Wyrazy - reklamy w Mozilli i powolny start XP

[Gordion]

Witam wszystkich

 

Proszę o sprawdzenie (analizę) logów z OTL.

 

W przeglądarce mozilla na stronach wyskakują reklamy po najechaniu kursorem na wyrazy w tekście. Poza tym wyskakują także inne uporczywe reklamy. Do tego stopnia że paraliżuje pracę z przeglądarką.

Przy czym w IE nie ma tego problemu.

 

Zauważyłem też długi czas startu windowsa.

 

malwarebites - nie widzi infekcji

adw cleaner - nie widzi infekcji

spy7destroy - nie widzi infekcji

comodo - także nie widzi

 

to komputer siostry służący jej do pracy.

 

Za pomoc z góry dziękuję.

Extras.Txt

OTL.Txt

[picasso]

XP jedzie tu na zmodyfikowanej ścieżce C:\WINNT, ale mimo wszystko podaj raporty z FRST. Są określone informacje, które są mi potrzebne, a nie ma ich w OTL.

[Gordion]

Z powodu iż ten komputer jest teraz poza moim zasięgiem prześlę je jutro jak najwcześniej mi się uda.

[Gordion]

Przesyłam log z FRST

pozdrawiam

FRST.txt

Addition.txt

[picasso]

Brakuje trzeciego pliku FRST Shortcut.

 

 

W przeglądarce mozilla na stronach wyskakują reklamy po najechaniu kursorem na wyrazy w tekście. Poza tym wyskakują także inne uporczywe reklamy. Do tego stopnia że paraliżuje pracę z przeglądarką.

Przy czym w IE nie ma tego problemu.

W Firefox jest rozszerzenie adware Webber-SW. Prócz tego są inne ślady sponsorów oraz polityki oprogramowania ograniczające instalację Avira.

 

 

Zauważyłem też długi czas startu windowsa.

Ten efekt nie jest powiązany z powyższym. COMODO może być podejrzanym.

 

 

---

Wykonaj następujące działania:

 

1. Odinstaluj Mobogenie3 - to wątpliwy program z akcentami adware, w wielu tematach były zgłaszane też "zamulenia" systemu pod jego wpływem.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

3. Tu podobnie jak w innym Twoim temacie dwa skrypty, by wypiąć z Dziennika zdarzeń odpadki Dr. Web i Spybota:

 

Adnotacja dla innych czytających: skrypty unikatowe - dopasowane tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

----> Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\update.exe 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\checkt.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avwsc.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avira_en____fm.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avwebgrd.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\ccuac.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avwebloader.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\fact.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avconfig.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\guardgui.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\offercast_avirav7_.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avshadow.exe 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\setup.exe 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avnotify.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avscan.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avupgsvc.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avcenter.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\setuppending.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\licmgr.exe 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\sched.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\ipmgui.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\updrgui.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avrestart.exe 
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avcenter.exe 
HKLM\...\Run: [Anti Trojan Elite] => C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
HKU\S-1-5-18\...\Run: [stronghold AntiMalware] => C:\Program Files\Stronghold AntiMalware\StrongholdAntiMalware.exe
BootExecute: autocheck autochk * sdnclean.exe
ProxyServer: [s-1-5-21-796845957-2052111302-725345543-1003] => localhost:8080
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
HKU\S-1-5-21-796845957-2052111302-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
HKU\S-1-5-21-796845957-2052111302-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" 
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Documents and Settings\Admin\Doctor Web
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
C:\Program Files\Anti Trojan Elite
C:\Program Files\Spybot - Search & Destroy 2
C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Local Page" /t REG_SZ /d C:\WINNT\system32\blank.htm /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: sc config Eventlog start= disabled
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, by unieszkodliwić COMODO, loguj się na swoje konto Admin a nie wbudowane Administrator. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (przekopiuj go gdzieś).

 

----> Otwórz Notatnik i wklej w nim:

 

C:\WINNT\system32\config\Doctor Web.evt


C:\WINNT\system32\config\SpybotSD.evt

CMD: sc config Eventlog start= auto

Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Z poziomu Trybu awaryjnego uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt (nadpisze poprzedni).

 

4. Zrób nowy log FRST z opcji Scan (dostarcz brakujący Shortcut). Dołącz też oba pliki fixlog.txt.

[Gordion]

Za brak shortcut przepraszam - nie zaznaczyłem - to mój "pierwszy raz" i nie doczytałem w poradach.

 

Dzisiaj rano zrobiłem rano skan adwcleaner wersją z grudnia 2014 i w kwarantannie umieścił poad 100plików w 80% mobogeni.

Wygląda na to że wcześniej użyłem starszej (3.xxx)

Wyrazy z reklamami zniknęły ale wyskakuje jeszcze jakieś okienko z reklamą.

 

Jutro wykonam skrypty i wrzucę logi.

 

a tak offtopic - mobogeni jest jedyną aplikacją kóra współpracuje z jej nowym tel kom. HTC.

Jaką jeszcze aplikację można w tym zakresie wykorzystać?

Comodo kilka raz na godzinę komunikuje o próbach połączenia z internetem przez w/w.

[picasso]

Dzisiaj rano zrobiłem rano skan adwcleaner wersją z grudnia 2014 i w kwarantannie umieścił poad 100plików w 80% mobogeni.

Otrzymałeś precyzyjną diagnozę: Webber-SW (przyczyna reklam w Mozilla) oraz Mobogenie (to dodatkowy tu aspekt, ale to nie on tworzy reklamy w Mozilla). Zalecałam poprawną deinstalację Mobogenie. Jeśli nie wykonałeś tego, a był uruchomiony AdwCleaner, to przeprowadził usuwanie "na chama", które nie jest tożsame z poprawną deinstalacją i niestety ale może skutkować większą ilością odpadkowego brudu niż odwrotna kolejność. Zawsze zaczyna się od deinstalacji, potem dopiero AdwCleaner i podobne rozwiązania. Zaleciłam także reset Firefox, bo to także lepsza metoda czyszczenia niż jakieś punktowe grzebanie - plik preferencji jest odtwarzany "na czysto", wszystkie dodane rozszerzenia automatycznie zerowane.

 

 

a tak offtopic - mobogeni jest jedyną aplikacją kóra współpracuje z jej nowym tel kom. HTC.

Jaką jeszcze aplikację można w tym zakresie wykorzystać?

Comodo kilka raz na godzinę komunikuje o próbach połączenia z internetem przez w/w.

Niestety nie wiem jaką aplikację zamiennie można użyć. Ale od Mobogenie trzymaj się z daleka - ten program jest klasyfikowany jako "adware/PUP" (powiązania z reklamami, niechciane instalacje w sponsorowanych wrapperach), a dodatkowo na forum były raporty o znacznym spadku wydajności systemu po jego instalacji.

[Gordion]

Po użyciu w FRST fix na sekundę wyskoczył niebieski ekran i komputer się zrestartował.

Wysłać ponownie logi FRST?

Wcześniej odinstalowałem mogobeni i mogobeni3.

[Gordion]

dzieki za pomoc

Temat do zamknięcia

 

pozdrawiam wszytkich forumowiczów

[picasso]

Poproszę o nowe raporty FRST (pobierz najnowszą wersję), które mają przedstawić co się zmieniło w systemie.