Problem z adware

[Expert3222]

Witam.

Pobrałem dzisiaj pewien program i niestety zainstalował się toolbar Bing. Do każdej otwieranej strony dodaje gratis reklamy, wyskakujące okienka itp. Próbowałem go usuwać AdwCleanerem i reinstalować Google Chrome, ale to nic nie dało. Dodam jeszcze, że po zastosowaniu ww. metod na początku jest ok, dopiero po kilku minutach pasek się aktywuje.

 

Results of screen317's Security Check version 0.99.85  

 Windows XP Service Pack 3 x86   

 Internet Explorer 8  

``````````````Antivirus/Firewall Check:`````````````` 

Microsoft Security Essentials   

 Antivirus up to date!  

`````````Anti-malware/Other Utilities Check:````````` 

 CCleaner     

 Eusing Free Registry Cleaner  

 Java 7 Update 51  

 Java version out of Date! 

  Adobe Flash Player 13.0.0.214 Flash Player out of Date!  

 Adobe Reader XI  

 Mozilla Firefox 27.0.1 Firefox out of Date!  

 Google Chrome 35.0.1916.153  

````````Process Check: objlist.exe by Laurent````````  

 Microsoft Security Essentials MSMpEng.exe 

 Microsoft Security Essentials msseces.exe 

 All Users Dane aplikacji PLAY ONLINE OnlineUpdate\ouc.exe 

`````````````````System Health check````````````````` 

 Total Fragmentation on Drive C::  

````````````````````End of Log`````````````````````` 

 

 

defogger_disable.txt

Extras.Txt

OTL.Txt

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

[jessica]

@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.

 

Bing jest wyszukiwarką Microsoftu, zainstalowaną razem z Systemem.

 

C:\WINDOWS\system32\drivers\nethfdrv.sys

C:\WINDOWS\system32\netupdsrv.exe

Sprawdź te pliki na --> JOTTI/ albo na VIRUSTOTAL

Nie mają żadnej sygnatury.

 

jessi

[Expert3222]

nethfdrv.sys: https://www.virustotal.com/pl/file/87bd2d8b34ad3cdf1aaa3f128438a1a6fe2258c90707c12d8360d26f7a39e15e/analysis/1403282374/

http://virusscan.jotti.org/pl/scanresult/558886d6506a15f360fe3a60b610238a821c4686

 

netupdsrv.exe: https://www.virustotal.com/pl/file/af24857e910022155f229dedd251ad73261899ed95627443c0cbc179384e7de2/analysis/1403282707/

http://virusscan.jotti.org/pl/scanresult/cf067546c277317cac1d931137d595dd4772fe70

[jessica]

czyli zostawiamy te pliki w spokoju.

 

Co do Bing: chyba da się ustawić w przeglądarce, by domyślną wyszukiwarką było Google, a nie Bing.

 

jessi

[Expert3222]

Da się, można nawet ukryć ten pasek Bing (co też zrobiłem), ale reklamy nadal są. Wcześniej tego paska nie było w Chrome. Dodatkowo w rozszerzeniach i pluginach nie ma nic podejrzanego.

[jessica]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\hp\Dane aplikacji\Systweak
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Program Files\RichMediaViewV1
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\APN
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\hp\Dane aplikacji\41
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\hp\Menu Start\Programy\SmartTweak Software
[2014-06-05 18:34:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\FZf6k4QZguJ
[2013-12-15 23:19:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\InstallMate

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

jessi

[Expert3222]

Oto logi

06202014_205737.txt

OTL.Txt

[jessica]

Ja w nowym logu nie widzę już niczego podejrzanego (nie licząc tych sprawdzanych na Jotti)

Dzisiejszy skan  jednego z tych plików:

http://www.herdprotect.com/nethfdrv.sys-6c144fa7161e91e5cda10b6712d242eb6c45a3c3.aspx

 

Nie wiem, kiedy tu zajrzy @Picasso.

 

jessi 

[Expert3222]

Wygląda na to, że pomogło (wyłączenie z autostartu). Wielkie dzięki za pomoc.

[jessica]

Wygląda na to, że pomogło (wyłączenie z autostartu). Wielkie dzięki za pomoc.

ale co wyłączyłeś z Autostartu?

czy może te nethfdrv.sys i netupdsrv.exe?

Jeśli tak, to trzeba będzie usunąć także ich usługi.

 

jessi

[Expert3222]

Za pomocą programu autoruns w sekcji drivers odznaczylem nethfdrv.sys (plik też usunąłem).

[jessica]

Ten plik był zainstalowany razem z netupdsrv.exe, i dwoma innymi plikami, Usuniemy ich usługi.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
MOD - [2014-06-16 14:04:30 | 000,162,304 | ---- | M] () -- C:\WINDOWS\system32\netupdsrv.exe
MOD - [2014-06-16 14:04:10 | 000,179,200 | ---- | M] () -- C:\WINDOWS\system32\nethtsrv.exe
SRV - [2014-06-16 14:04:30 | 000,162,304 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\netupdsrv.exe -- (ServiceUpdater)
SRV - [2014-06-16 14:04:10 | 000,179,200 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\nethtsrv.exe -- (NetHttpService)
DRV - [2014-06-16 14:04:40 | 000,049,152 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\nethfdrv.sys -- (nethfdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\A-FF Find and Mount\slicedisk.sys -- (SliceDisk5)

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt.

 

jessi

[Expert3222]

Fixlog w załączniku.

 

Po uruchomieniu Twojego fixa (nie wiem czy z jego przyczyny) komputer resetował się w nieskończoność po dotarciu do momentu ładowania Windowsa, dopiero przytrzymanie przycisku zasilania i normalne włączenie pomogło.

06212014_102823.txt

[jessica]

komputer resetował się w nieskończoność po dotarciu do momentu ładowania Windowsa, dopiero przytrzymanie przycisku zasilania i normalne włączenie pomogło.

Mam nadzieję, że to był jednostkowy przypadek, i takie resety nie będą się powtarzały!

 

jessi