Wyskakują reklamy, system wolniej działa

[Peyton88]

Witam od jakiegoś czasu przy klikaniu w linki do m.in artykułów,filmów,zdjęć itp otwierają mi się przy tym niechciane reklamy.Głównie zachęcające do pobrania m.in iLiVid lub flasha z jakiejś podejrzanej strony. Na facebooku przychodzi mi cały czas jedna i ta sama wiadomość. System przy tym wolniej chodzi.Avast często włącza alarm chociaz skan nic nie pokazał.

 

typ systemu Win7 x64

Addition.txt

Extras.Txt

FRST.txt

GMER1.txt

OTL.Txt

Shortcut.txt

[picasso]

Są tu dwa problemy:

- Adware produkujące reklamy. Adware może okazać się rzeczą podrządną:

- Uszkodzony układ Usług kryptograficznych. Wszystkie usługi / sterowniki Microsoftu mają odczyt [File not signed] (brak podpisu cyfrowego). Oznacza to uszkodzenie jednej z baz: catroot lub catroot2.

 

Druga usterka ma priorytet, usuwanie adware nie ma sensu gdy jest uszkodzony Windows, jest nie wiadome czy da się to naprawić bez reinstalacji systemu (zależy gdzie jest usterka). Wstępnie:

 

1. Upewnij się, że nie masz zainstalowanej wadliwej łaty KB3004394. Zastosuj po prostu "instalator" KB3024777, który ma ją usuwać: KLIK.

 

2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2.

 

3. Zresetuj komputer. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

[Peyton88]

Nie wiem czy dobrze zrobiłam z tym KB30.. Pobrałam go <ma tylko 29kb> ale po uruchomieniu nic się nie działo. Nie wiem czy tak miało być czy to jakiś błąd.Pobrałam kilka  razy i za każdym razem tak samo.

FRST.txt

[picasso]

Pobierałeś dwa pliki, masz system 64-bit, więc tylko ten z "amd64" w nazwie pasuje:

 

2015-01-06 20:57 - 2015-01-06 20:57 - 00029384 _____ (Microsoft Corporation) C:\Users\user\Downloads\KB3024777-amd64.exe

2015-01-06 20:53 - 2015-01-06 20:53 - 00028864 _____ (Microsoft Corporation) C:\Users\user\Downloads\KB3024777-x86.exe

 

Po przeprowadzonych operacjach w raporcie nie ma żadnych zmian, od góry do dołu niesygnowane pliki.

 

1. Na wszelki wypadek sprawdź w Panel sterowania > Programy > Programy i funkcje > Zainstalowane aktualizacje czy widać KB3004394. Jeśli nie:

 

2. Tu niekoniecznie pochodzenie uszkodzenia jest z przyczyn, które próbowałam naprawiać. Jest więcej możliwości, np. poważniejsze uszkodzenie katalogu catroot, którego nie można odbudować (nie odtworzy się po usunięciu). Jedyne co mogę zaproponować na chwilę obecną, to użycie Przywracania systemu. Punktów jest tu sporo:

 

==================== Restore Points =========================
 

14-11-2014 12:54:26 Zainstalowane WUA-0614 150Mbps Wireless USB Adapter

14-11-2014 13:00:03 Windows Update

14-11-2014 13:03:27 Windows Update

14-11-2014 13:11:44 Windows Update

14-11-2014 13:46:45 Windows Update

14-11-2014 14:00:10 avast! antivirus system restore point

15-11-2014 11:46:50 Usunięte WUA-0614 150Mbps Wireless USB Adapter

15-11-2014 12:06:30 Windows Update

16-11-2014 14:30:13 Windows Update

16-11-2014 14:56:40 Windows Update

16-11-2014 19:04:33 Windows Update

16-11-2014 19:39:01 Windows Update

16-11-2014 20:09:59 Windows Update

16-11-2014 21:39:02 Windows Update

18-11-2014 19:39:29 Windows Update

19-11-2014 02:14:20 Windows Update

20-11-2014 02:09:49 Windows Update

20-11-2014 23:07:21 Windows Update

25-11-2014 14:07:28 Windows Update

28-11-2014 21:52:17 Windows Update

29-11-2014 00:16:29 Zainstalowany program DirectX

01-12-2014 22:09:39 Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005

02-12-2014 20:03:20 Windows Update

09-12-2014 21:13:33 Zaplanowany punkt kontrolny

09-12-2014 23:29:34 Windows Update

10-12-2014 01:00:34 Windows Update

17-12-2014 20:49:21 Zaplanowany punkt kontrolny

18-12-2014 23:30:59 Instalacja pakietu sterownika urządzenia: Anchorfree HSS VPN Adapter Karty sieciowe

18-12-2014 23:32:47 Instalacja pakietu sterownika urządzenia: Anchorfree Inc Usługa sieciowa

27-12-2014 19:11:13 Zaplanowany punkt kontrolny

05-01-2015 23:47:46 Removed Vegas Pro 13.0 (64-bit)

 

Niestety nie wiadomo od kiedy występuje usterka systemu kryptograficznego. Proponuję wybrać na oko taką datę, kiedy komputer wydawał się sprawny, o ile możesz to połączyć czasowo.

[Peyton88]

Odinstalowałam to KB.... i zrobiłam przywracanie systemu jednak chyba nie pomogło. Dalej otwierają się strony.

FRST.txt

[picasso]

Skoro odinstalowałaś KB3004394, to Przywracanie systemu było niepotrzebne. Podałam akcję z Przywracaniem, jeśli ta łata byłaby niewidoczna jako zainstalowana. W każdym razie problem uszkodzenia Usług kryptograficznych rozwiązany. Możemy zabrać się za usuwanie adware. Skoro było Przywracanie systemu, potrzebuję też pliki FRST Addition + Shortcut, gdyż poprzednie mają nieaktualne dane.

[Peyton88]

nowe logi

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

1. Przez Panel sterowania odinstaluj adware Click Caption 1.10.0.5, omiga-plus uninstall oraz starą wersję Adobe Flash Player 15 ActiveX. Sugeruję też pozbyć się Hotspot Shield 3.42.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms}
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\mzl5xuun.default\extensions\faststartff@gmail.com
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS
Task: {A603E002-438D-4D5C-8ABC-B97081938D25} - System32\Tasks\{189DCC04-9A31-40C4-A868-DA1AE6B47940} => pcalua.exe -a C:\Users\user\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor
S3 netr28ux; system32\DRIVERS\netr28ux.sys [X]
C:\ProgramData\APN
C:\ProgramData\WindowsMangerProtect
C:\Users\user\AppData\Roaming\IHlpr
C:\Users\user\AppData\Roaming\OpenCandy
C:\Users\user\AppData\Roaming\WebTest
Folder: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Preferences"
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[Peyton88]

Hotspot potrzebny mi jest to przegladania zagranicznych stron, których użytkownicy przeglądania ich  nie udostepnili w Polsce. Jesli ma jakis tam wpływ negatywny na pracę kompa to go usunę, ale czy jest jakis program,który ma podobne dzialanie do hotspota a jest bezpieczniejszy dla systemu?

 

 

Fixlog.txt

FRST.txt

[picasso]

Hotspot potrzebny mi jest to przegladania zagranicznych stron, których użytkownicy przeglądania ich nie udostepnili w Polsce. Jesli ma jakis tam wpływ negatywny na pracę kompa to go usunę, ale czy jest jakis program,który ma podobne dzialanie do hotspota a jest bezpieczniejszy dla systemu?

Hola VPN - instalacja nieglobalna lecz dla każdej przeglądarki z osobna, więc np. możesz wybrać tylko wersję dla Firefox.

 

 

Akcje pomyślnie wykonane. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

S1 ccnfd_1_10_0_5; system32\drivers\ccnfd_1_10_0_5.sys [X]
Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f
CMD: del /q C:\Users\user\Downloads\lem86rpe.exe
CMD: del /q C:\Users\user\Downloads\KB3024777-*.exe
CMD: del /q C:\Users\user\Downloads\setup.exe
RemoveDirectory: C:\FRST\Logs
RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\user\Downloads\FRST-OlderVersion

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

[Peyton88]

A coś innego oprócz Hola VPN możesz jeszcze polecić,bo on akurat mi na blokady regionalne- gdzie np. wyskakuje,że tylko mieszkańcy Canady mogą zobaczyć video- nie działa ?

Logi:

Fixlog.txt

AdwCleanerR0.txt

[picasso]

A coś innego oprócz Hola VPN możesz jeszcze polecić,bo on akurat mi na blokady regionalne- gdzie np. wyskakuje,że tylko mieszkańcy Canady mogą zobaczyć video- nie działa ?

W jakim sensie "nie działa"? Czy wybrałaś z listy połączenie do kanadyjskiego serwera?

 

Jeśli chodzi o Fix FRST, to wykonany. Natomiast AdwCleaner wykrył komponenty Hotspot, ale na razie się tu powstrzymuję z opcją Usuń, gdyż nie wiem czy Hotspot nadal jest zainstalowany. Jeśli tak, to AdwCleaner nie może być uruchomiony bez dostosowania akcji.