Braveza Opublikowano 13 Października 2014 Zgłoś Udostępnij Opublikowano 13 Października 2014 w przeglądarce Opera włączają się reklamy smarterpower, a w tle otwierają się strony z grami. Żaden antywirus nie chce się tego pozbyć...co robić? Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... GMER.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Października 2014 Zgłoś Udostępnij Opublikowano 13 Października 2014 Jest tu większa ilość adware, nie tylko SmarterPower. Ponadto, próbując się ratować zostało doinstalowanych więcej śmieci, czyli wątpliwe skanery-naciągacze SpyHunter i YAC. Był stosowany DelFix - w jakim celu, skoro to usuwacz narzędzi czyszczących a nie adware? Przeprowadź następujące akcje: 1. Przez Panel sterowania odinstaluj: McAfee Security Scan Plus, SecretSauce, SpyHunter, WinZipper, YAC(Yet Another Cleaner!), Yahoo! Search. Jeśli czegoś nie będzie się dało odinstalować, lub nie będzie widoczne, nie szkodzi = kontynuuj z resztą zadań. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {5eeb83d0-96ea-4249-942c-beead6847053}w64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}w64.sys [44696 2014-09-15] (StdLib) R1 {b52a596e-357b-4007-9a88-5592a17b1be9}w64; C:\Windows\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}w64.sys [48792 2014-10-12] (StdLib) R1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64; C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64.sys [48792 2014-10-13] (StdLib) R1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}w64; C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}w64.sys [48792 2014-10-13] (StdLib) R2 Update SmarterPower; C:\Program Files (x86)\SmarterPower\updateSmarterPower.exe [522488 2014-10-13] () R2 Util SmarterPower; C:\Program Files (x86)\SmarterPower\bin\utilSmarterPower.exe [522488 2014-10-13] () U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2013-07-11] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S2 desksvc; C:\Program Files (x86)\Desk 365\deskSvc.exe [X] S2 Update ClearThink; "C:\Program Files (x86)\ClearThink\updateClearThink.exe" [X] S2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [X] Task: {0BAFA5E8-CA98-4FE5-B36A-2B1E459FD723} - \BackgroundContainer Startup Task No Task File Task: {2C5642C5-14A1-44F1-B345-0F5AD03C5770} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {AF143EB9-D5BA-47F7-A084-AD576B514ABC} - System32\Tasks\Yahoo! Search => C:\Users\User\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe [2014-10-12] (Pay By Ads LTD) Task: {C49A9586-795F-482B-B6A1-16670F179AAE} - System32\Tasks\Yahoo! Search Udpater => C:\Users\User\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrsetup.exe [2014-10-12] (Pay By Ads LTD) Task: {F7DD07AB-F8ED-4301-9B7C-DD7784A57F4C} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe HKU\S-1-5-21-2436698491-710929886-1342722519-1000\...\Run: [Yahoo! Search] => C:\Users\User\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe [438632 2014-10-12] (Pay By Ads LTD) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKCU\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1408612740&from=cor&uid=3219913727_198313_CAAD1289&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1408612740&from=cor&uid=3219913727_198313_CAAD1289&q={searchTerms} URLSearchHook: HKLM-x32 - (No Name) - {96f454ea-9d38-474f-b504-56193e00c1a5} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO-x32: No Name -> {96f454ea-9d38-474f-b504-56193e00c1a5} -> No File BHO-x32: SmarterPower -> {bd7c9b62-a7d9-4405-be51-7fd633f08791} -> C:\Program Files (x86)\SmarterPower\SmarterPowerBHO.dll No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM-x32 - No Name - {96f454ea-9d38-474f-b504-56193e00c1a5} - No File C:\Program Files (x86)\Desk 365 C:\Program Files (x86)\SmarterPower C:\ProgramData\AVAST Software C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\User\AppData\Local\Google\Chrome C:\Users\User\AppData\Local\Pay-By-Ads C:\Users\User\AppData\Roaming\service C:\Users\User\Downloads\SpyHunter-Installer.exe C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\system32\log C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}w64.sys C:\Windows\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}w64.sys C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64.sys C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}w64.sys DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome Folder: C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\User\AppData\Local CMD: dir /a C:\Users\User\AppData\LocalLow CMD: dir /a C:\Users\User\AppData\Roaming CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Braveza Opublikowano 14 Października 2014 Autor Zgłoś Udostępnij Opublikowano 14 Października 2014 Witam, zrobiłam wszystko jak napisałaś. Nie mogłam usunąć Yahoo!Search. Załączam logi. Addition.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 14 Października 2014 Zgłoś Udostępnij Opublikowano 14 Października 2014 Braveza, plik Fixlist został źle zrobiony w Notatniku, zniekształcone przejścia do nowej linii, wszystko pomieszane. Tym sposobem FRST w ogóle nie przetworzył połowy rzeczy planowanych do usunięcia. Zawartość przeklejona do Notatnika ma wyglądać identycznie jak w moim poście. Powtórka: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64; C:\Windows\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64.sys [48792 2014-10-13] (StdLib) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKCU\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1408612740&from=cor&uid=3219913727_198313_CAAD1289&q={searchTerms} C:\Program Files\Enigma Software Group C:\Program Files\McAfee Security Scan C:\Program Files (x86)\Desk 365 C:\Program Files (x86)\SmarterPower C:\Program Files (x86)\WinZipper C:\ProgramData\AVAST Software C:\ProgramData\McAfee C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\User\AppData\Local\cache C:\Users\User\AppData\Local\Google\Chrome C:\Users\User\AppData\LocalLow\uTorrentControl_v6 C:\Users\User\AppData\Roaming\Desk 365 C:\Users\User\AppData\Roaming\WinZipper C:\Users\User\Downloads\yet_another_cleaner_sk_6144925.exe C:\Windows\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64.sys DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search DeleteKey: HKLM\SOFTWARE\Google\Chrome EmptyTemp: Przejścia do nowej linii mają być identyczne w Notatniku jak w poście Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Braveza Opublikowano 14 Października 2014 Autor Zgłoś Udostępnij Opublikowano 14 Października 2014 Ok. Zrobiłam ponownie :-) Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 14 Października 2014 Zgłoś Udostępnij Opublikowano 14 Października 2014 Braveza, powiedz mi jak Ty te pliki robisz i za pomocą jakiej przeglądarki przeklejasz z posta do Notatnika? Znowu błędy i przełamania linii lub ich sklejenie. Przykładowo w moim pliku były dwie osobne linie: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKCU\SOFTWARE\Policies\Google: Policy restriction A u Ciebie po wklejeniu sieczka, przerobione dwie linie na jedną: GroupPolicy: Group Policy on Chrome detected restriction I znów się nie wszystko wykonało. Wymagana jeszcze jedna poprawka. Otwórz Notatnik i wklej w nim: GroupPolicy: Group Policy on Chrome detected CHR HKCU\SOFTWARE\Policies\Google: Policy restriction RemoveDirectory: C:\Users\User\AppData\Local\Google\Chrome RemoveDirectory: C:\FRST\Quarantine Są tu 4 linie i przejścia donowej linii mają być identyczne w Notatniku Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
Braveza Opublikowano 14 Października 2014 Autor Zgłoś Udostępnij Opublikowano 14 Października 2014 Robię kopiuj i wklej... z outlooka ... chyba źle... Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 14 Października 2014 Zgłoś Udostępnij Opublikowano 14 Października 2014 Na przyszłość: treść ma być kopiowana bezpośrednio między przeglądarką a Notatnikiem, proszę nie kopiuj via Outlook oraz inne zewnętrzne programy. Znów błędy, ale tym razem się upiekło, FRST zdołał przetworzyć wszystko mimo przełamania linii. Kolejne zadanie do wykonania: Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log. . Odnośnik do komentarza
Braveza Opublikowano 14 Października 2014 Autor Zgłoś Udostępnij Opublikowano 14 Października 2014 Zrozumiałam błąd :-) Zastosowałam. Log załączony :-) AdwCleanerS0.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 14 Października 2014 Zgłoś Udostępnij Opublikowano 14 Października 2014 Wszystko wykonane. Finalizujemy temat: 1. Zastosuj DelFix. GMER ręcznie usuń z dysku. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj te programy: ==================== Installed Programs ====================== Adobe Reader XI (11.0.05) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.05 - Adobe Systems Incorporated) Java 7 Update 45 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417045FF}) (Version: 7.0.450 - Oracle) Java 7 Update 45 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.450 - Oracle) . Odnośnik do komentarza
Braveza Opublikowano 14 Października 2014 Autor Zgłoś Udostępnij Opublikowano 14 Października 2014 Dziękuję bardzo za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi