BuyuNssaeve 3.64 + może coś jeszcze

[Gallardo]

Dzień Dobry

 

Nie mogę sie pozbyć wyskakujących reklam i przekierowań na różnego rodzaju strony. Powodem tego jest na pewno BuyuNssaeve (którego nie mogę usunąć). Odinstalowałem w panelu sterowanie, usunąłem folder z dysku, ale nadal pojawia mi się w rozszerzeniach przeglądarki (chrome, ff) - zwykłe usuń rozszerzenie nie pomaga.

Być może jeszcze jakieś niepożądane świństwo się przyczepiło

 

Z góry dziękuję za pomoc

 

W załączniku wszystkie wymagane pliki.

 

Pozdrawiam

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

Shortcut.txt

[picasso]

Adware jest zainstalowane w obu przeglądarkach indywidualnie (każda musi być czyszczona z osobna). Ponadto adware przekonwertowało Google Chrome z wersji "stabilnej" do "development" (brak limitacji instalacji rozszerzeń) i będzie wymagana kompleksowa reinstalacja tej szczególnej przeglądarki. Dodatkowo, w raporcie stoją amerykańskie serwery DNS pobierane z routera, a widzę Cię pod polskim IP na forum, co sugeruje także infekcję routera.

 

Tcpip\Parameters: [DhcpNameServer] 148.53.81.2 148.53.130.1 148.53.46.62

 

 

Wdróż następujące operacje:

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK.

 

2. Odinstaluj zdefektowane Google Chrome oraz zbędny Akamai NetSession Interface. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. Resztę dokończy mój skrypt w punkcie 3.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
SearchScopes: HKU\S-1-5-21-2371548481-2500731307-350997382-1000 -> DefaultScope {410CE52B-292E-4130-8FC8-25C25CE3AE78} URL =
SearchScopes: HKU\S-1-5-21-2371548481-2500731307-350997382-1000 -> {410CE52B-292E-4130-8FC8-25C25CE3AE78} URL =
SearchScopes: HKU\S-1-5-21-29074177-2114273088-3454551869-225919 -> {6A95B20D-AC62-429B-80C4-8F7230A453FE} URL =
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
C:\Program Files (x86)\BuyuNssaeve
C:\Program Files (x86)\Google
C:\Program Files (x86)\Smart Coupon
C:\Program Files (x86)\YeoutubeAdBlocke
C:\ProgramData\honnbmlkkhbafkhachmeccikobmajggh
C:\Users\dkoloszc\AppData\Local\Google
C:\Users\dkoloszc\AppData\Roaming\eCyber
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A95B20D-AC62-429B-80C4-8F7230A453FE}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Dell.PowerManager.Service /s
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

 

6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[Gallardo]

Dzień Dobry

 

Bardzo dziękuję za pomoc - po wykonaniu wszystkich czynności opisanych powyżej, problem z BuyuNssaeve nie występuje. 

Serwery DNS są w porządku  

 

W załączniku przesyłam logi z prośbą o weryfikację.

Jeszcze raz bardzo dziękuję za pomoc.

 

Pozdrawiam

Fixlog.txt

FRST.txt

[picasso]

Operacje pomyślnie przeprowadzone. Jeszcze drobne poprawki przed zadaniem czynności końcowych. Do Notatnika wklej:

 

HKU\S-1-5-21-29074177-2114273088-3454551869-225919\...\Run: [Akamai NetSession Interface] => "C:\Users\dkoloszc\AppData\Local\Akamai\netsession_win.exe"
DPF: HKLM-x32 {E06E2E99-0AA1-11D4-ABA6-0060082AA75C}
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A95B20D-AC62-429B-80C4-8F7230A453FE}" /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\dkoloszc\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.