Paulina Opublikowano 15 Maja 2014 Zgłoś Udostępnij Opublikowano 15 Maja 2014 Witam Przy korzystaniu z serwisu 'kinoman' praktycznie za każdym razem jestem automatycznie przekierowywana na strony typu hxxp://fplayer.us, która chce mi wcisnąć niby aktualizację czy nową wersję programu. Do tego wiele stron reklamowych otwieranych w tle (to akurat zawsze wydawało mi się normalnym działaniem reklamowym, tylko uciążliwym, ale nie niebezpiecznym), ale teraz zarówno i strony reklamowe i przekierowywania zdarzają się przy przeglądaniu 'normalnych' stron w internecie, a na np na stronie fakty.tvn24.pl zamieszczone są reklamy, których chyba być nie powinno...(screen) Bardzo proszę o pomoc bo do tej pory używane programy (Adw cleaner, Spybot S&D i inne) nie rozwiązały problemu całkowicie. Pozdrawiam Extras.Txt OTL.Txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Maja 2014 Zgłoś Udostępnij Opublikowano 15 Maja 2014 Na temat używanych skanerów: - Podjęta próba z uruchomieniem ComboFix. Na ten temat: KLIK, - SpyHunter to wątpliwy program, który stosuje silną promocję, by go zainstalować w systemie, ale "niespodzianka" to płatne usuwanie wyników. - Spybot - Search & Destroy to przestarzały i mało dziś skuteczny skaner. Problem reklam istnieje, gdyż adware nie zostało po prostu dobrze wyczyszczone, w systemie jest czynny obiekt SupraSavings, który zmodyfikował łańcuch sieciowy Winsock, ponadto liczne odpadki po MediaPlayerplus. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (SecureAssist) C:\Program Files\suprasavings\SecureAssist.exe R2 SecureAssist; C:\Program Files\SupraSavings\SecureAssist.exe [1558032 2014-03-12] (SecureAssist) S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [X] S3 cleanhlp; D:\Program Files\Nowy folder\Run\cleanhlp64.sys [57024 2014-04-15] (Emsisoft GmbH) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2012-06-22] () S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM-x32\...\Run: [Ad-Aware Browsing Protection] => "C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-910083959-2990359175-3200047685-1000\...\Run: [Facebook Update] => "C:\Users\PC\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver Task: {20D7FACC-0D22-4D69-985D-923E86569BBB} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-910083959-2990359175-3200047685-1000UA => C:\Users\PC\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {4499D05F-1C3C-4562-A06B-81B8DA233D5E} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-2 => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-2.exe [2014-04-13] (Freeven) Task: {554AEA72-8891-4FAC-8A17-3065E9777BF7} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-1 => C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-codedownloader.exe [2014-04-13] (Freeven) Task: {59E4BCD2-D476-4197-AF56-5B74C2E717C7} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-910083959-2990359175-3200047685-1000Core => C:\Users\PC\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {E34A4B3C-4CB5-410A-B6A3-74756A1D59AC} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4 => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4.exe [2014-04-13] (Freeven) Task: {E7CE2B4A-FFE3-4F79-B61C-35A98977C32F} - \SpyHunter4Startup No Task File Task: {E8030110-E86E-455B-87A4-7C573FC1141D} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5 => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5.exe [2014-04-13] (Freeven) Task: {F6FD5DB0-8A03-4A91-98E3-42E491F9AAF6} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-3 => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-3.exe [2014-04-13] (Freeven) Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-1.job => C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-codedownloader.exe Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-2.job => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-2.exe Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-3.job => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-3.exe Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4.job => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4.exe Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5.job => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-910083959-2990359175-3200047685-1000Core.job => C:\Users\PC\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-910083959-2990359175-3200047685-1000UA.job => C:\Users\PC\AppData\Local\Facebook\Update\FacebookUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SecureAssist => ""="service" ProxyServer: 127.0.0.1:8080 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF Plugin HKCU: @Skype Limited.com/Facebook Video Calling Plugin - C:\Users\PC\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll No File C:\32788R22FWJFW C:\Program Files\Enigma Software Group C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\SysWow64\SecureAssist.ini C:\Windows\SysWow64\SecureAssistOff.ini C:\Windows\SysWow64\unrar.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: rd /s /q "C:\Users\PC\Desktop\Stare dane programu Firefox" CMD: netsh winsock reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Extended Update, SupraSavings, szczątkową instalację Ad-Aware Browsing Protection, oraz stary Spybot - Search & Destroy. 3. Wyczyść Firefox (ponownie): menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj MediaPlayerplus Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. . Odnośnik do komentarza
Paulina Opublikowano 15 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2014 Ok, niestety z odinstalowaniem programów typu Extended Update czy SupraSavings będzie problem bo ja ich nie mam, a przynajmniej nie ma ich na liście w dodaj/usuń programy...i w ogóle coś mi się wydaję, że z tej listy wyparowało nie tylko to....Załączam pełną listę z panelu sterowania. Odnośnik do komentarza
picasso Opublikowano 15 Maja 2014 Zgłoś Udostępnij Opublikowano 15 Maja 2014 Na pokazanym obrazku jest przecież widoczny wpis "Extended Update". Natomiast "SupraSavings" rzeczywiście jest ukryty i Ty go nie widzisz, zapomniałam go w skrypcie załączyć do odkrycia. Odpowiedz mi na pytanie czy wykonałaś już pierwszą część, czyli skrypt FRST? Jeśli nie, dodam wpis "SupraSavings" do uwidaczniania. Jeśli tak, to na razie omiń po prostu deinstalację "SupraSavings", zajmę się tym w ramach poprawek. . Odnośnik do komentarza
Paulina Opublikowano 15 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2014 Wybacz, umknęło mi. Tak wykonałam pierwszą część. Chrome się zawiesza i nie mogę otworzyć ustawień, czy odinstalowanie pomoże? I tak go nie używam. Odnośnik do komentarza
Paulina Opublikowano 19 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 19 Maja 2014 Zrobiłam wszystko co napisałaś, z tą różnicą, że Chrome został odinstalowany, a nie wyczyszczony gdyż nie działał poprawnie i nie dało się zrobić tego o co prosiłaś i nie odinstalowałam SupraSavings i Ad-Aware Browsing Protection gdyż nie widzę ich na liście. Dodam tylko, że problem dalej istnieje. Fixlog.txt FRST.txt AdwCleanerR0.txt AdwCleanerR1.txt AdwCleanerR2.txt AdwCleanerR3.txt AdwCleanerR4.txt AdwCleanerR5.txt AdwCleanerS0.txt AdwCleanerS1.txt AdwCleanerS2.txt AdwCleanerS3.txt Odnośnik do komentarza
Hotex Opublikowano 19 Maja 2014 Zgłoś Udostępnij Opublikowano 19 Maja 2014 Przez tego kinomana tylko popsujesz sobie komputer, dziadowska strona, z tej strony przeglądarka ściąga tylko wirusy (swoją drogą, nie wiem dlaczego virustotal pokazuje wynik 0/51), a na reklamy na fakty.tvn24.pl, poleciłbym tobie wtyczkę adblock, która blokuje reklamy. A jeśli już pobierasz jakieś programy z internetu, to tylko przez linki bezpośrednie, nie przez idiotycznych asystentów pobierania i komputer masz czysty jak woda w strumyku a tak teraz masz wirusy, bo pobierałaś przez asystentów. Jeszcze trzeba uważać na to co się klika przy instalacji jakiegokolwiek programu. Sam parę razy bym się nadział na jakieś podejrzane wyszukiwarki typu ask, google, bing itp. bzdury. Na szczęście w porę zareagowałem Ale nie rozumiem, dlaczego zastosowałaś Combofix, tak inwazyjne narzędzie nie powinno w ogóle istnieć, a jeśli już to powinno się go używać pod okiem specjalisty w dziedzinie tak inwazyjnych programów. Nie wiem czemu nadal ludzie go używają. Odnośnik do komentarza
Rucek Opublikowano 19 Maja 2014 Zgłoś Udostępnij Opublikowano 19 Maja 2014 Hotex - nie masz uprawnien do udzielania porad. Pisz na PW jak sie nie mozesz powstrzymać. Paulina - czekaj proszę na Picasso. Odnośnik do komentarza
Paulina Opublikowano 19 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 19 Maja 2014 Hotex - dzięki za rady, ale nie używam żadnych asystentów pobierania i sama świadomie nie ściągam żadnych podejrzanych rzeczy (staram się w tej kwestii dbać o komputer), ale nie jestem jego jedynym użytkownikiem i jak widać nie da się nad wszystkim mieć kontrolę. Jeśli chodzi o Combofix, to owszem przyznaję, że ściągnięcie go było spowodowane desperacją i nie dysponuję aż takimi kompetencjami żeby go używać (teraz już to wiem), próba uruchomienia zakończyła się niepowodzeniem z powodu erroru i tyle. Chcesz mi powiedzieć, że nie da się bezpiecznie korzystać z serwisu kinoman? Odnośnik do komentarza
Hotex Opublikowano 20 Maja 2014 Zgłoś Udostępnij Opublikowano 20 Maja 2014 Paulina, tego nie powiedziałem, a korzystaj sobie. Ja na twoim miejscu trzymałbym się od tej strony na bezpieczną odległość Odnośnik do komentarza
picasso Opublikowano 23 Maja 2014 Zgłoś Udostępnij Opublikowano 23 Maja 2014 Paulina Skrypt FRST został użyty dwa razy, to jest skrypt jednorazowego użytku i nie wolno go powtarzać. Dostarcz plik z pierwszego przebiegu, jest w archiwum logów w postaci pliku C:\FRST\Logs\fixlog_data_czas.txt (chodzi o ten z najstarszą datą a nie drugi). I poprawki na SupraSavings: 1. Otwórz Notatnik i wklej w nim: SupraSavings (Version: 1.0.0.0 - SupraSavings) Hidden C:\Windows\system32\SecureAssist64.dll Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Aware Browsing Protection" /f CMD: rd /s /q "C:\Users\PC\Desktop\Stare dane programu Firefox" CMD: rd /s /q C:\Users\PC\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 2. Wejdź do Panelu sterowania. Pozycja SupraSavings powinna być widoczna. Spróbuj odinstalować ten obiekt. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by również i ten log powstał. Dołącz też powyższy plik fixlog.txt. . Odnośnik do komentarza
Paulina Opublikowano 27 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2014 Zamieszczam pierwotny log i fixlog.txt. Niestety nie jestem w stanie usunąć SupraSavings, jest widoczne na liście, ale nie ma dla niego opcji 'odinastaluj'. W związku z tym, nie wykonałam ostatniego punktu. Fixlog_15-05-2014_18-29-01.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 28 Maja 2014 Zgłoś Udostępnij Opublikowano 28 Maja 2014 Podaj mi skan jak wygląda ten klucz deinstalacji SupraSavings. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
Paulina Opublikowano 28 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2014 Proszę bardzo Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2014 Zgłoś Udostępnij Opublikowano 29 Maja 2014 Kolene podejście: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4} /v NoModify /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4} /v NoRemove /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4} /v NoRepair /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Powyższe działanie powinno uwidocznić przycisk deinstalacji. Spróbuj SupraSavings odinstalować. Następnie otwórz Notatnik i wklej w nim: Folder: C:\Program Files\SupraSavings File: C:\Windows\system32\SecureAssist64.dll Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw kolejny fixlog.txt. . Odnośnik do komentarza
Paulina Opublikowano 1 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2014 Odinstalowałam, oba pliki poniżej. Fixlog.txt Fixlog2.txt Odnośnik do komentarza
Paulina Opublikowano 30 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 30 Czerwca 2014 Czy mogę liczyć na ciąg dalszy pomocy? Pozdrawiam Paulina Odnośnik do komentarza
Rucek Opublikowano 30 Czerwca 2014 Zgłoś Udostępnij Opublikowano 30 Czerwca 2014 czekamy aż Picasso wróci.... Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się