Problem z Apps Hat, wyskakujące reklamy

[arekw77]

Witam ponownie.

Tym razem mam problem z niemożliwością usunięcia Apps Hat. Poza tym jak klikam na jakąś stronkę, to automatycznie w innym oknie odpala mi się jakaś reklama. Antywirus nic nie wykrył.

Także często pojawia się alert Norton Internet Security, że Mozilla całkowicie obciąża pamięć lub dysk. Mimo aktualizacji Adobe Flash za każdym razem, na każdej stronce pojawia się wybór, czy uruchomić wtyczkę "Adobe Flash", jest to bardzo uciążliwe. Nadmienię, że przy robieniu loga za pomocą GMER wyskakiwał błąd używania programu przez inne żródło.

Poniżej logi, bardzo proszę o pomoc.

Addition.txt

Extras.Txt

FRST.txt

gmer.txt

OTL.Txt

Shortcut.txt

[picasso]

Apps Hat i reklamy to nie jedyny problem, w systemie działa też infekcja robak Gamarue. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\...\Policies\Explorer\Run: [45973] => C:\ProgramData\Local Settings\Temp\msquzu.cmd [56416 2012-09-20] ( (Microsoft Corporation))
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-29] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-29] (globalUpdate) [File not signed]
Task: {C83C69E5-D7D6-4876-926F-F0D107DFF6D8} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-29] (globalUpdate) 
Task: {E50A09E5-71A1-47E9-9683-6F21C6A5A535} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-29] (globalUpdate) 
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
BHO: Apps Hat -> {11111111-1111-1111-1111-110411851159} -> C:\Program Files (x86)\Apps Hat\Apps Hat-bho64.dll No File
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\Local Settings
C:\Users\arekw77\AppData\Local\globalUpdate
C:\Users\arekw77\AppData\Local\Mobogenie
C:\Users\arekw77\Downloads\*(*)-dp*.exe
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Codec Pack Packages" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IPLA! /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Yontoo Desktop" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NTRedirect /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v sidebar /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "OpenOffice.org 3.4.1.lnk" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Zune Launcher" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLMLServer_For_P2G8 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RemoteControl10 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v DivXMediaServer /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tuto4pc_pl_16 /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\arekw77\AppData\Local
CMD: dir /a C:\Users\arekw77\AppData\LocalLow
CMD: dir /a C:\Users\arekw77\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie FoxTrick trzeba będzie przeinstalować.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[arekw77]

Witam.

Zrobione jak kazano.

FRST.txt

Fixlog.txt

[picasso]

Kombinowałeś przed uruchomieniem mojego Fix do FRST, połowy obiektów nie odnaleziono. A konkretnie: był uruchamiany MBAM - proszę dostarcz log co on usuwał. Na przyszłość: proszę nie uruchamiaj żadnych skanerów w międzyczasie, a jeśli to się stało, nie wykonuj instrukcji podanych w poście, tylko dostarcz log ze skanera + cały komplet świeżych logów obowiązujących na forum. I kolejne poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\Mobogenie
C:\Program Files (x86)\Temp
C:\ProgramData\boost_interprocess
C:\ProgramData\install_clap
C:\ProgramData\MFAData
C:\ProgramData\Temp
C:\Users\arekw77\AppData\Local\Avg2013
C:\Users\arekw77\AppData\Local\cache
C:\Users\arekw77\AppData\Local\Chromium
C:\Users\arekw77\AppData\Local\MFAData
C:\Users\arekw77\AppData\Local\UpdateInstaller
C:\Users\arekw77\AppData\Roaming\TuneUp Software
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\arekw77\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz log z folderu C:\AdwCleaner.

 

 

 

.

[arekw77]

Rzeczywiście użyłem MBAM, bo myślałem, że to coś pomoże.

Poniżej wymagane logi (mam nadzieję, że dobrze zrozumiałem poprzedniego posta).

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

mbam.txt

[picasso]

AdwCleaner się pomylił i skasował wszystkie wystąpienia rozszerzenia Norton Identity Protection w Google Chrome. Otwórz Google Chrome i sprawdź czy to rozszerzenie zostanie automatycznie uzupełnione przez działającego w tle Nortona.

[arekw77]

Zapytało, czy dodać rozszerzenie, więc kliknąłem tak.

[picasso]

Czyli w porządku, szkoda odkręcona. Wszystko zostało wykonane i kończymy temat:

 

1. Usuń używane narzędzia za pomocą DelFix. Pobrany GMER dokasuj ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Java 7 Update 45 do najnowszej wersji.

[arekw77]

Wszystko zrobione. Dziękuję bardzo.

Czy jestem w stanie jakoś ustrzec się przed podobnymi problemami, bo jak widzę Norton Security nie wystarcza...

[picasso]

Tego rodzaju problemy to niestety wynik nieuważnych instalacji, albo nieodznaczenia "bonusów" w instalatorach, albo korzystania z portalowych "downloaderów" (u Ciebie na dysku były widoczne conajmniej pliki "Asystenta pobierania" dobrychprogramów.pl). Do wglądu ten artykuł: KLIK.