Toolbary, reklamy, podmieniona strona startowa

[rustyliver]

Witam,

 

Chciałbym posprzątać trochę komputer rodziców (używany przez kilka osób.). 

Przed wykonaniem logów uruchomiłem tylko ccleaner.

Problemy mam tylko z wymienionymi w temacie rzeczami.

Log z gmera mam tylko z szybkiego skanu, bo przy zwykłym program się zawiesił. Jeśli trzeba spróbuję zrobić go jeszcze raz.

 

Uprzejmie proszę o pomoc.

Pozdrawiam!

OTL.Txt

otl Extras.Txt

FRST.txt

frst Shortcut.txt

frstAddition.txt

gmer.txt

[picasso]

Adware nabyłeś na jeden z tych sposobów: KLIK. Poniższy plik to nie jest instalator właściwy programu tylko "Asystent pobierania" skoncentrowany na instalacji niepożądanych sponsorów. Bezpośrednim następstwem jego uruchomienia była instalacja adware webget. To nie jedyne adware w systemie, są też starsze elementy wskazujące na podobne działania z pobieraniem z portali.

 

C:\Users\Państwo Hrabia\Downloads\Apache-OpenOffice(12754).exe

 

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe
() C:\Program Files (x86)\webget\bin\utilwebget.exe
() C:\Program Files (x86)\webget\bin\webget.PurBrowse64.exe
() C:\Program Files (x86)\webget\bin\webget.BrowserAdapter.exe
() C:\Program Files (x86)\webget\updatewebget.exe
R2 Update webget; C:\Program Files (x86)\webget\updatewebget.exe [317720 2014-06-08] ()
R2 Util webget; C:\Program Files (x86)\webget\bin\utilwebget.exe [317720 2014-06-08] ()
R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2014-01-02] (Cherished Technololgy LIMITED)
R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [61112 2014-05-26] (StdLib)
R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}w64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys [61112 2014-05-10] (StdLib)
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=hp&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=hp&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=hp&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss_Btisdt7&mntrId=3231685D435F5321&affID=123627&tsp=4988
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843
SearchScopes: HKCU - {37CE32E4-11A2-4013-A7B4-B061C9337D58} URL =
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Państwo Hrabia\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-08-28]
C:\Users\Państwo Hrabia\AppData\Roaming\Babylon
C:\Users\Państwo Hrabia\AppData\Roaming\eUpdate
C:\Users\Państwo Hrabia\Downloads\Apache-OpenOffice(12754).exe
C:\Users\Państwo Hrabia\Downloads\SPTDinst-v186-x64 (2).exe.39cf6nq.partial
C:\Users\Państwo Hrabia\Downloads\SPTDinst-v186-x64.exe
C:\Windows\system32\Drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys
C:\Windows\system32\Drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Qtrax Player, webget, WPM17.8.0.3297.

 

3. W Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj adware Extended Protection
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

.