36292 Opublikowano 7 Stycznia 2015 Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Witam, Od dłuższego czasu mam problem we wszystkich przeglądarkach internetowych z wyskakującymi notorycznie reklamami HOLD PAGE ADS co jest strasznie denerwujące Próbowałem usunąć na własną rękę ale to nic nie pomogło (SpyHunter). Proszę o pomoc w tym temacie. W załączeniu raporty. Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2015 Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 SpyHunter to program wątpliwej reputacji, z czarnej listy. Stosuje taktykę "nacisku" (reklamowanie się jako usuwacz konkretnych infekcji), byle go zainstalować, a po instalacji wychodzi na jaw, że jest to program za który należy zapłacić, by mógł cokolwiek usunąć. Z daleka od tego "produktu". Wracając do problemu zasadniczego, działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {27899312-155f-40f3-8661-fb6675d82b4b}Gw64; C:\Windows\System32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys [48784 2014-12-21] (StdLib) R1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gw64; C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys [48784 2014-12-30] (StdLib) R1 {507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64; C:\Windows\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64.sys [48776 2014-12-03] (StdLib) R1 {8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64; C:\Windows\System32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64.sys [48784 2014-12-15] (StdLib) R1 {84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64; C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys [48784 2015-01-04] (StdLib) R1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64; C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys [48784 2015-01-06] (StdLib) R1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64; C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys [48784 2014-12-28] (StdLib) R1 {df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64; C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys [48776 2014-12-01] (StdLib) R1 {fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64; C:\Windows\System32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys [48784 2014-12-18] (StdLib) R2 Update Hold Page; C:\Program Files (x86)\Hold Page\updateHoldPage.exe [529136 2015-01-07] () R2 Util Hold Page; C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe [529136 2015-01-07] () Task: {184B4C47-FF24-4F7C-8F92-F91488BD1FF4} - System32\Tasks\Yahoo! Search => C:\Users\user\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrlte.exe [2015-01-07] (Pay By Ads LTD) Task: {4351D2E2-B783-40CB-962D-877C23883FB8} - System32\Tasks\Yahoo! Search Updater => C:\Users\user\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrsetup.exe [2015-01-07] (Pay By Ads LTD) HKU\S-1-5-21-33010299-566735224-18553354-1003\...\Run: [Yahoo! Search] => C:\Users\user\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrlte.exe [634576 2015-01-07] (Pay By Ads LTD) HKLM\...\Run: [MfeEpePcMonitor] => "C:\Program Files\Hewlett-Packard\Drive Encryption\EpePcMonitor.exe" HKLM-x32\...\Run: [] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-33010299-566735224-18553354-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-33010299-566735224-18553354-1003 -> {DFE9D180-5155-46AA-B372-7D4A5B4C27EF} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=438 BHO-x32: Hold Page 1.0.0.6 -> {6c14185e-4de6-4a79-985b-19f23fd1e638} -> C:\Program Files (x86)\Hold Page\HoldPageBHO.dll (Hold Page) C:\Program Files\Enigma Software Group C:\Program Files\mks_vir_9 C:\Program Files (x86)\Mozilla Firefox C:\Users\user\AppData\Local\CrashRpt C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\user\AppData\Roaming\LavasoftStatistics C:\windows\BEAD140D65134B00AE0FD4A7222F0BF9.TMP C:\Windows\System32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys C:\Windows\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64.sys C:\Windows\System32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64.sys C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys C:\Windows\System32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: Hold Page, Yahoo! Search - Stare wersje: Adobe Flash Player 11 ActiveX, Java 7 Update 40, Java 6 Update 25 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Hold Page (o ile nadal będzie widoczne po w/w deinstalacji). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie są dwa konta: ========================= Accounts: ========================== user (S-1-5-21-33010299-566735224-18553354-1003 - Administrator - Enabled) => C:\Users\user USER_ (S-1-5-21-33010299-566735224-18553354-1002 - Administrator - Enabled) => C:\Users\USER_ Zostały dostarczone logi z konta "user", jednak każde konto musi być sprawdzone z osobna. Jeśli konto "USER_" jest używane, to zaloguj się po kolei na każde poprzez pełny restart systemu (a nie "Wyloguj" czy "Przełącz użytkownika") i na każdym zrób po dwa raporty FRST (główny + Addition). Jeśli konto "USER_" nie jest jednak używane, to je całkowicie usuń i dostarcz tylko logi z "user". Dołącz też plik fixlog.txt. Odnośnik do komentarza
36292 Opublikowano 9 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2015 Wszystkie czynności z punktów 1-3 wykonałem bez problemu i dołączam pliki raportów po skanowaniu. Natomiast jeśli chodzi o punkt 4 i konto użytkownika "USER_" to nie zakładałem takiego konta i nie widzę go w systemie - panel sterowania (użytkownicy) widzę tylko konto "user" oraz "administrator" i przy logowaniu do kompa tak samo. Nie wiem jaki może być powód że takie konto jest widoczne. Addition.txt Extras.Txt Fixlog.txt FRST.txt OTL.Txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2015 Zgłoś Udostępnij Opublikowano 9 Stycznia 2015 Skoro konto "USER_" jest niewidoczne i nieznanego pochodzenia, będę je usuwać. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin-x32: @java.com/DTPlugin,version=10.40.2 -> C:\windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) C:\Program Files (x86)\Hold Page C:\Users\user\AppData\Local\Pay-By-Ads C:\Windows\system32\Drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: net user USER_ /delete EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. GMER i OTL nie są mi już potrzebne. Odnośnik do komentarza
36292 Opublikowano 12 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2015 Polecenia zostały wykonane bez problemów. Proszę o sprawdzenie czy teraz jest wszystko OK. Pliki w załączeniu. FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2015 Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 Zadania wykonane, z jednym wyjątkiem. Konto USER_ niby pomyślnie usunięte, a w Addition stoi jak przyklejone. Może jakiś określony program regeneruje ten obiekt. Pomijam ten wątek. Zasadniczy problem rozwiązany i kolejne poprawki: Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
36292 Opublikowano 15 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2015 W załączeniu log z AdwCleaner. AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2015 Zgłoś Udostępnij Opublikowano 15 Stycznia 2015 1. Uruchom AdwCleaner ponownie, ale wybierz sekwencję Szukaj + Usuń. Po usuwaniu: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\user\Downloads\zl5u8mj8.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Odnośnik do komentarza
36292 Opublikowano 18 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2015 Wykonałem czynności. FIXLOG w załączeniu. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2015 Zgłoś Udostępnij Opublikowano 22 Stycznia 2015 Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się