Reklamiarz + "coś"

[lordmtk]

Witam. 

Bardzo proszę o pomoc w naprawie mojego systemu tudzież przeglądarki. Objawy infekcji to reklamy w oknie przeglądarki, przekierowania, które np. przed chwilą uniemożliwiły mi podgląd posta bo okno poleciało już do jakiejś gry. Prócz tego kilka razy widziałem jakiś komunikat któremu niestety nie zrobiłem screen'a a nie pamiętam treści ale mówi on o tym, że jakiś program w Chrome chce uzyskać dane ( coś w tym stylu).   Zaznaczę jeszcze, że jestem laikiem i proszę to uwzględnić w odpowiedzi. Z góry dziękuję za odzew, pomoc i wyrozumiałość. 

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

log. GMER.txt

[picasso]

W oknie GMER jako "podejrzany" stoi po po prostu moduł dysku GG, to nie jest tu problemem.

 

ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.)

ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.)

ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.)

ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.)

 

Problemem zasadniczym jest adware Techgile wmontowane do Google Chrome. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X]
HKLM-x32\...\Run: [ROC_roc_ssl_v12] => "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12
HKU\S-1-5-21-2184118066-859118458-687225370-1000\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Users\Robert\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=54e62f3abf8d47d0be1cd1543b71c18b-1308d3c63c742bcf262aec552d1bdcca5b3be4c5 /CMPID=1213b
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=156
HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> DefaultScope {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms}
SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {C68463FC-2E20-492D-B129-C09640278F6B} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D75B0CE9-6D33-4FF2-9E58-9DFAE6ED907E&apn_sauid=EB10D1E6-E5BE-4D94-BED6-8341C01F8202
SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms}
BHO: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files (x86)\AVG\AVG2012\avgssiea.dll No File
BHO-x32: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files (x86)\AVG\AVG2012\avgssie.dll No File
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll No File
CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
C:\ProgramData\AVAST Software
C:\Users\Robert\AppData\Local\Avg2014
C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\Robert\AppData\Roaming\Mozilla
C:\Users\Robert\AppData\Roaming\TuneUp Software
C:\Users\Default\AppData\Roaming\TuneUp Software
C:\Users\Robert\Desktop\*_Sciagnij.pl.exe
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Robert\AppData\Local
CMD: dir /a C:\Users\Robert\AppData\LocalLow
CMD: dir /a C:\Users\Robert\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Techgile.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Powiedz mi też co jest w folderze C:\AVAST.

 

 

 

 

.

[lordmtk]

Dałem radę z logiem GMER którego zdaje się nie widziałaś. Swoją droga myślałem, że jak mam post w edycji to go nie widzisz. hmmm. Polecenie bez zmiany?

log. GMER.txt

[picasso]

Skoro post już wysłałeś na forum, to jest publiczny i nie jest ukrywany, gdy go edytujesz, tylko że edycję mogę zobaczyć dopiero wtedy, gdy ją zatwierdzisz. Oglądałam temat sprzed edycji. Log z GMER nic nie zmienia, wszystkie komentarze i instrukcje nadal aktualne.

[lordmtk]

W folderze AVAST była instalka Avasta, już jej nie ma.

 

FRST.txt

Fixlog.txt

[picasso]

Otwórz plik Fixlog i popatrz co tam jest! Przeklejając z posta do Notatnika zepsułeś cały format skryptu, przepuściłeś go przez translator przeglądarki! Angielskie słowa zamienione na polskie, ścieżki rozbite (spacje) i nic nie zostało wykonane z punktu 1. Jeśli przeglądarka pyta "czy tłumaczyć stronę", nie wolno tego zrobić tu na polskim forum, gdzie jest podawany skrypt, bo to niszczy skrypt. Przykład, wpis adware:

 

S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X]

 

... został "przetłumaczony" jako (takie wejście nie istnieje w systemie):

 

S2 Aktualizacja Techgile; "C: \ Program Files (x86) \ Techgile \ updateTechgile.exe" [X] 

 

Do powtórki cały punkt numer 1, a po tym nowy log FRST zrób (bez Addition i Shortcut).

 

 

 

.

[lordmtk]

Taki mam log, zobacz Ty jest ok bo program musiałem wyłączyć sam po 24 godzinach pracy... drugi raz też zamulił na zawsze... ale ostatni miałem komunikat że jest COMPLETE wiec chyba gra.. hmmm?

Fixlog.txt

[picasso]

A już wiem dlaczego się zaciął Fix, mój błąd - brak parametru cichego przy jednej z komend i weszło w pętlę. Powtórz tę część operacji, która nie została przetworzona - tym razem powinno pójść gładko:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Robert\AppData\Local
CMD: dir /a C:\Users\Robert\AppData\LocalLow
CMD: dir /a C:\Users\Robert\AppData\Roaming
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[lordmtk]

Wykonano.

Fixlog.txt

FRST.txt

[picasso]

Drobne poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\Techgile
C:\Program Files (x86)\Zero G Registry
C:\ProgramData\Ask
C:\ProgramData\AVG Security Toolbar
C:\Users\Robert\AppData\LocalLow\dt.dat
C:\Users\Robert\AppData\Roaming\Mozilla

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy log fixlog.txt.

 

2. Uruchom AdwCleaner, wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner.

[lordmtk]

Zrobione...

Fixlog.txt

AdwCleanerR0.txt

[picasso]

Fix wykonany. Natomiast AdwCleaner czepia się komunikatora QQ - ten komunikator jest od początku na Twojej liście zainstalowanych i nie ruszałam tego umyślnie. Czy to celowa instalacja?.

[lordmtk]

QQPlayer... odtwarzacz video, nic mi nie wiadomo o takim komunikatorze. ?!?!

[picasso]

Pomyliło mi się, jest też komunikator QQ. Rozumiem, że to celowa instalacja?

[lordmtk]

Tak, celowa. Już zbędna więc usuwam skoro się go czepiają

[picasso]

AdwCleaner czepia się niekiedy rzeczy, których nie powinien. Skoro QQ okazał się zbędnikiem, deinstalacja jest poprawną metodą pozbycia się. Po deinstalacji możesz ponownie uruchomić AdwCleaner, zastosować sekwencję Szukaj + Usuń i dostarczyć wynikowy log AdwCleanerS0.txt.

[lordmtk]

Zdaje się, że już jest ok... Dziękuje Ci bardzo za pomoc. Jesteś wielka! Pozdrawiam. 

AdwCleanerR1.txt

[picasso]

To kolejny log z opcji Szukaj (AdwCleanerR1.txt), a ja prosiłam o log z opcji Usuń (AdwCleanerS0.txt).

[lordmtk]

aaaaaa

AdwCleanerS0.txt

[picasso]

Kończymy. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zakualizuj Adobe/Java: KLIK.

[lordmtk]

Nie mogłem wkleić tego pliku "Wysyłanie ominięte(Nie wybrano pliku do importu)", hmm wklejam treść:

 

# DelFix v10.8 - Logfile created 17/12/2014 at 13:39:40

# Updated 29/07/2014 by Xplode

# Username : Robert - ROBERT-KOMPUTER

# Operating System : Windows 7 Ultimate Service Pack 1 (64 bits)

 

~ Removing disinfection tools ...

 

Deleted : C:\FRST

Deleted : C:\AdwCleaner

Deleted : C:\Users\Robert\Desktop\FRST-OlderVersion

Deleted : C:\AdwCleanerDebug.txt

Deleted : C:\Users\Robert\Desktop\adwcleaner_4.104.exe

Deleted : C:\Users\Robert\Desktop\FRST.txt

Deleted : C:\Users\Robert\Desktop\FRST64.exe

Deleted : C:\Users\Robert\Desktop\OTL.exe

Deleted : HKLM\SOFTWARE\OldTimer Tools

Deleted : HKLM\SOFTWARE\AdwCleaner

 

 

 

########## - EOF - ##########

 

 

Rozumiem, że wszystko usunięto prawidłowo. Dziękuję za pomoc. Życzę dużo zdrowia i uśmiechu.

[picasso]

Błąd przy wysyłaniu załącznika to możliwe, że pod wpływem aktywności programu antywirusowego. Delfix wykonał zadanie, skasuj plik C:\Delfix.txt z dysku.

 

Temat rozwiązany. Zamykam.