Zamulony net + reklamiarz we wszystkich przeglądarkach

[diabell1987]

Witam od kilku dni borykam się z problemem zamulonego neta i wiecznie wyskakujących reklam w nowych oknach i karta we wszystkich przeglądarkach dodatkowo często bywa tak że nawet niechce uruchomić przez dłuższy czas żadnego programu zainstalowanego na kompie. Bardzo proszę o pomoc.

Logi zamieszczam w załącznikach gdyż jak próbowałem je wkleić w post to wyskakiwał komunikat że post jest zbyt długi i mam go skrócić

 

ps. zapomniałem dopisać że avast nic już więcej nie wykrywa i usunoł tylko kilka wirusów

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

[picasso]

Logi zamieszczam w załącznikach gdyż jak próbowałem je wkleić w post to wyskakiwał komunikat że post jest zbyt długi i mam go skrócić

Umieszczanie logów w załącznikach jest tu wymogiem, nie wkleja się ich w postach. Za logi "krótkie" dozwolone do wklejania bezpośredniego uznaję kilkulinijkowe a nie takie.

 

 

W systemie działa agresywne adware, m.in. z grupy Sambreel. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 Update sizlsearch; C:\Program Files\sizlsearch\updatesizlsearch.exe [323360 2014-09-08] ()
R2 Util sizlsearch; C:\Program Files\sizlsearch\bin\utilsizlsearch.exe [323360 2014-09-08] ()
R2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe [528896 2014-09-03] (Fuyu LIMITED) [File not signed]
R1 {9d5747ee-0448-4681-8337-1555de75a3b6}Gt; C:\WINDOWS\System32\drivers\{9d5747ee-0448-4681-8337-1555de75a3b6}Gt.sys [55104 2014-08-23] (StdLib)
S3 adusbser; system32\DRIVERS\adusbser.sys [X]
S1 eeCtrl; \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [X]
S3 EraserUtilRebootDrv; \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [X]
S3 HidNt; system32\DRIVERS\HIDNt.sys [X]
S3 Mac606; system32\DRIVERS\Mac606.sys [X]
HKLM\...\Run: [] => [X]
HKLM\...\Run: [fst_pl_188] => [X]
AppInit_DLLs: c:\progra~1\movies~1\datamngr\mgrldr.dll => c:\progra~1\movies~1\datamngr\mgrldr.dll File Not Found
HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll 
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\Asia\DANEAP~1\BABSOL~1\Shared\BabMaint.exe
Startup: C:\Documents and Settings\Asia\Menu Start\Programy\Autostart\Canon IJ Status Monitor Canon MP230 series Printer.lnk
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409764853&from=obw&uid=SAMSUNGXHD250HJ_S0URJ9DQ221815&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409764853&from=obw&uid=SAMSUNGXHD250HJ_S0URJ9DQ221815&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.doko-search.com/?babsrc=HP_ss&mntrId=58DD001BFCD00BC7&affID=125839&tl=gpn65235&tsp=5039
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409764853&from=obw&uid=SAMSUNGXHD250HJ_S0URJ9DQ221815&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409764853&from=obw&uid=SAMSUNGXHD250HJ_S0URJ9DQ221815&q={searchTerms}
URLSearchHook: HKCU - UsProvider Class - {539F76FD-084E-4858-86D5-62F02F54AE86} - C:\Program Files\Minibar\Minibar.dll (KangoExtensions)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1409764853&from=obw&uid=SAMSUNGXHD250HJ_S0URJ9DQ221815
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=495&systemid=406&v=a9396-116&apn_uid=5044781299234525&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={44DB1399-D6E7-4B27-863D-B1A7B726FEFC}
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=58DD001BFCD00BC7&affID=125839&tl=gpn65235&tsp=5039
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=495&systemid=406&apn_uid=5044781299234525&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={44DB1399-D6E7-4B27-863D-B1A7B726FEFC}
BHO: sizlsearch -> {36d96925-abfa-4eb8-b630-305e905a930d} -> C:\Program Files\sizlsearch\sizlsearchbho.dll (sizlsearch)
BHO: MinibarBHO -> {AA74D58F-ACD0-450D-A85E-6C04B171C044} -> C:\Program Files\Minibar\Minibar.dll (KangoExtensions)
Toolbar: HKLM - No Name - {377e5d4d-77e5-476a-8716-7e70a9272da0} - No File
Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455}
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKLM\...\Firefox\Extensions: [{6D5C8FC4-DE46-41bf-9092-93F0F78E9115}] - C:\Documents and Settings\All Users\Dane aplikacji\Norton\{78CA3BF0-9C3B-40e1-B46D-38C877EF059A}\NSM_2.8.0.5\coFFFw
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-10-18]
CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-11-26]
CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx [2012-11-26]
CHR HKCU\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\DOCUME~1\Asia\USTAWI~1\DANEAP~1\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [2013-05-21]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
GroupPolicy: Group Policy on Chrome detected 
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\BitGuard
C:\Documents and Settings\All Users\Dane aplikacji\Norton
C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\Asia\Dane aplikacji\ap_logs
C:\Documents and Settings\Asia\Dane aplikacji\aps.uninstall.scan.results
C:\Documents and Settings\Asia\Dane aplikacji\BabSolution
C:\Documents and Settings\Asia\Dane aplikacji\Babylon
C:\Documents and Settings\Asia\Dane aplikacji\Minibar
C:\Documents and Settings\Asia\Dane aplikacji\onlysearch
C:\Documents and Settings\Asia\Dane aplikacji\OpenCandy
C:\Documents and Settings\Asia\Dane aplikacji\Radmin
C:\Documents and Settings\Asia\Dane aplikacji\webssearches
C:\Documents and Settings\Asia\Pulpit\Continue Live Installation.lnk
C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\*.tmp
C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}
C:\Program Files\Minibar
C:\Program Files\predm
C:\WINDOWS\jumpshot.com
C:\WINDOWS\system32\Drivers\{9d5747ee-0448-4681-8337-1555de75a3b6}Gt.sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f
Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f
Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f
CMD: netsh firewall reset
CMD: sc config "PLAY ONLINE. RunOuc" start= demand

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj adware: sizlsearch, WindowsMangerProtect20.0.0.722.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Lightning Newtab, SweetIM for Facebook, SweetPacks Chrome Extension
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[diabell1987]

Witam sorki że po takim czasie ale nie miałem czasu zająć się kompem poniżej załączam logi po wykonaniu wszystkich kroków z powyższego postu. Na chwilę obecną mogę tylko stwierdzić że reklamy już się nie włączają. Niestety nie mogę teraz stwierdzić czy net jest lepszy gdyż mój dostawca ma jakieś problemy z użądzeniami wifi a ja mam właśnie radiowo i mam teraz słaby zasięg. A do tego komp mi się coś strasznie zaczyna mulić.

FRST.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

[picasso]

Czym robiłeś skrypt i za pomocą jakiej przeglądarki był przeklejany? Notatnik jest obowiązkowy. Skrypt został źle zrobiony, miał przełamania linii gdzie nie powinien, na dodatek wykonał się jedynie częściowo, a sam wynikowy Fixlog jest obcięty. Poprawki:

 

Otwórz Notatnik i wklej w nim:

 

Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455}
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKLM\...\Firefox\Extensions: [{6D5C8FC4-DE46-41bf-9092-93F0F78E9115}] - C:\Documents and Settings\All Users\Dane aplikacji\Norton\{78CA3BF0-9C3B-40e1-B46D-38C877EF059A}\NSM_2.8.0.5\coFFFw
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
CHR HKCU\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\DOCUME~1\Asia\USTAWI~1\DANEAP~1\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [2013-05-21]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Norton
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP
RemoveDirectory: C:\Documents and Settings\Asia\Dane aplikacji\ap_logs
RemoveDirectory: C:\Documents and Settings\Asia\Dane aplikacji\Radmin
RemoveDirectory: C:\Documents and Settings\Asia\Pulpit\Stare dane programu Firefox
RemoveDirectory: C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}
RemoveDirectory: C:\WINDOWS\jumpshot.com
RemoveDirectory: C:\WINDOWS\system32\GroupPolicy\Machine
RemoveDirectory: C:\WINDOWS\system32\GroupPolicy\User
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f
Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f
Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f
CMD: del /q "C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\*.tmp"
CMD: del /q C:\WINDOWS\system32\sqlite3.dll
CMD: del /q C:\WINDOWS\system32\GroupPolicy\GPT.INI
CMD: del /q C:\WINDOWS\system32\Drivers\{9d5747ee-0448-4681-8337-1555de75a3b6}Gt.sys
CMD: netsh firewall reset
CMD: sc config "PLAY ONLINE. RunOuc" start= demand
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw kolejny fixlog.txt.

 

 

 

.

[diabell1987]

Witaj skrypt był robiony w notatniku i obecnie urzywam firefoxa. Wykonałem nowy skrypt poniżej przedstawiam fixloxa oaz nowy log z frst.

Fixlog.txt

FRST.txt

[picasso]

Czy są jeszcze jakieś problemy w systemie? Tym razem skrypt pomyślnie wykonany. Czynności końcowe:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj używane narzędzia z C:\Documents and Settings\Asia\Moje dokumenty\Pobrane\do logów. Popraw za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do aktulizacji następujące pozycje:

 

==================== Installed Programs ======================
 

Adobe Flash Player 14 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 14.0.0.145 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 14 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 14.0.0.145 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera

Adobe Reader X (10.1.11) (HKLM\...\{AC76BA86-7AD7-1033-7B44-AA1000000001}) (Version: 10.1.11 - Adobe Systems Incorporated)

Java 7 Update 21 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217021FF}) (Version: 7.0.210 - Oracle)

Microsoft Office Enterprise 2007 (HKLM\...\ENTERPRISE) (Version: 12.0.4518.1014 - Microsoft Corporation) ----> instalacja SP2

Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20125.0 - Microsoft Corporation)

Mozilla Firefox 31.0 (x86 pl) (HKLM\...\Mozilla Firefox 31.0 (x86 pl)) (Version: 31.0 - Mozilla)

 

 

 

.

[diabell1987]

na chwilę obecną nie mam żadnych innych problemów z kompem oprócz bardzo wolnego ładowania się systemu. Postaram się z tym już sam uporać. Pliki usunięte poniżej przedstawiam log. A aktualizacje wykonam jak będę miał trochę więcej czasu

 

 

 

# DelFix v10.8 - Logfile created 15/09/2014 at 20:22:28
# Updated 29/07/2014 by Xplode
# Username : Asia - XXX-80083D77912
# Operating System : Microsoft Windows XP Dodatek Service Pack 3 (32 bits)

~ Removing disinfection tools ...

Deleted : C:\FRST
Deleted : C:\Documents and Settings\Asia\Moje dokumenty\Downloads\esetsmartinstaller_plk.exe
Deleted : HKLM\SOFTWARE\OldTimer Tools
Deleted : HKLM\SOFTWARE\AdwCleaner

########## - EOF - ##########

 

[picasso]

na chwilę obecną nie mam żadnych innych problemów z kompem oprócz bardzo wolnego ładowania się systemu

1. Był uruchamiany GMER, więc na wszelki wypadek zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Jedna ze świeżych instalacji to niestety Avast, możliwe że to on wpływa negatywnie na start.

 

 

 

.