Wyskakujące reklamy

[KOLO41a]

Witam,
Bardzo bym prosił o sprawdzenie logów. Objawem są wyskakujące natrętnie reklamy.

Z góry dziękuje.

 

Niestety pełny skan przez FRST się nie udaje. Program chyba zawiesza się na skanując jakiś błąd i mimo długiego czekania skan nie dobiega końca. Wszystko zostało zrobione wg instrukcji na forum.

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

[picasso]

Niestety pełny skan przez FRST się nie udaje. Program chyba zawiesza się na skanując jakiś błąd i mimo długiego czekania skan nie dobiega końca.

Skan wykonany kilka dni temu przy udziale wersji w owym czasie najnowszej:

 

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 06-09-2014

Ran by Bobek (administrator) on BOBEK-KOMPUTER on 06-09-2014 20:48:06

 

Wymagany jest skan z chwili obecnej przy udziale najnowszej wersji.

 

1. Pobierz FRST ponownie (najnowszy to "Version: 07-09-2014 01"), ale przed uruchomieniem skanu:

 

Start > w polu szukania wpisz eventvwr.msc > rozwiń sekcję Dzienniki systemu Windows > z prawokliku na gałąź Aplikacja wyczyść ten dziennik.

 

2. Zresetuj system. Ponów skan, pola Addition i Shortcut mają być zaznaczone.

 

 

.

[KOLO41a]

Zrobione. W załącznikach wykonany skan.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

W systemie są zainstalowane rozmaite obiekty adware. Z raportu wynika, iż używaną przeglądarką jest Opera. Niestety FRST jej nie skanuje, więc przed zadaniem jakichkolwiek czynności muszę pobrać o niej dane ręcznie, by wiedzieć czy coś należy w samej Operze zrobić.

 

Na razie więc tylko skan Opery. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Users\Bobek\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\Bobek\AppData\Roaming\Opera Software\Opera Stable\Preferences"
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

.

[KOLO41a]

Zrobione. Skan w załączniku.

Fixlog.txt

[picasso]

Owszem, w Operze także jest adware, a konkretnie PHD-V1.4, a skrót w Menu Start jest zmodyfikowany przez istart.webssearches.com:

 

 

 

         },
         "lclfgoiloocdgalcloalohidgnfcbpin": {
            "active_permissions": {
               "api": [ "contextMenus", "cookies", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "creation_flags": 9,
            "events": [  ],
            "from_webstore": true,
            "granted_permissions": {
               "api": [ "contextMenus", "cookies", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "install_time": "13049908924984816",
            "location": 1,
            "manifest": {
               "background": {
                  "page": "background.html"
               },
               "content_scripts": [ {
                  "all_frames": true,
                  "js": [ "js/platformVersion.js", "js/lib/consts.js", "js/lib/logging.js", "js/lib/reports.js", "js/lib/xhr.js", "js/api/cookie.js", "js/api/message.js", "js/api/pageAction.js", "js/lib/installer.js", "js/lib/app_api.js" ],
                  "matches": [ "http://*/*", "https://*/*" ],
                  "run_at": "document_start"
               } ],
               "content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'",
               "description": "Turn YouTube videos to High Definition by default",
               "icons": {
                  "128": "icons/icon128.png",
                  "16": "icons/icon16.png",
                  "48": "icons/icon48.png"
               },
               "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDeXSakece3/E5DYsmvowKIPdrL2z9gFuVEWSg2DqFvLBNshoYiBG7mjv4W0pzd+HXFRfYP806FR+KBbjT8t98fbguOhdqvGDAGZIOSwVVXjfzUJucyy8ZMK2D+YGUeJsaEHUJZrJMYjYhheyVJkEoL+vllNlS9YP1xrGGzFANsIwIDAQAB",
               "manifest_version": 2,
               "name": "PHD-V1.4",
               "permissions": [ "http://*/*", "https://*/*", "tabs", "cookies", "notifications", "contextMenus", "webNavigation", "webRequest", "webRequestBlocking", "unlimitedStorage", "storage" ],
               "update_url": "https://clients2.google.com/service/update2/crx",
               "version": "1.26.62",
               "web_accessible_resources": [ "Settings.json" ]
            },
            "path": "lclfgoiloocdgalcloalohidgnfcbpin\\1.26.62_0",
            "state": 1
         }
      }

========= reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s =========


HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command
    (domyślny)    REG_SZ    "C:\Program Files (x86)\Opera\Launcher.exe" http://istart.webssearches.com/?type=sc&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378

 

 

Zbierając wszystko do kupy, przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 d0e87c27; c:\Program Files (x86)\SW-Booster\AssistantSvc.dll [174928 2014-09-06] () [File not signed]
R2 f1f78e38; c:\ProgramData\WinSpeed\WinSpeedSvc.dll [186192 2014-08-24] () [File not signed]
R2 Update trolatunt; C:\Program Files (x86)\trolatunt\updatetrolatunt.exe [323360 2014-08-05] ()
R2 Util trolatunt; C:\Program Files (x86)\trolatunt\bin\utiltrolatunt.exe [323360 2014-08-05] ()
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]
R1 {0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64; C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64.sys [61112 2014-07-21] (StdLib)
R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys [61120 2014-06-20] (StdLib)
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
HKU\S-1-5-21-555694070-2704252721-650672022-1001\...\Run: [LiveSupport] => "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log
AppInit_DLLs: C:\PROGRA~3\WinSpeed\WINSPE~1.DLL => C:\ProgramData\WinSpeed\WinSpeed_x64.dll [4304896 2014-08-24] ()
AppInit_DLLs: C:\PROGRA~2\SW-BOO~1\ASSIST~2.DLL => C:\Program Files (x86)\SW-Booster\Assistant_x64.dll [4210176 2014-09-06] ()
AppInit_DLLs-x32: c:\progra~3\winspeed\winspeed.dll => c:\ProgramData\WinSpeed\WinSpeed.dll [4127232 2014-08-24] ()
AppInit_DLLs-x32: c:\progra~2\sw-boo~1\assist~1.dll => c:\Program Files (x86)\SW-Booster\Assistant.dll [4296192 2014-09-06] ()
Task: {05D3ADF8-CE9A-4055-A096-309A2A4674EC} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-7 No Task File 
Task: {084C8F1A-2E78-430F-ADA1-2C8B82EE08E0} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-3 No Task File 
Task: {192D2401-A40C-4F45-91C2-0E0517BD0EDF} - \globalUpdateUpdateTaskMachineCore No Task File 
Task: {24568D78-9A9C-4CDC-970C-085D23BB9062} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-6 No Task File 
Task: {3E7FE32C-41D9-43ED-9647-2B18AF9C46DF} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-2 No Task File 
Task: {61A0D17A-4EE0-4B60-94AE-05E5615B2128} - \globalUpdateUpdateTaskMachineUA No Task File 
Task: {6802742F-4C28-4F2A-BD57-C6F9303AF642} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-5_user No Task File 
Task: {81659E09-3D80-4823-A99B-AB219F27A085} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-4 No Task File 
Task: {A8176A55-FCBE-4637-B317-F8A88CD832F0} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe 
Task: {E265FCDD-A1FD-4BD4-A2F1-6CB2B9BAC123} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-5 No Task File 
Task: {E3CD8524-11B9-4622-B51C-8918B40C3AD4} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-1 No Task File 
Task: {E57B6BBE-F340-4B37-B308-F8296965D490} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-11 No Task File 
Task: {FE510951-41DE-4787-BE21-3C328FBE813E} - System32\Tasks\SW-Booster-S-792098896 => c:\programdata\trusted publisher\sw-booster\SW-Booster.exe [2013-09-06] () 
Task: C:\Windows\Tasks\SW-Booster-S-792098896.job => c:\programdata\trusted publisher\sw-booster\SW-Booster.exe 
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
ShortcutWithArgument: C:\Users\Bobek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378
ShortcutWithArgument: C:\Users\Bobek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378
ShortcutWithArgument: C:\Users\Bobek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a12834-386&apn_uid=0471563149454403&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms}
SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a12834-386&apn_uid=0471563149454403&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a12834-386&apn_uid=0471563149454403&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
BHO: YYoUtubeAdBloceke -> {3bcd3670-a43d-4c97-b26c-52bb0681bbe2} -> C:\Program Files (x86)\YYoUtubeAdBloceke\SzK2uA6boZ2LOs.x64.dll ()
BHO: tperifecctucoUpoon -> {77D615B8-2E98-F959-C446-9B9CE5299EEF} -> C:\ProgramData\tperifecctucoUpoon\d6K.x64.dll ()
BHO: pRiCCechop -> {c561f6d7-a9d0-41ac-b055-eca900b58b9b} -> C:\Program Files (x86)\pRiCCechop\1eBzEahhdxcxYC.x64.dll ()
BHO: piricaeciHoop -> {e335ae00-2ef1-4198-80ec-fed4694b68b7} -> C:\Program Files (x86)\piricaeciHoop\UnOVOebpR7QvXg.x64.dll ()
BHO: CoollSaLaeCoupon -> {F324BF5E-B7D0-58BC-98F8-330489556625} -> C:\ProgramData\CoollSaLaeCoupon\BCsk.x64.dll ()
BHO-x32: YYoUtubeAdBloceke -> {3bcd3670-a43d-4c97-b26c-52bb0681bbe2} -> C:\Program Files (x86)\YYoUtubeAdBloceke\SzK2uA6boZ2LOs.dll ()
BHO-x32: tperifecctucoUpoon -> {77D615B8-2E98-F959-C446-9B9CE5299EEF} -> C:\ProgramData\tperifecctucoUpoon\d6K.dll ()
BHO-x32: pRiCCechop -> {c561f6d7-a9d0-41ac-b055-eca900b58b9b} -> C:\Program Files (x86)\pRiCCechop\1eBzEahhdxcxYC.dll ()
BHO-x32: piricaeciHoop -> {e335ae00-2ef1-4198-80ec-fed4694b68b7} -> C:\Program Files (x86)\piricaeciHoop\UnOVOebpR7QvXg.dll ()
BHO-x32: CoollSaLaeCoupon -> {F324BF5E-B7D0-58BC-98F8-330489556625} -> C:\ProgramData\CoollSaLaeCoupon\BCsk.dll ()
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
C:\Program Files (x86)\trolatunt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BananaMt2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZDownloader
C:\Users\Administrator
C:\Users\Gość
C:\Users\Bobek\AppData\Local\Chromatic Browser
C:\Users\Bobek\AppData\Local\Comodo
C:\Users\Bobek\AppData\Local\Google\Chrome
C:\Users\Bobek\AppData\Local\Torch
C:\Users\Bobek\AppData\Roaming\Mozilla
C:\Users\Bobek\AppData\Roaming\Systweak
C:\Users\Bobek\Downloads\yet_another_cleaner_reh.exe
C:\Users\Bobek\Downloads\yet_another_cleaner_gam.exe
C:\Users\Public\Desktop\EZDownloader.lnk
C:\Windows\pss\MyPC Backup.lnk.Startup
C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64.sys
C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys
C:\Windows\SysWOW64\GroupPolicy\GPT.INI
Folder: C:\Windows\SysWOW64\X86
Folder: C:\Windows\SysWOW64\AMD64
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Bobek^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MyPC Backup.lnk" /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware: CoollSaLaeCoupon, EZDownloader, pRiCCechop, SW-Booster, SW-Sustainer 1.80, tperifecctucoUpoon, WinSpeed, YYoUtubeAdBloceke.

 

3. W Operze CTRL+SHIFT+E i na liście rozszerzeń odmontuj adware PHD-V1.4.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz onownie Addition. Dołącz też plik fixlog.txt.

 

 

 

 

.

[KOLO41a]

Zrobione.

Ponowny skan plus fixlog w załącznikach.

 

Dziękuje :-)

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[picasso]

Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\CoollSaLaeCoupon
C:\Program Files (x86)\piricaeciHoop
C:\Program Files (x86)\pRiCCechop
C:\Program Files (x86)\tperifecctucoUpoon
C:\Program Files (x86)\YYoUtubeAdBloceke
C:\ProgramData\374311380
C:\ProgramData\fa44b07cd1d0e72f
C:\ProgramData\CoollSaLaeCoupon
C:\ProgramData\piricaeciHoop
C:\ProgramData\pRiCCechop
C:\ProgramData\tperifecctucoUpoon
C:\ProgramData\Trusted Publisher
C:\ProgramData\YYoUtubeAdBloceke
C:\Users\Bobek\AppData\Local\Packages
Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

.

[KOLO41a]

Zrobione. Nowe Logi w załącznikach:

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

Fixlog.txt

FRST.txt

[picasso]

Tu robota w kółko widzę. Dopóki nie zmienisz nawyków i nie zaczniesz być bardziej uważny, bedą ciągle te same mz niechcianymi instalacjami i reklamami. Proszę przeczytaj czego unikać, skąd nie pobierać: KLIK.

 

AdwCleaner usuwał o wiele więcej niż miało być w systemie i gdybym wiedziała, że znów zabrudziłeś system, w ogóle bym go nie zadała na tym etapie, bo w pierwszej kolejności należy adware w poprawny sposób odinstalować. Domontowałeś kolejne adware SmarterPower. Prawdopodobna droga nabycia to portal dobreprogramy.pl, bo widać w świeżo utworzonych plikach śmieciowe "Asystenty pobierania", które miały pobierać Adobe Flash:

 

2014-09-10 23:02 - 2014-09-10 23:03 - 00803112 _____ ( ) C:\Users\Bobek\Downloads\Adobe-Flash-Player(13091)-dp (2).exe

2014-09-10 23:01 - 2014-09-10 23:01 - 00803112 _____ ( ) C:\Users\Bobek\Downloads\Adobe-Flash-Player(13091)-dp (1).exe

2014-09-10 23:00 - 2014-09-10 23:00 - 00803112 _____ ( ) C:\Users\Bobek\Downloads\Adobe-Flash-Player(13091)-dp.exe

 

SmarterPower nie został poprawnie odinstalowany, na siłę wywalał go AdwCleaner. No cóż, już za późno. Ale ostrzeżenie na przyszłość. I finalizacja tematu:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z Pobieranych wszystkie pliki "asystentów" dobrychprogramów. To śmieci.

 

2. Usuń używane narzędzia za pomocą DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Nie wiem czy to nadal aktualne, ale te dwa stare dziurawe programy muszą zostać odinstalowane dla bezpieczeństwa:

 

==================== Installed Programs ======================
 

Adobe Flash Player ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 9.0.124.0 - Adobe Systems Incorporated)

Java™ 6 Update 22 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216022FF}) (Version: 6.0.220 - Oracle)

 

 

 

.