Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wolne działanie systemu, niechciane reklamy, etc.

Jolanata1212

Przez Jolanata1212
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Jolanata1212

Jolanata1212

Opublikowano
Opublikowano

Witam,

 

proszę o pomoc w zdezynfekowaniu systemu. Nie mogę zrobić formata, gdyż komputer nie jest do końca mój, ale muszę go użytkować, a w tym stanie się nie da.

 

System działa niesamowicie wolno (miałem już kilka komputerów, ale stan tego przebija moje wyobrażenia). Tnie się flash player (tak, że pewnych rzeczy nie da się po prostu robić). Dodatkowo ostatnio weszły reklamy, oznaczone jako "by GoHD". Osobiście odinstalowałem tu różne programy, które byłem pewny, że to śmieci, użyłem najnowszego AdwCleanera, jednak to nie pomogło.

 

W załącznikach dołączam:

1. Logi z FRST - FRST.txt, Shortcut.txt, Addition.txt

2. Logi z OTL - OTL.txt, Extras.txt

3. Log z GMER - sjdasjdlk.txt.

 

Tutaj chyba pojawia się problem, gdyż przed rozpoczęciem skanowania wstępnego pojawił się komunikat przedstawiony w załączniku jako startskan.png. Po zakończeniu (krótkiego, góra 10 minut) skanowania, pojawiły się dwa komunikaty, dołączone jako stopskan1.png i stopskan2.png. Dodam, iż nie mam wirtualnych napędów (nigdy nie było tu ani Deamona ani Alcohola itp.).

 

Poniżej dołączam także log z Security Check:

 

 Results of screen317's Security Check version 0.99.93  

   x64 (UAC is enabled)  

 Internet Explorer 11  

``````````````Antivirus/Firewall Check:``````````````

 Windows Firewall Enabled!  

Windows Defender   

 WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

 Java 8 Update 25  

 Java version 32-bit out of Date!

  Adobe Flash Player 15.0.0.246 Flash Player out of Date!

 Google Chrome (39.0.2171.71) 

 Google Chrome (39.0.2171.95) 

````````Process Check: objlist.exe by Laurent````````

 Windows Defender MSMpEng.exe 

 Windows Defender MpCmdRun.exe   

`````````````````System Health check`````````````````

 Total Fragmentation on Drive C:  % 

````````````````````End of Log``````````````````````

 

To chyba wszystko. Proszę o pomoc i możliwie łopatologiczne tłumaczenie.

 

Dzięki i pozdrawiam

FRST.txt

Shortcut.txt

Addition.txt

OTL.Txt

Extras.Txt

sjdasjdlk.txt

post-14810-0-77020000-1420564531_thumb.png

post-14810-0-40540000-1420564642_thumb.png

post-14810-0-07740000-1420564652_thumb.png

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W systemie nadal są obiekty adware, w tym czynny proces o negatywnym działaniu. Ponadto, Google Chrome do reinstalacji od zera, gdyż adware zmieniło typ przeglądarki ze stabilnej do development i wstawiło śmieci. Logi nie prezentują niestety preferencji Opery (tu domyślna przeglądarka), ale pobiorę o niej dane ręcznie.

 

Wdróż następujące działania:

 

1. Odinstaluj Adobe Flash Player 15 Plugin, Adobe Shockwave Player 11.6, Google Chrome. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
R2 MaintainerSvc6.37.565328; C:\ProgramData\7bb6df21-8ca8-4eec-965d-8cd2261544c7\maintainer.exe [123632 2015-01-06] ()
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 AthBTPort; \SystemRoot\system32\DRIVERS\btath_flt.sys [X]
S3 BTATH_A2DP; \SystemRoot\system32\drivers\btath_a2dp.sys [X]
S3 btath_avdt; \SystemRoot\system32\drivers\btath_avdt.sys [X]
S3 BTATH_BUS; \SystemRoot\System32\drivers\btath_bus.sys [X]
S3 BTATH_HCRP; \SystemRoot\System32\drivers\btath_hcrp.sys [X]
S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X]
S3 BTATH_RCP; \SystemRoot\System32\drivers\btath_rcp.sys [X]
HKLM-x32\...\Run: [fst_pl_142] => [X]
HKLM-x32\...\Run: [AnyProtect Tray] => "C:\Program Files (x86)\AnyProtectEx\AnyProtectTrayIcon.exe"
HKLM-x32\...\Run: [t4pc_en_7] => [X]
HKLM-x32\...\Run: [FromDocToPDF EPM Support] => "C:\PROGRA~2\FROMDO~1\bar\1.bin\65medint.exe" T8EPMSUP.DLL,S
HKLM-x32\...\Run: [FromDocToPDF AppIntegrator 32-bit] => C:\PROGRA~2\FROMDO~1\bar\1.bin\AppIntegrator.exe
HKLM-x32\...\Run: [FromDocToPDF AppIntegrator 64-bit] => C:\PROGRA~2\FROMDO~1\bar\1.bin\AppIntegrator64.exe
HKLM-x32\...\Run: [gmsd_pl_15] => [X]
Task: {189B681F-F6FE-466F-83C7-477EC5E6B05D} - System32\Tasks\{78CDE768-7897-484E-AB9A-4A68D55BBA12} => pcalua.exe -a C:\Users\Jolanta1212\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt
Task: {682E1735-FD9A-4CE3-A350-BAFEC7E64369} - System32\Tasks\Microsoft\Windows\RVLKL\RVLKL => C:\ProgramData\rvlkl\rvlkl.exe
Task: {9BD26486-7986-4EF0-8CBF-637F2A25461B} - System32\Tasks\MirageAgent => C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe
Task: {A49BF3F7-9A77-49C3-A571-5F49B97B8EAA} - System32\Tasks\Voo Update => C:\Users\Jolanta1212\AppData\Roaming\VooUpdate\UpdateProc\UpdateTask.exe [2015-01-02] () 
Task: {CF1ECF34-719F-418F-8066-A4AE3E997247} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {E8B58DBA-F2C1-432F-A1B7-D89C08BBDE4B} - System32\Tasks\{B70FA807-84B3-445C-87CC-118609342C94} => pcalua.exe -a C:\Users\Jolanta1212\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt
Task: {F9A9A84E-FEFC-46FC-8A9B-29FF11802C6C} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\Voo Update.job => C:\Users\JOLANT~1\AppData\Roaming\VOOUPD~1\UPDATE~1\UPDATE~1.EXE 
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-176996462-1297743350-943370258-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKU\S-1-5-21-176996462-1297743350-943370258-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
Toolbar: HKU\S-1-5-21-176996462-1297743350-943370258-1002 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
C:\Program Files (x86)\06e216f5-6b65-4b5f-ba44-e32635c73cb9
C:\Program Files (x86)\AVG
C:\Program Files (x86)\Google
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\7bb6df21-8ca8-4eec-965d-8cd2261544c7
C:\ProgramData\AVG
C:\Users\Administrator
C:\Users\Gość
C:\Users\Jolanta1212\AppData\Local\nsx1666.tmp
C:\Users\Jolanta1212\AppData\Local\Avg
C:\Users\Jolanta1212\AppData\Local\Comodo
C:\Users\Jolanta1212\AppData\Local\Google
C:\Users\Jolanta1212\AppData\Roaming\AVG
C:\Users\Jolanta1212\AppData\Roaming\IHlpr
C:\Users\Jolanta1212\AppData\Roaming\VooUpdate
C:\Users\Jolanta1212\Desktop\Wyczyść rejestr za darmo!.lnk
C:\Users\Jolanta1212\Desktop\Sterowniki\AVG Konserwacja 1 kliknięciem.lnk
C:\Users\Jolanta1212\Desktop\Sterowniki\AVG PC TuneUp 2015.lnk
C:\Users\Jolanta1212\Downloads\*downloader*.exe
C:\WINDOWS\patsearch.bin
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{be0fb33b} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s
Folder: C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Preferences"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Z początku już myślałem, że jest poprawa (na kilku stronach reklamy się nie pojawiły), jednak po wejściu na youtuba (chciałem sprawdzić, czy flash player już się nie tnie), problem powrócił. Tak więc problem się nie rozwiązał.

vs.

 

Logi nie prezentują niestety preferencji Opery (tu domyślna przeglądarka), ale pobiorę o niej dane ręcznie.

W skrypcie FRST to dopiero były o niej wyciągane dane. Opera jest zainfekowana adware:

 

 

 

========= reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s =========


HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command
    (Default)    REG_SZ    "C:\Program Files (x86)\Opera\Launcher.exe" http://istart.webssearches.com/?type=sc&ts=1420271886&from=brd&uid=HGSTXHTS545050A7E380_TM85134T2VETTL2VETTLX


=========  type "C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Preferences" =========


         },
         "bokijhalndhhhikpnaniimagniglonke": {
            "active_permissions": {
               "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "granted_permissions": {
               "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "install_time": "13064707451366617",
            "location": 1,
            "manifest": {
               "background": {
                  "page": "background.html"
               },
               "content_scripts": [ {
                  "all_frames": true,
                  "js": [ "js/30b77a3e9feefdff2bb9f8c3e6584a65.js", "js/lib/50f3655ebd8816236915cc13b349556e.js", "js/lib/e571c7395afab06623b2cdc05637146f.js", "js/lib/c1bd76dd0c27fb477e063486768f8c16.js", "js/lib/5e1369e8e0970bc526459a1f46514bd9.js", "js/api/eeda9631eb0b63a396bbc38b63a0a4b7.js", "js/api/e5202c83c67058c2c66fb93588f0cefb.js", "js/api/pageAction.js", "js/lib/installer.js", "js/lib/app_api.js" ],
                  "matches": [ "http://*/*", "https://*/*" ],
                  "run_at": "document_start"
               } ],
               "content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'",
               "description": "HD",
               "icons": {
                  "128": "icons/icon128.png",
                  "16": "icons/icon16.png",
                  "48": "icons/icon48.png"
               },
               "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPmtKGeOu1OA0TH3xUHyqGYSc1lTw62AL1ZkuEnq33rqvWg3J4XfNnMHO3B0viMTbg6YNJzMx20jpplIn+TlIMO07636g/6LB/blX0xamSpKRmg/X3NWkBGJ6qHAi2RRc0V0tu+f4v5Kjy7B9QuYhGOa48N87XFe5BajpY8szpWQIDAQAB",
               "manifest_version": 2,
               "name": "GoHD",
               "permissions": [ "http://*/*", "https://*/*", "tabs", "cookies", "notifications", "contextMenus", "webNavigation", "webRequest", "webRequestBlocking", "unlimitedStorage", "storage" ],
               "update_url": "https://w9u6a2p6.ssl.hwcdn.net/plugin/chrome/update/62180.xml",
               "version": "1.26.62",
               "web_accessible_resources": [ "Settings.json" ]
            },
            "path": "bokijhalndhhhikpnaniimagniglonke\\1.26.62_0",
            "state": 1
         },

========================= Folder: C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Extensions ========================

2015-01-02 22:23 - 2015-01-02 22:23 - 0000000 ____D () C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Extensions\bokijhalndhhhikpnaniimagniglonke

 

 

 

 

Kolejne działania:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage*
Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

2. W Operze CTRL+SHIFT+E i odinstaluj adware GoHD na liście rozszerzeń. Wyczyść też cache i historię przeglądarki. Wypowiedz się czy problem z głowy.

 

Odnośnik do komentarza
Jolanata1212

Jolanata1212

Opublikowano
  • Autor
Opublikowano

Niechciane reklamy ustąpiły.

 

Mimo wszystko nadal komputer chodzi wolno - szczególnie objawia się to na przykład przy oglądaniu filmów na youtube (zacinają się, jest lepiej, gdy włączę na pełny ekran, jakby komputer nie radził sobie z wyświetlaniem tych wszystkich treści) bądź jakimiś grami online (też się zacinają). A może to już nie wina systemu, tylko laptop taki słaby (choć nie chce mi się wierzyć, żeby roczny laptop nie radził sobie z filmami i minigrami).

 

W załączniku dołączam fixlog.

 

Dzięki

Fixlog.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...