Skocz do zawartości

Spowolnienie pracy systemu, zacinanie przeglądarki oraz duża ilość reklam typu spyware


Rekomendowane odpowiedzi

Witam.

Mam problem od 2 dni z moim PC. Otóż problemem zaczęły być uciażliwe reklamy wyskakujące poniżej treści wiadomości, spowolniły programy w systemie mój antywirus co jakiś czas monituje przeniesienie zagrożonych plików w systemie do kwarantanny, niestety nie może sobie z nimi poradzić. Również przeglądarka zostaje przenoszona na różne strony czesto zarażone spyware.

 

Załączam logi:

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Logi Gmer.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W Firefox rezyduje adware BuyNsavee. Wdróż następujące działania:

 

1. Jeśli Software Informer 1.4.1181.0 to nie była celowa instalacja, odinstaluj.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
BHO: BuyNNSave -> {18a93809-7420-401b-ac61-79b242c2f51d} -> C:\Program Files (x86)\BuyNNSave\pUMiPTdgwoaYyg.x64.dll No File
Toolbar: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
FF Plugin-x32: @videolan.org/vlc,version=2.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File
FF Plugin-x32: @videolan.org/vlc,version=2.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File
Task: {0A7511F4-5319-44DF-B834-8B3CC7A6A6DA} - System32\Tasks\{64D055BC-F598-4512-A54E-47520116069B} => pcalua.exe -a C:\PROGRA~2\DAP\DAPREMOVE.EXE
Task: {20F975CC-8A57-42DC-8E76-4CABE97234B7} - System32\Tasks\{BB5D7A52-0154-4139-B121-683BC4053380} => pcalua.exe -a C:\Users\ROBERT\Downloads\vkaraoke.exe -d C:\Users\ROBERT\Downloads
Task: {5305363D-8BD6-405F-B8B0-710258607E8C} - System32\Tasks\{AF9827A6-6DF8-4459-93E6-48A559FA83B4} => pcalua.exe -a "C:\Users\ROBERT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DK637ADD\AACplus_plugin_WMP.exe" -d C:\Users\ROBERT\Desktop
Task: {96DE469F-885C-4AA1-B97C-C6B9215D837F} - System32\Tasks\SoftwareInformerService => C:\Program Files\Software Informer\softinfo.exe [2014-11-06] (Informer Technologies, Inc.)
Task: {B6327E27-30A4-48AD-B453-460789E69CCD} - System32\Tasks\{DA098A3A-F4B9-4887-ADDE-411926A402F9} => pcalua.exe -a C:\Users\ROBERT\Desktop\AdobeAIRInstaller.exe -d C:\Windows\system32
Task: {BA806633-2F9D-4256-A96F-0335002A3136} - System32\Tasks\{C24B64B4-F3FD-4185-BEE5-92220DD765FE} => pcalua.exe -a C:\Users\ROBERT\Desktop\ASIO4ALL_2_11_Beta1_English.exe -d "C:\Program Files (x86)\Mozilla Firefox"
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\Software\Classes\.exe: exefile => 
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\Software\Classes\exefile: 
HKU\S-1-5-19\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) 
HKU\S-1-5-20\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) 
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\Run: [software Informer] => C:\Program Files\Software Informer\softinfo.exe [1218560 2014-11-06] (Informer Technologies, Inc.)
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\RunOnce: [Adobe Speed Launcher] => 1418578953
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) 
HKU\S-1-5-18\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) 
HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
CustomCLSID: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\ROBERT\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
CustomCLSID: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000_Classes\CLSID\{F0D5B8DF-FA50-4AC1-B644-6DD3DABA2DC0}\InprocServer32 -> 42494E41525953545245414D030000000300000052D48160B572D4C00354FCEE3ABED63BBA0AAE64C0760C4D64FCE9F56AA8 (the data entry has 10 more characters).
S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X]
S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X]
U3 idsvc; No ImagePath
S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
C:\Program Files (x86)\BuyNNSave
C:\Program Files (x86)\BuyNsavee
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\14305879245515429196
C:\ProgramData\fncnbnomaoapockccnejckejpoblhikh
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Muzyczne Radio Player\Strona WWW programu Muzyczne Radio Player.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit\Java Mission Control.lnk
C:\Users\ROBERT\AppData\Local\Google\Chrome
C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Transfer plików Bluetooth.LNK
C:\Users\ROBERT\Links\Współdzielona przestrzeń.lnk
C:\Users\Default\Links\Współdzielona przestrzeń.lnk
C:\WINDOWS\system32\Drivers\kgpfr2.cfg
C:\WINDOWS\system32\Drivers\kgpcpy.cfg
C:\WINDOWS\SysWOW64\Drivers\kgpfr2.cfg
Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" /s
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ALLUpdate /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Ashampoo HDD-Control 2 Guard" /f
Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, Google Image Search i VideoGet) trzeba będzie przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Zadania nie zostały wykonane w poprawny sposób. Porównaj mój post i przejścia do nowe linii z plikiem Fixlog - przy przeklejaniu zostały posklejane niektóre linie i wiele wpisów nie zostało przetworzonych. Przejścia do nowej linii wklejone do Notatnika mają wyglądać identycznie jak w moim poście. Wymagane poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
FF Plugin-x32: @videolan.org/vlc,version=2.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File
FF Plugin-x32: @videolan.org/vlc,version=2.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File
C:\Program Files (x86)\BuyNNSave
C:\Program Files (x86)\BuyNsavee
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Muzyczne Radio Player\Strona WWW programu Muzyczne Radio Player.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit\Java Mission Control.lnk
C:\Users\ROBERT\AppData\Local\Google\Chrome
C:\Users\ROBERT\AppData\Roaming\Software Informer
C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Transfer plików Bluetooth.LNK
C:\Users\ROBERT\Links\Współdzielona przestrzeń.lnk
C:\Users\Default\Links\Współdzielona przestrzeń.lnk
C:\WINDOWS\system32\Drivers\kgpfr2.cfg
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reboot:

 

(Nic nie wspominasz czy "Software Informer" był deinstalowany. Jeśli nie - usuń ze skryptu linię kierującą na jego katalog)

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

Odnośnik do komentarza

1. Uruchom AdwCleaner ponownie, wybierz Szukaj, w karcie Registry odznacz wpis punktujący klucz SearchScopes {0633EE93-D776-472f-A0FF-E1416B8B2E3A}, następnie wybierz Usuń.

 

2. Otwórz Notatnik i wklej w nim (przypominam = 8 osobnych linii):

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\ROBERT\Desktop\FRST-OlderVersion
RemoveDirectory: C:\Users\ROBERT\Desktop\Stare dane programu Firefox
Reg: reg delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Odnośnik do komentarza
  • 3 tygodnie później...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...