\Program Files\Web Cake\WebCakeDesktop.Updater.exe
() C:\Program Files\Mobogenie\DaemonProcess.exe
() C:\Program Files\Mobogenie\MgAssist.exe
R2 d93cc0a5; C:\Documents and Settings\All Users\Dane aplikacji\Assistant\AssistantSvc.dll [177488 2014-03-26] ()
S2 dealplylive; C:\Program Files\DealPlyLive\Update\DealPlyLive.exe [148000 2013-12-12] (DealPly Technologies Ltd)
S3 dealplylivem; C:\Program Files\DealPlyLive\Update\DealPlyLive.exe [148000 2013-12-12] (DealPly Technologies Ltd)
R2 DefaultTabUpdate; C:\Documents and Settings\Vision\Dane aplikacji\defaulttab\defaulttab\dtupdate.exe [107520 2013-11-04] ()
R4 MgAssistService; C:\Program Files\Mobogenie\MgAssist.exe [70848 2014-04-18] ()
R2 WebCakeUpdater; C:\Program Files\Web Cake\WebCakeDesktop.Updater.exe [51992 2013-08-02] (cake bake)
R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [499856 2014-01-02] (Cherished Technololgy LIMITED)
S2 WsysSvc; C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe [X]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]
S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X]
S3 catchme; \??\C:\DOCUME~1\Vision\USTAWI~1\Temp\catchme.sys [X]
S3 IRENUM; system32\DRIVERS\irenum.sys [X]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X]
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe [748736 2014-04-18] ()
HKU\S-1-5-21-1757981266-2111687655-682003330-1003\...\Run: [NextLive] => C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Vision\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l
HKU\.DEFAULT\...\RunOnce: [Del697718] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del"
HKU\.DEFAULT\...\RunOnce: [Del1131015] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del"
HKU\.DEFAULT\...\RunOnce: [Del1304015] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del"
HKU\.DEFAULT\...\RunOnce: [Del38866406] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del"
HKU\.DEFAULT\...\RunOnce: [Del46286937] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
Task: C:\WINDOWS\Tasks\couponsupport-S-649636217.job => c:\support\couponsupport.exe 
Task: C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineCore.job => C:\Program Files\DealPlyLive\Update\DealPlyLive.exe 
Task: C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineUA.job => C:\Program Files\DealPlyLive\Update\DealPlyLive.exe 
Task: C:\WINDOWS\Tasks\DTReg.job => C:\Documents and Settings\Vision\Dane aplikacji\defaulttab\defaulttab\DTReg.exe
Task: C:\WINDOWS\Tasks\Plus-HD-4.9-chromeinstaller.job => C:\Program Files\Plus-HD-4.9\Plus-HD-4.9-chromeinstaller.exe 
Task: C:\WINDOWS\Tasks\Plus-HD-4.9-codedownloader.job => C:\Program Files\Plus-HD-4.9\Plus-HD-4.9-codedownloader.exe 
Task: C:\WINDOWS\Tasks\Plus-HD-4.9-enabler.job => C:\Program Files\Plus-HD-4.9\Plus-HD-4.9-enabler.exe 
Task: C:\WINDOWS\Tasks\Plus-HD-4.9-firefoxinstaller.job => C:\Program Files\Plus-HD-4.9\Plus-HD-4.9-firefoxinstaller.exe 
Task: C:\WINDOWS\Tasks\Plus-HD-4.9-updater.job => C:\Program Files\Plus-HD-4.9\Plus-HD-4.9-updater.exe 
Task: C:\WINDOWS\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RegClean Pro\RegCleanPro.exe 
Task: C:\WINDOWS\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RegClean Pro\RegCleanPro.exe 
C:\WINDOWS\Tasks\At*.job
ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T
ShortcutWithArgument: C:\Documents and Settings\Vision\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&ts=1375811090
ShortcutWithArgument: C:\Documents and Settings\Vision\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&ts=1375811090
ShortcutWithArgument: C:\Documents and Settings\Vision\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T
ShortcutWithArgument: C:\Documents and Settings\Vision\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&ts=1375811090
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysearchresults.com/?c=3524&t=01
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=9C31D43D7E352E65&affID=119357&tsp=5018
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T
HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.delta-homes.com/?type=hp&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T
URLSearchHook: HKLM - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
URLSearchHook: HKLM - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files\SiteFinder\SiteFinder.dll (Site Finder)
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms}
SearchScopes: HKLM - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm067^YYA^pl&si=flvrunner&ptb=0CEC2D9D-C253-4C17-86AF-838D314B492F&ind=2013082115&n=77fd3203&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKLM - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&ts=1380233162&type=default&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms}
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - 553827E3D394476AB53D690392740B28 URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&ts=1380233162&type=default&q={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=9C31D43D7E352E65&affID=119357&tsp=5018
SearchScopes: HKCU - {15A5E16B-DC86-4277-B694-EDD037508938} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms}
SearchScopes: HKCU - {54A1E7BB-CA67-46C5-85E9-6ADA3B2C19AA} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKCU - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm067^YYA^pl&si=flvrunner&ptb=0CEC2D9D-C253-4C17-86AF-838D314B492F&ind=2013082115&n=77fd3203&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKCU - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL =
SearchScopes: HKCU - {89383D8F-0E54-4FD8-B1D8-12FAAC097801} URL = http://www.mysearchresults.com/search?c=3524&t=01&q={searchTerms}
SearchScopes: HKCU - {D7BCFF01-E62C-4C4E-840F-E65A0EFB0DED} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKCU - {D91B2B18-4420-49A2-AF37-7E8B2F2DF8E4} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKCU - {F420DFA1-E687-4ACB-8F69-387137D18705} URL = http://www.idg.pl?q={searchTerms}
BHO: DoWenSaVe - {4BC58949-7F92-E476-8A98-CAB427051D0A} - C:\Documents and Settings\All Users\Dane aplikacji\DoWenSaVe\7Lj0.dll ()
BHO: SaiVeLots - {58F86BAC-1199-0275-89F0-A22D70D3A36A} - C:\Documents and Settings\All Users\Dane aplikacji\SaiVeLots\J.dll ()
BHO: SaveSense - {71e129ff-6c2a-4984-818c-7e2c998b8d99} - C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\SaveSense\SaveSenseIE.dll (SaveSense)
BHO: DefaultTab Browser Helper - {7F6AFBF1-E065-4627-A2FD-810366367D01} - C:\Documents and Settings\Vision\Dane aplikacji\defaulttab\defaulttab\DefaultTabBHO.dll (Search Results LLC.)
BHO: WatcHItoAdBllocKE - {99B3E000-0379-FA9D-D350-BB8863F2C19F} - C:\Documents and Settings\All Users\Dane aplikacji\WatcHItoAdBllocKE\uA8ZEZIH.dll ()
BHO: 50CoUponus - {DD2FE438-BA9A-9B3D-41C8-1A887EA8CE4E} - C:\Documents and Settings\All Users\Dane aplikacji\50CoUponus\eDG8.dll ()
Toolbar: HKLM - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files\SiteFinder\SiteFinder.dll (Site Finder)
FF Plugin: @divx.com/DivX Plus Web Player Plug-In,version=1.0.0 - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll No File
FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 - C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll No File
FF Plugin: @tools.dpliveupdate.com/DealPlyLive Update;version=3 - C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll (DealPly Technologies Ltd)
FF Plugin: @tools.dpliveupdate.com/DealPlyLive Update;version=9 - C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll (DealPly Technologies Ltd)
FF HKLM\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
GroupPolicy: Group Policy on Chrome detected 
Google Update Helper (Version: 1.3.23.0 - BonanzaDeals) Hidden 
C:\Documents and Settings\All Users\Dane aplikacji\79c55f939eee2dda
C:\Documents and Settings\All Users\Dane aplikacji\Accelewin
C:\Documents and Settings\All Users\Dane aplikacji\afaeiihhpkjloahpgbnfhidhdpkbhdef
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\BonanzaDealsLive
C:\Documents and Settings\All Users\Dane aplikacji\DealPlyLive
C:\Documents and Settings\All Users\Dane aplikacji\ehoodoihpgojeobepdmdkbkmkcodgana
C:\Documents and Settings\All Users\Menu Start\Programy\RegClean Pro
C:\Documents and Settings\NetworkService\Dane aplikacji\Allin1Convert_8h
C:\Documents and Settings\NetworkService\Dane aplikacji\Delta
C:\Documents and Settings\NetworkService\Dane aplikacji\DigitalSites
C:\Documents and Settings\NetworkService\Dane aplikacji\MySearchDial
C:\Documents and Settings\NetworkService\Dane aplikacji\SaveSense
C:\Documents and Settings\NetworkService\Dane aplikacji\UpdateBonanza
C:\Documents and Settings\Vision\.android
C:\Documents and Settings\Vision\AppData
C:\Documents and Settings\Vision\Dane aplikacji\*.exe
C:\Documents and Settings\Vision\Dane aplikacji\Babylon
C:\Documents and Settings\Vision\Dane aplikacji\download.am-data
C:\Documents and Settings\Vision\Dane aplikacji\eDownload
C:\Documents and Settings\Vision\Dane aplikacji\eIntaller
C:\Documents and Settings\Vision\Dane aplikacji\File Scout
C:\Documents and Settings\Vision\Dane aplikacji\newnext.me
C:\Documents and Settings\Vision\Dane aplikacji\SimilarSites
C:\Documents and Settings\Vision\Dane aplikacji\SwvUpdater
C:\Documents and Settings\Vision\Dane aplikacji\Systweak
C:\Documents and Settings\Vision\Dane aplikacji\WinZipper
C:\Documents and Settings\Vision\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mobogenie.lnk
C:\Documents and Settings\Vision\Menu Start\Programy\DealPly
C:\Documents and Settings\Vision\Menu Start\Programy\SaveSense
C:\Documents and Settings\Vision\Menu Start\Programy\Severe Weather Alerts
C:\Documents and Settings\Vision\Moje dokumenty\Mobogenie
C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\mysearchdial-speeddial.crx
C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\cache
C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\BonanzaDealsLive
C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\genienext
C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\Facebook
C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\Google
C:\Program Files\Download.am
C:\Program Files\mozilla firefox\plugins
C:\Users
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\System32\roboot.exe
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{1B4D240E-8BDE-4C8D-8B93-C74D2F8A8284}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{CCC7B152-1D8C-11E3-B2AD-F3EF3D58318D}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1B4D240E-8BDE-4C8D-8B93-C74D2F8A8284}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CCC7B152-1D8C-11E3-B2AD-F3EF3D58318D}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reboot:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść tam skąd uruchamiasz FRST (czyli na D:\). Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Przez Dodaj/Usuń programy odinstaluj adware:

1.0, 50CoUponus, Allin1Convert Internet Explorer Toolbar, Assistant, Bundled software uninstaller, Codec Package Packages, CouponSupport, CursorMania, Dealply, DealPly (remove only), DefaultTab, DoWenSaVe, Google Update Helper, Ikony Windows 7 Packages, Mobogenie, Mysearchdial, Pagealicious, Plus-HD-4.9, RegClean Pro, SaiVeLots, SaveSense, Severe Weather Alerts, ShoppingChip, SiteFinder, Update for Codec Package, Update_for_BonanzaDeals, WatcHItoAdBllocKE, Web Cake 3.00, WPM17.8.0.3297

3. Wyczyść Firefox:

- menu Historia > Wyczyść historię przeglądania

- menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

5. Zrób nowe logi: FRST (pola Addition i Shortcut mają być zaznaczone), OTL (bez Extras) oraz GMER. Dołącz też plik fixlog.txt i log z AdwCleaner.

.

shanq · 19 Kwietnia 2014

Combofix włączyłem, ale nie dokończyłem skanowania. W procesach mam jakiś minerd.exe. Logi w załączniku.

picasso · 20 Kwietnia 2014

Poprzednie działania w 99% wykonane i w logach podstawowych widoczne tylko szczątki adware. Mówisz o procesie minerd.exe, czego w raportach nie widać i nie wiadomo skąd to się ładuje, jedyne konkretne znaki BitCoin minera są w katalogu Temp. A GMER jest bardzo podejrzany (User code sections) i sugeruje obecność czegoś ukrytego. Dodatkowo, w GMER są notowane ukryte biblioteki uruchamiane z dysku F + w FRST jest proces F:\Viewer.exe, tylko wg raportów nie ma tu podmontowanego dysku o takiej literze. Co to za "F", czy nie jest to aby jakiś wirtualny napęd?

==================== Drives ================================ 

Drive c: () (Fixed) (Total:9.77 GB) (Free:1.51 GB) NTFS ==>[Drive with boot components (Windows XP)]

Drive d: () (Fixed) (Total:455.98 GB) (Free:432.58 GB) NTFS
 

==================== MBR & Partition Table ==================
 

Disk: 0 (Size: 466 GB) (Disk ID: 00005C37)

Partition 1: (Active) - (Size=10 GB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=456 GB) - (Type=OF Extended)

Kolejne działania do przeprowadzenia:

1. Nie zostały odinstalowane te dwie pozycje adware: Allin1Convert Internet Explorer Toolbar, Google Update Helper. Powtórz deinstalację, o ile widzisz wpisy. Jeśli będzie jakiś problem z usunięciem Google Update Helper, zastosuj to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz go na liście > Dalej.

2. Coś tu poszło nie tak z naprawą specjalnego skrótu Internet Explorer, brak specjalnego atrybutu:

Shortcut: C:\Documents and Settings\Vision\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)

W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Vision\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\IEXPLORE.EXE" dopisz dwie spacje i -extoff

3. Otwórz Notatnik i wklej w nim:

SearchScopes: HKLM - DefaultScope value is missing.
C:\Documents and Settings\All Users\Dane aplikacji\79c55f939eee2dda
C:\Documents and Settings\All Users\Dane aplikacji\DoWenSaVe
C:\Documents and Settings\All Users\Dane aplikacji\SaiVeLots
C:\Documents and Settings\All Users\Dane aplikacji\ShoppingChip
C:\Documents and Settings\All Users\Dane aplikacji\WatcHItoAdBllocKE
C:\Documents and Settings\Vision\Dane aplikacji\Bonanza
C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\Plus-HD-4.9
C:\Program Files\DoWenSaVe
C:\Program Files\PSupport
C:\Program Files\SaiVeLots
C:\Program Files\ShoppingChip
C:\Program Files\WatcHItoAdBllocKE
C:\Support
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\06F57D344DE54E47831FAC90E06AF976" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: rd /s /q C:\AdwCleaner
CMD: rd /s /q "C:\Documents and Settings\Vision\Pulpit\Stare dane programu Firefox"
CMD: "C:\Documents and Settings\Vision\Pulpit\ComboFix.exe" /uninstall

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix, czekaj cierpliwie, aż się ukończy. Powstanie kolejny plik fixlog.txt.

4. Uruchom TFC - Temp Cleaner.

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt.

.

Zaloguj się

Wyskakujące reklamy i powolne działanie systemu

Rekomendowane odpowiedzi

shanq

Odnośnik do komentarza

picasso

Odnośnik do komentarza

shanq

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność