Spowolnienie pracy systemu, zacinanie przeglądarki oraz duża ilość reklam typu spyware

[grzymek77]

Witam.

Mam problem od 2 dni z moim PC. Otóż problemem zaczęły być uciażliwe reklamy wyskakujące poniżej treści wiadomości, spowolniły programy w systemie mój antywirus co jakiś czas monituje przeniesienie zagrożonych plików w systemie do kwarantanny, niestety nie może sobie z nimi poradzić. Również przeglądarka zostaje przenoszona na różne strony czesto zarażone spyware.

 

Załączam logi:

OTL.Txt

Extras.Txt

Shortcut.txt

Addition.txt

FRST.txt

Logi Gmer.txt

[picasso]

W Firefox rezyduje adware BuyNsavee. Wdróż następujące działania:

 

1. Jeśli Software Informer 1.4.1181.0 to nie była celowa instalacja, odinstaluj.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
BHO: BuyNNSave -> {18a93809-7420-401b-ac61-79b242c2f51d} -> C:\Program Files (x86)\BuyNNSave\pUMiPTdgwoaYyg.x64.dll No File
Toolbar: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
FF Plugin-x32: @videolan.org/vlc,version=2.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File
FF Plugin-x32: @videolan.org/vlc,version=2.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File
Task: {0A7511F4-5319-44DF-B834-8B3CC7A6A6DA} - System32\Tasks\{64D055BC-F598-4512-A54E-47520116069B} => pcalua.exe -a C:\PROGRA~2\DAP\DAPREMOVE.EXE
Task: {20F975CC-8A57-42DC-8E76-4CABE97234B7} - System32\Tasks\{BB5D7A52-0154-4139-B121-683BC4053380} => pcalua.exe -a C:\Users\ROBERT\Downloads\vkaraoke.exe -d C:\Users\ROBERT\Downloads
Task: {5305363D-8BD6-405F-B8B0-710258607E8C} - System32\Tasks\{AF9827A6-6DF8-4459-93E6-48A559FA83B4} => pcalua.exe -a "C:\Users\ROBERT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DK637ADD\AACplus_plugin_WMP.exe" -d C:\Users\ROBERT\Desktop
Task: {96DE469F-885C-4AA1-B97C-C6B9215D837F} - System32\Tasks\SoftwareInformerService => C:\Program Files\Software Informer\softinfo.exe [2014-11-06] (Informer Technologies, Inc.)
Task: {B6327E27-30A4-48AD-B453-460789E69CCD} - System32\Tasks\{DA098A3A-F4B9-4887-ADDE-411926A402F9} => pcalua.exe -a C:\Users\ROBERT\Desktop\AdobeAIRInstaller.exe -d C:\Windows\system32
Task: {BA806633-2F9D-4256-A96F-0335002A3136} - System32\Tasks\{C24B64B4-F3FD-4185-BEE5-92220DD765FE} => pcalua.exe -a C:\Users\ROBERT\Desktop\ASIO4ALL_2_11_Beta1_English.exe -d "C:\Program Files (x86)\Mozilla Firefox"
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\Software\Classes\.exe: exefile => 
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\Software\Classes\exefile: 
HKU\S-1-5-19\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) 
HKU\S-1-5-20\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) 
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\Run: [software Informer] => C:\Program Files\Software Informer\softinfo.exe [1218560 2014-11-06] (Informer Technologies, Inc.)
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\RunOnce: [Adobe Speed Launcher] => 1418578953
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) 
HKU\S-1-5-18\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) 
HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
CustomCLSID: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\ROBERT\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
CustomCLSID: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000_Classes\CLSID\{F0D5B8DF-FA50-4AC1-B644-6DD3DABA2DC0}\InprocServer32 -> 42494E41525953545245414D030000000300000052D48160B572D4C00354FCEE3ABED63BBA0AAE64C0760C4D64FCE9F56AA8 (the data entry has 10 more characters).
S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X]
S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X]
U3 idsvc; No ImagePath
S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
C:\Program Files (x86)\BuyNNSave
C:\Program Files (x86)\BuyNsavee
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\14305879245515429196
C:\ProgramData\fncnbnomaoapockccnejckejpoblhikh
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Muzyczne Radio Player\Strona WWW programu Muzyczne Radio Player.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit\Java Mission Control.lnk
C:\Users\ROBERT\AppData\Local\Google\Chrome
C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Transfer plików Bluetooth.LNK
C:\Users\ROBERT\Links\Współdzielona przestrzeń.lnk
C:\Users\Default\Links\Współdzielona przestrzeń.lnk
C:\WINDOWS\system32\Drivers\kgpfr2.cfg
C:\WINDOWS\system32\Drivers\kgpcpy.cfg
C:\WINDOWS\SysWOW64\Drivers\kgpfr2.cfg
Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" /s
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ALLUpdate /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Ashampoo HDD-Control 2 Guard" /f
Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, Google Image Search i VideoGet) trzeba będzie przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[grzymek77]

Wykonałem wg wyżej wymienionych wskazówek, załączam logi.

Fixlog.txt

FRST.txt

[picasso]

Zadania nie zostały wykonane w poprawny sposób. Porównaj mój post i przejścia do nowe linii z plikiem Fixlog - przy przeklejaniu zostały posklejane niektóre linie i wiele wpisów nie zostało przetworzonych. Przejścia do nowej linii wklejone do Notatnika mają wyglądać identycznie jak w moim poście. Wymagane poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
FF Plugin-x32: @videolan.org/vlc,version=2.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File
FF Plugin-x32: @videolan.org/vlc,version=2.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File
C:\Program Files (x86)\BuyNNSave
C:\Program Files (x86)\BuyNsavee
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Muzyczne Radio Player\Strona WWW programu Muzyczne Radio Player.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit\Java Mission Control.lnk
C:\Users\ROBERT\AppData\Local\Google\Chrome
C:\Users\ROBERT\AppData\Roaming\Software Informer
C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Transfer plików Bluetooth.LNK
C:\Users\ROBERT\Links\Współdzielona przestrzeń.lnk
C:\Users\Default\Links\Współdzielona przestrzeń.lnk
C:\WINDOWS\system32\Drivers\kgpfr2.cfg
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reboot:

 

(Nic nie wspominasz czy "Software Informer" był deinstalowany. Jeśli nie - usuń ze skryptu linię kierującą na jego katalog)

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

[grzymek77]

Faktycznie nie odinstalowałem wcześniej programu Software Informer, teraz to zrobiłem przed wykonaniem kolejnych wskazówek.

Załączam logi.

Fixlog.txt

FRST.txt

[picasso]

Niestety, ale nadal te same problemy, plik Fixlist jest niepoprawny, następuje sklejanie linii i nic się nie wykonuje. Za pomocą jakiej przeglądarki przeklejasz z posta skrypt, w jaki sposób robisz plik (czy na pewno w Notatniku - inne edytory odpadają)?

 

Poprzednie zadania nadal aktualne.

[grzymek77]

Witaj Picasso.

Używam Firefox'a, wg Twoich wskazówek skopiowałem to co opisałaś wyżej, otworzyłem notatnik i wkleiłem. Nie wiem czy to ważne ale w notatniku mam zaznaczoną opcję "zawijaj wiersze". Może to powoduje sklejanie lini ???

Co mam dalej wykonać aby zrobić prawidłowo wszystko tak jak należy ?

[picasso]

Skoro masz problem z przeklejeniem tego w całości, kopiuj linia po linii do Notatnika. Jest 27 linii, wklejasz po kolei i po każdej ENTER.

[grzymek77]

Wstawiam nowe logi, zrobiłem linijka po linijce, mam nadzieje że będzie OK.

Fixlog.txt

frst.txt

[picasso]

Przełamałeś linię numer 3 do dwóch linii i tu był błąd przetwarzania FRST, ale w końcu został skrypt w całości wyduszony.

 

Teraz uruchom AdwCleaner, wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner.

[grzymek77]

Załączam log z AdwCleaner

AdwCleanerR1.txt

[picasso]

1. Uruchom AdwCleaner ponownie, wybierz Szukaj, w karcie Registry odznacz wpis punktujący klucz SearchScopes {0633EE93-D776-472f-A0FF-E1416B8B2E3A}, następnie wybierz Usuń.

 

2. Otwórz Notatnik i wklej w nim (przypominam = 8 osobnych linii):

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\ROBERT\Desktop\FRST-OlderVersion
RemoveDirectory: C:\Users\ROBERT\Desktop\Stare dane programu Firefox
Reg: reg delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[grzymek77]

Wykonałem wyzej wymienioną operację, zamieszczam fixlog.

Fixlog.txt

[picasso]

Zadania wykonane. Na zakończenie uruchom DelFix oraz wyczyść foldery Przywracania systemu (o ile coś powstało, na początku brak punktów): KLIK.

[grzymek77]

Witam. Zadanie wykonałem, załączam log z DelFix, również wyczyściłem foldery.

DelFix.txt

[picasso]

Skasuj z dysku plik C:\Delfix.txt. To wszystko. Temat rozwiązany, zamykam.