Przekierowania na różne strony z reklamami

[marzar]

Witam

 

1. system win 8.1 64bit

 

2. Po otwarciu obojętnie jakiej przeglądarki następuje próba przekierowania na strony z reklamami, skutecznie blokowana przez program antywirusowy avast.

 

3. Gmer zawieszał komputer w w normalnym trybie. W trybie awaryjnym można go było uruchomić ale nie przechodził do końca nawet preskanu. pojawiał sie omunikat:

"C:\windows\system32\config\system; Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces

"C:\users\user\ntuser.dat Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces

 

4. logi

 

Z góry dziękuję za udzieloną pomoc.

Addition.txt

Extras.Txt

FRST.txt

Shortcut.txt

OTL.Txt

[picasso]

Są tu instalacje adware, ponadto adware przekonwertowało przelądarkę Google Chrome z wersji stabilnej do development i wymagana kompleksowa reinstalacja. Adware nabyte na jeden z tych sposobów: KLIK. Do wdrożenia:

 

1. Przez Panel sterowania odinstaluj: DealsGiant, GoldenCoupon, Google Chrome. Przy deinstalacji Google zaznacz Usuń także dane przeglądarki. Resztę doczyści mój skrypt poniżej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64; C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys [48776 2014-11-23] (StdLib)
R1 {150ca330-afd5-4527-99bc-b3ce918cea60}Gw64; C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys [48784 2014-11-26] (StdLib)
R1 {2fb2b93a-d824-4963-962b-e98da201096d}Gw64; C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys [48784 2014-11-26] (StdLib)
R1 {c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64; C:\Windows\System32\drivers\{c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64.sys [48784 2014-11-29] (StdLib)
R1 {d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64; C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys [48784 2014-11-28] (StdLib)
R1 {e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64; C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys [48784 2014-11-30] (StdLib)
R2 f64035c2; c:\Program Files (x86)\CouponFinder\SaleRadar.dll [4052480 2014-11-30] () [File not signed]
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
BHO: shoupNNdrop -> {73c50190-2447-4793-b1d0-a980080bdb47} -> C:\ProgramData\shoupNNdrop\PpGyBYDOtlKZYN.x64.dll ()
BHO-x32: shoupNNdrop -> {73c50190-2447-4793-b1d0-a980080bdb47} -> C:\ProgramData\shoupNNdrop\PpGyBYDOtlKZYN.dll ()
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201
HKU\S-1-5-21-3367409587-261043490-430672160-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/?src01=dp220141201
SearchScopes: HKU\S-1-5-21-3367409587-261043490-430672160-1001 -> DefaultScope {00AED5F4-7C45-48B2-A76A-70587D17963F} URL =
SearchScopes: HKU\S-1-5-21-3367409587-261043490-430672160-1001 -> {00AED5F4-7C45-48B2-A76A-70587D17963F} URL =
HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-3367409587-261043490-430672160-1001\...\MountPoints2: {a7ab58ed-2224-11e4-be82-c0143dd45d14} - "F:\Startme.exe"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
C:\Program Files (x86)\Amazon
C:\Program Files (x86)\Google\Chrome
C:\Program Files (x86)\CouponFinder
C:\ProgramData\661597706728995119
C:\ProgramData\92e779be5cb792f
C:\ProgramData\GoldenCoupon
C:\ProgramData\shoupNNdrop
C:\ProgramData\McAfee
C:\Users\User\AppData\Local\Google\Chrome
C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage*
C:\Users\User\Documents\Optimizer Pro
C:\Users\User\Downloads\*(*)-dp*.exe
C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys
C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys
C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys
C:\Windows\System32\drivers\{c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64.sys
C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys
C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys
Folder: C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[marzar]

1. Zrobione

 

2. Zrobione

 

3. Logi

Fixlog.txt

FRST.txt

[picasso]

Wszystko zrobione. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\3150018638
Folder: C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner, wybierz opcję Szukaj, pokaż wynikowy log z folderu C:\AdwCleaner.

[marzar]

1. to mam zrobić tak jak poprzednio jako fix do FRST ?

[picasso]

Tak, oczywiście. Jakoś zapomniałam dopisać co należy. Już poprawione.

[marzar]

1. Zrobione

 

2. Zrobione

 

Logi

 

Fixlog.txt

AdwCleanerR0.txt

[picasso]

Nie wiem dlaczego komendy FRST nie pobierają danych ze ścieżek Opery, jedna z nich jest definitywnie w systemie. A wyniki AdwCleaner tyczące Opery to nie wyglądają na rzeczywiste (pobór czarnej listy Opera zamiast rzeczywiście zainstalowanych rozszerzeń). Wstępnie:

 

1. Uruchom AdwCleaner ponownie, wybierz Szukaj, w karcie Opera odznacz wszystko, następnie wybierz Usuń.

 

2. Otwórz Notatnik i wklej w nim:

 

CMD: dir /a "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable"
CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

[marzar]

Może powodem takiego zachowania FRST jest to, że miałem cały czas załączoną operę, jak wykonywałem poprzednie czynności?

[picasso]

Nie wiem, ale nie jest to wykluczone (próba otworzenia pliku Preferences, który jest w użyciu). Na wszelki wypadek zamknij Operę na czas wykonywania skryptu.

[marzar]

Teraz zrobiłem wszystko przy wyłączonej Operze

 

1. W zakładkach nie było zakładki Opera więc nic nie mogłem odznaczyć, resztę zgodnie z zaleceniem usunąłem

 

2. Zrobione

 

3 Logi, na wszelki wypadek daje też logi z AdwCleanera

Fixlog.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

[picasso]

Rzeczywiście, nie ma karty Opera. Skoro więc nie było wykluczeń, AdwCleaner broił w preferencjach Opery. Ale nie wygląda na to, by coś się tu stało, gdyż FRST wydrukował zawartość Preferences i wygląda ona prawidłowo. Adware w Operze też nie widać. Kończymy:

 

Usuń używane skanery z C:\Users\User\Desktop\naprawa. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

[marzar]

1. Skanery usunięte

2. Delfix zastosowany - log poniżej

3. punkty przywracania systemu - usunięte

DelFix.txt

[picasso]

Skasuj plik C:\Delfix.txt z dysku.

 

Temat rozwiązany. Zamykam.