Blokowanie stron przez Avast + wyskakujące reklamy

[rzepek81]

witam

 

problem mojego laptopa polega na tym ze:

-gdy otwieram przegladarke firefox (domyslna) na chwile sie tak jakby zawiesza po czym wyskakuje komunikat od progrmu avast:

"oslona www avast! zablokowala niebezpieczna strone lub pliki

obiekt: Hxxp:\(ciag roznych liter i znakow)

url:Mal

proces: c:\Program Files\...\firefox.exe

po zamknieciu tego komunikatu wskakuja 2-3 reklamy na otwierana strone

- po otwarciu nowej karty otwiera sie kolejna rowniez z reklama

- program adwcleaner znajduje takie pliki:

pliki: c:\windows\system32\tasks\browsers updater

        c:\windows\system32\tasks\protectedsearch

firefox: ##### c:\users\rzepek\appdata\roaming\mozilla\firefox\profiles\mwi9f7gc.default\prefs.js #####

chrome : ##### c:\users\rzepeappdata\local\google\chrome\user data\default\preferences #####

 

po usunieciu ich przez program i uruchomieniu ponownym systemu problem powstaje znowu i tak  w kolko

 

prosze o zajecie sie problem gdyz jest on dla mnie uciazliwy i instrukcje w jaki sposob sie tego pozbyc

 

 

 

wszystko dziala juz poprawnie dziekuje !

 

nowy frst.txt i fixlog.txt dolaczony

Addition.txt

FRST.txt

Shortcut.txt

OTL.Txt

Extras.Txt

AdwCleaner.txt

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerR2.txt

AdwCleanerR3.txt

AdwCleanerR4.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

AdwCleanerS3.txt

AdwCleanerS4.txt

[picasso]

- program adwcleaner znajduje takie pliki:

pliki: c:\windows\system32\tasks\browsers updater

c:\windows\system32\tasks\protectedsearch

 

firefox: ##### c:\users\rzepek\appdata\roaming\mozilla\firefox\profiles\mwi9f7gc.default\prefs.js #####

chrome : ##### c:\users\rzepeappdata\local\google\chrome\user data\default\preferences #####

Wyniki z AdwCleaner są bez znaczenia:

- Te dwa pliki wykryte w Tasks możliwe, że są kasowane pozornie z powodu braku uprawnień, ale to tylko nieczynne odpadki (nie są ładowane przez Harmonogram zadań).

- Obecność prefs.js Firefox i Preferences Google Chrome w raporcie to nie jest detekcja zagrożenia, to są linie informacyjne jaki plik preferencji jest otwierany do skanu.

 

Problem leży gdzie indziej, w aktywnych wpisach adware, których AdwCleaner w ogóle nie wykrywa. Wykonaj następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\ProgramData\IePluginServices\PluginService.exe
() C:\Program Files\CouponDownloader\CouponDownloaderService.exe
(iWin Inc.) C:\Program Files\iWin Games\iWinTrusted.exe
() C:\Program Files\004\rqpbhevlkc32.exe
R2 CouponDownloaderService; c:\Program Files\CouponDownloader\CouponDownloaderService.exe [691200 2014-05-01] ()
R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [704112 2014-05-08] (Cherished Technololgy LIMITED)
R2 iWinTrusted; C:\Program Files\iWin Games\iWinTrusted.exe [176408 2010-09-27] (iWin Inc.)
R2 rqpbhevlkc32; C:\Program Files\004\rqpbhevlkc32.exe [543232 2014-05-14] ()
R1 netfilter; C:\Windows\System32\drivers\netfilter.sys [47488 2014-02-13] (NetFilterSDK.com)
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
U3 Winsock - Google Desktop Search Backup Before First Install; No ImagePath
U3 Winsock - Google Desktop Search Backup Before Last Install; No ImagePath
HKLM\...\Policies\Explorer: [NoCDBurning] 0
URLSearchHook: HKCU - (No Name) - {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - No File
URLSearchHook: HKCU - (No Name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No File
URLSearchHook: HKCU - (No Name) - {ce0c2586-da36-452b-acdb-320d9bcb19bf} - No File
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {5D61CC5D-C7BF-454D-A732-892BE6AD7CE5} URL = http://startsear.ch/?aff=1&src=sp&cf=8efe0310-cffd-11e0-a58e-bdf56661fa09&q={searchTerms}
SearchScopes: HKLM - {6E8A0749-83E2-41DC-A934-C9DF52471DA9} URL = http://startsear.ch/?aff=1&src=sp&cf=3d064c50-f466-11e1-852a-b389ef4b11d9&q={searchTerms}
SearchScopes: HKCU - {5D61CC5D-C7BF-454D-A732-892BE6AD7CE5} URL = http://startsear.ch/?aff=1&src=sp&cf=8efe0310-cffd-11e0-a58e-bdf56661fa09&q={searchTerms}
SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://search.certified-toolbar.com?si=44393&st=bs&tid=3786&ver=2.9&ts=1367921146474&tguid=44393-3786-1367921146474-D41D8CD98F00B204E9800998ECF8427E&q={searchTerms}
SearchScopes: HKCU - {6E8A0749-83E2-41DC-A934-C9DF52471DA9} URL = http://startsear.ch/?aff=1&src=sp&cf=3d064c50-f466-11e1-852a-b389ef4b11d9&q={searchTerms}
SearchScopes: HKCU - {A03F5EC1-6ADF-4402-A53B-48B000E8E745} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKCU - {CC154F9B-3B46-43D1-8940-7AD5C58574F8} URL = http://startsear.ch/?aff=1&src=sp&cf=75b12e80-80cb-11e1-b1c4-a341d39482d8&q={searchTerms}
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {5C81F57F-3CF7-4785-B4EF-11ACE31AEC4F} - No File
Toolbar: HKCU - No Name - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No File
Toolbar: HKCU - No Name - {CE0C2586-DA36-452B-ACDB-320D9BCB19BF} - No File
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction 
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
Task: {6BAF7832-5EDA-4C1E-B5D0-6AFB80032C6E} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
Task: {A6ADDBBC-5ACA-42AD-983D-6CB758301948} - System32\Tasks\{A9A9E79A-BE2E-4F71-88F1-2AAAD671F94C} => Firefox.exe http://ui.skype.com/ui/0/5.5.0.114/pl/abandoninstall?page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;userlevelpresent
Task: {A89C0DBA-EE8F-4BF3-82FB-52D22646659E} - System32\Tasks\At1 => C:\Users\rzepek\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE 
Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
Task: C:\Windows\Tasks\At1.job => C:\Users\rzepek\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE
AlternateDataStreams: C:\ProgramData\Temp:436DEE1E
C:\Program Files\004
C:\Program Files\Coupon Downloader
C:\Program Files\CouponDownloader
C:\Program Files\iWin Games
C:\ProgramData\IePluginServices
C:\ProgramData\Spybot - Search & Destroy
C:\Users\rzepek\AppData\Local\Temp*.html
C:\Windows\System32\Tasks\Browser Updater
C:\Windows\System32\Tasks\ProtectedSearch
C:\Windows\System32\rp_rules.dat
C:\Windows\System32\rp_stats.dat
C:\Windows\system32\sqlite3.dll
C:\Windows\System32\drivers\netfilter.sys
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wprawdzie logi nie wykazują szkodliwych obiektów w konfiguracji przeglądarek, ale skany są ograniczone. Na wszelki wypadek:

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

- W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Przeładuj też cache wtyczek: w pasku adresów wpisz chrome://plugins i ENTER, na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie Włącz.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[rzepek81]

wszystko juz ok nowe logi podane

[picasso]

Proszę nie mieszaj logów, usuwam dodane co dopiero w pierwszym poście FRST i fixlog. Przecież dialog nie jest liniowy. Nowe logi mają być podane w nowym poście. W pierwszym poście zostaje komplet startowy od którego zaczynaliśmy robotę.

 

 

 

.

[rzepek81]

Dziekuje bardzo za zainteresowanie sie moim problemem, wszystko juz dziala poprawnie. Ponizej zamieszczam nowe logi.

FRST.txt

Fixlog.txt

[picasso]

Wszystko poszło sprawnie. Kończymy:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Usuń używane narzędzia za pomocą DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do aktualizacji te pozycje na liście zainstalowanych:

 

==================== Installed Programs ======================
 

Adobe Reader X (10.1.10) (HKLM\...\{AC76BA86-7AD7-1033-7B44-AA1000000001}) (Version: 10.1.10 - Adobe Systems Incorporated)

Gadu-Gadu 10 (HKLM\...\Gadu-Gadu 10) (Version: - GG Network S.A.)

Java™ 6 Update 45 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216033FF}) (Version: 6.0.450 - Oracle) ----> deinstalacja, najnowsza Java 7 już jest

 

Gadu-Gadu 10 to stary i zasobożerny program. Albo zamień najnowszym GG12 (nieco lepsze i mniej reklam), albo alternatywnym programem w rodzaju WTW. Wszystko opisane tu: KLIK.

 

 

 

.

[rzepek81]

zrobione, gg to calkiem usune bo juz w domu nikt nie korzysta

 

pozdrawiam rzepek81

DelFix.txt

[picasso]

DelFix wykonał robotę częściową. Nie zwróciłam uwagi, że narzędzia uruchamiałeś z następującej ścieżki:

 

C:\Users\rzepek\Contacts\Downloads

 

DelFix tam nie zagląda, więc ręcznie je usuń, z wyjątkiem FRST bo właśnie go mam zamiar użyć. I ta ścieżka sugeruje jakiś błąd w definicjach "Shell Folders", bo Contacts i Downloads to foldery leżące na tym samym poziomie, a nie jeden w drugim. Lokalizacja Downloads zdaje się niepoprawna. Na wszelki wypadek podaj mi skan jak to wygląda w rejestrze. Do Notatnika wklej:

 

Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

 

 

 

.

[rzepek81]

czesc zanim przeczytalem tego posta to wszystkie sciagane programy (te z ktorych mialem pokazac logi) wrzucilem do jednego foldera, a pliki .txt poszly do kosza.

Fixlog.txt

[picasso]

Podejrzenia się potwierdziły. Folder Downloads został przelokowany w nieodpowiednie miejsce:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

{374DE290-123F-4565-9164-39C4925E467B} REG_EXPAND_SZ %USERPROFILE%\Contacts\Downloads

 

Ponadto, brakuje też wielu innych wpisów. Korekta:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"{1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE}"="C:\\Users\\rzepek\\AppData\\Roaming\\Microsoft\\Windows\\Libraries"
"{56784854-C6CB-462B-8169-88E350ACB882}"="C:\\Users\\rzepek\\Contacts"
"{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}"="C:\\Users\\rzepek\\Searches"
"{374DE290-123F-4565-9164-39C4925E467B}"="C:\\Users\\rzepek\\Downloads"
"{A520A1A4-1780-4FF6-BD18-167343C5AF16}"="C:\\Users\\rzepek\\AppData\\LocalLow"
"{BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968}"="C:\\Users\\rzepek\\Links"
"{4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4}"="C:\\Users\\rzepek\\Saved Games"
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"{374DE290-123F-4565-9164-39C4925E467B}"=hex(2):25,00,55,00,53,00,45,00,52,00,\
50,00,52,00,4f,00,46,00,49,00,4c,00,45,00,25,00,5c,00,44,00,6f,00,77,00,6e,\
00,6c,00,6f,00,61,00,64,00,73,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Zresetuj system i wykonaj ponownie Fix z poprzedniego posta podając wynikowy fixlog.txt.

 

 

 

.

[rzepek81]

witam

 

przez chwilke troszku zglupialem bo folder "pobieranie" gdzie m.in znajdowal sie FRST przeniosl sie nieco ale go znalazlem .

 

dodaje nowy log chyba o to chodzilo.

Fixlog.txt

[picasso]

Tak, on się przeniósł we właściwe miejsce. Miałeś folder Pobieranie w folderze Kontakty (to nie jest prawidłowe):

 

C:\Users\rzepek\Contacts\Downloads

 

Po korekcie folder Pobieranie powinien się pokazać w tej ścieżce, czyli na tym samym poziomie co Kontakty:

 

C:\Users\rzepek\Contacts

C:\Users\rzepek\Downloads

 

Wg fixlog naprawa odbyła się pomyślnie. Folder C:\Users\rzepek\Contacts\Downloads nadal powinien być na dysku, ale nie jest już specjalny. Przenieś z niego w inne miejsce rzeczy, które chcesz zachować, a folder skasuj.

 

To tyle, skończyliśmy.

 

 

.

[rzepek81]

dziekuje i pozdrawiam