SaverExtension - proszę o pomoc w usunięciu

[varda]

Witam. Na początku zaznaczam, że jestem kompletnie zielona jeśli chodzi o głębsze "grzebanie" w komputerza, więc z góry przepraszam za nieprofesjonalne wyrażanie się.

 

Od 2,3 dni mam problem z wyskakującymi reklamami, otwierającymi się samowolnie jako nowe karty jak i mrugającymi obok i nad każdą treścią, którą czytam. Pierwotnie były to "Ad by unisales". Udało mi się to odinstalować w panelu sterowania i usunąć wtyczkę w Mozilli ... a teraz dzieje się to samo tyle że już mam "Ad by SaverExtension" i jak widzę w internecie, sprawa cięższa. Przy tym komputer idzie coraz wolniej, mam też podświetlone losowe słowa jako link, po najechaniu kursorem wyskakuje "by SaverExtension".

 

Microsoft Security Essentials nie znalazł nic, przez Spybota 8 wpisów Multiplug (które mogły być usunięte dopiero po restarcie systemu) i 2 Ad.BuyNsave (usunęłam). Po usunięciu Multiplug reklamy znikły, aczkolwiek nadal mam podświetlone losowe słowa (np. powyższe Security) jako link. Załączam skany i z góry dziękuję za pomoc.

 

 

EDIT: dziś kursor odmówił posłuszeństwa na kilka minut - po ruszaniu w jakimkolwiek kierunku znikał i pojawaił się na górze ekranu, niezależnie czy używałam myszki, czy touchpada.

Shortcut.txt

FRST.txt

Addition.txt

skan.txt

[picasso]

Jest tu dużo obiektów adware. Przeprowadź następujące działania:

 

1. Deinstalacje:

- Przez Panel sterowania odinstaluj adware Ask Toolbar Updater, Flash Saving, Techweb, youtubeadblocker oraz stare wersje Adobe AIR, Java™ 6 Update 27 (64-bit), Spybot - Search & Destroy. Niektóre wpisy są prawdopodobnie uszkodzone poprzez nieumiejętne użycie AdwCleaner, ale Windows powinien zapytać czy usunąć wpisy z listy.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [fst_pl_41] => [X]
Startup: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Glee.S06E01.HDTV.x264-KILLERS.mp4(1).lnk
GroupPolicyUsers\S-1-5-21-2987063312-1551485774-402213560-1000\User: Group Policy restriction detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
ProxyServer: [s-1-5-21-2987063312-1551485774-402213560-1001] => 127.0.0.1:8118
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-2987063312-1551485774-402213560-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.iplay.com/?o=shp
URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> DefaultScope {36377DD7-B3EB-42f5-986F-680BAF59BA9D} URL = http://start.iplay.com/searchresults.aspx?o=chrome&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> {36377DD7-B3EB-42f5-986F-680BAF59BA9D} URL = http://start.iplay.com/searchresults.aspx?o=chrome&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> {8AA519B6-ACAF-44E1-B2FB-E8F460F79F4A} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=930FDB67-46CF-43BD-8B6A-5C4814475BEF&apn_sauid=7AA5C731-C93B-4631-B1E8-BCA2AEFA961C
BHO: youtubeadblocker -> {62bacc77-6bc8-4cae-a6bc-140b368ae656} -> C:\Program Files (x86)\youtubeadblocker\n8J6KEaK9hZKb8.x64.dll No File
BHO-x32: youtubeadblocker -> {62bacc77-6bc8-4cae-a6bc-140b368ae656} -> C:\Program Files (x86)\youtubeadblocker\n8J6KEaK9hZKb8.dll No File
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
Task: {3A97638A-9AAB-4FFF-BBFF-A4EBE789D01E} - System32\Tasks\IHUninstallTrackingTASK => CMD
Task: {408AC825-3E9F-4F97-A498-65CD57FDE397} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe 
Task: {7D75CE48-C234-45B6-84F9-0C41582CEB24} - System32\Tasks\{21ED1F97-68AC-4807-BADF-284514DC3B06} => pcalua.exe -a C:\windows\IsUn0415.exe -c -f"C:\Sierra\Zeus - Pan Olimpu\Uninst.isu"
Task: {95C84CCA-DB9D-4117-AC57-4E96D275000B} - System32\Tasks\{1DF4FA4F-19D1-4432-98A9-AD686A8AC705} => Firefox.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar
Task: {9DFA8606-564C-4BFE-B6FE-23A1FF5F9F88} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-14] (Google Inc.)
Task: {AB08E407-12AA-44A8-AC4A-130C46C21C19} - System32\Tasks\{1C10CF02-10BA-4B19-8A80-63070C3AF65C} => pcalua.exe -a C:\Users\Marta\Desktop\Setup.exe -d C:\Users\Marta\Desktop
Task: {B709BBAA-9D4C-4231-A881-0FDF5D2A0171} - System32\Tasks\{14F6FACE-B135-43AB-B963-53D2D2341BE6} => pcalua.exe -a c:\users\marta\appdata\local\lollipop\lollipop.bat
Task: {D77BE750-0DA4-47F5-A073-9082D8E1B0EA} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe 
Task: {E5D932C8-5E0F-4F56-AEAC-ED58520DF2B8} - System32\Tasks\{E0BCC668-61C1-4C5E-A6C8-DABF573C9658} => pcalua.exe -a "C:\Users\Marta\Desktop\Zuma Deluxe - Pełna Wersja.exe" -d C:\Users\Marta\Desktop
Task: {FB538166-74B8-47D8-93DE-BB6BFA2313A4} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-14] (Google Inc.)
Task: C:\windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe 
Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
S3 esgiguard; No ImagePath
S3 MREMP50a64; No ImagePath
S3 MREMPR5; No ImagePath
S3 MRENDIS5; No ImagePath
S3 MRESP50a64; No ImagePath
C:\Program Files (x86)\DeltaFix
C:\Program Files (x86)\Flash Saving
C:\Program Files (x86)\GraeAtSave4U
C:\Program Files (x86)\Google
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\SaveNeewaAppza
C:\Program Files (x86)\unIsalies
C:\ProgramData\{e48d5d66-7070-2db1-e48d-d5d667077599}
C:\ProgramData\ackikepopkfndockcljljdimbmimklkk
C:\ProgramData\4d09ce8d5400296d
C:\ProgramData\5551195122105854317
C:\ProgramData\GraeAtSave4U
C:\ProgramData\SaveNeewaAppza
C:\ProgramData\Temp
C:\Users\Marta\AppData\Local\Google
C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

 

4. Napraw uszkodzony (prawdopodobnie czyszczeniem AdwCleaner) specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej ścieżkę C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

[varda]

Bardzo dziękuję za odpowiedź. Czy programy, które mam usunąć wynikają z plików które wysłałam? O ile te "stare" usunęłam, to tych czterech wymienionych na początku nie znalazłam w panelu sterowania... czy mogą się chować jeszcze w innym miejscu?

Odnośnie AdwCleaner, nie mogłam uszkodzić nim niczego, ponieważ nigdy wcześniej go nie używałam. Ściągnęłam go krótko przed rejestracją na forum, po przeczytaniu kilku innych wątków, nie pamiętam już któych. Zeskanowałam dysk po czym nic nie usuwałam, bo nie byłam pewna, czy nie zrobię komputerowi krzywdy używałam jedynie AML FreeRegistryCleaner. Kilka dni temu, wybitnie zdenerwowana spowolnieniem komputera, znalazłam na elektorda.pl że w AdwCleaner należy usunąć wszystko, co wyskoczy. Tak też zrobiłam, co pomogło. Podaję logi dzisiejsze, tylko zaznaczam, że program był używany w międzyczasie, nie wiem, czy to ważne. Pliki:

 

FRST.txtFixlog.txtAddition.txtAdwCleanerR4.txt

[picasso]

Czy programy, które mam usunąć wynikają z plików które wysłałam? O ile te "stare" usunęłam, to tych czterech wymienionych na początku nie znalazłam w panelu sterowania... czy mogą się chować jeszcze w innym miejscu?

Tak te pozycje adware brałam z raportu Addition. Coś tu w międzyczasie się działo, bo zniknęło kilka pozycji i nie widać ich już w nowym Additon. Pozostałości doczyszczę ręcznie.

 

 

Odnośnie AdwCleaner, nie mogłam uszkodzić nim niczego, ponieważ nigdy wcześniej go nie używałam. Ściągnęłam go krótko przed rejestracją na forum, po przeczytaniu kilku innych wątków, nie pamiętam już któych. Zeskanowałam dysk po czym nic nie usuwałam, bo nie byłam pewna, czy nie zrobię komputerowi krzywdy używałam jedynie AML FreeRegistryCleaner. Kilka dni temu, wybitnie zdenerwowana spowolnieniem komputera, znalazłam na elektorda.pl że w AdwCleaner należy usunąć wszystko, co wyskoczy. Tak też zrobiłam, co pomogło.

AdwCleaner był używany w trybie usuwania. AdwCleaner to jest program brutalnie usuwający obiekty z dysku i rejestru. Nie prowadzi prawidłowej deinstalacji programów. Stosuje się go już po deinstalacjach, a nie przed, gdyż właśnie ta odwrotna kolejność skutkuje pozostawieniem większej ilości śmieci. Dlatego też mówiłam, iż możliwy skutek uboczny po jego zastosowaniu to odpadkowe niedobrze wyczyszczne wpisy na liście zainstalowanych. AdwCleaner nie jest też wolny od błędów i np. ten niepoprawny skrót IE to zapewne wynik czyszczenia AdwCleaner, który tylko wyczyścił dopisany URL adware i nie przywrócił systemowego argumentu "-extoff".

 

 

Prosiłam o logi z poprzednich uruchomień AdwCleaner a nie o jego ponowne uruchomienie. Mnie nie chodzi o to, by sprawdzić co on teraz widzi (bo wiem że nic), tylko co on wcześniej usuwał i skąd. Zawartość raportu który mnie interesuje wydrukuję sobie w pliku Fixlog. Poprawki:

 

Otwórz Notatnik i wklej w nim:

 

CMD: type C:\AdwCleaner\AdwCleaner[s0].txt
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
FF Plugin-x32: @java.com/DTPlugin,version=1.6.0_39 -> C:\windows\SysWOW64\npdeployJava1.dll (Sun Microsystems, Inc.)
RemoveDirectory: C:\!KillBox
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy
RemoveDirectory: C:\Users\Marta\Desktop\FRST-OlderVersion
RemoveDirectory: C:\Users\Marta\Desktop\Stare dane programu Firefox
CMD: del /q C:\Users\Marta\Desktop\x8k1mu41.exe
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{AD11DADE-C597-45D9-D8C5-1D2EB0B89613} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

[varda]

Dziękuję za odpowiedź. Myślałam, że mam go włączyć, zrobić scan i wysłać to, co się pokaże. Czyli nie używać tego programu tak od czasu do czasu tak jak np. używam pełnego skanowania antywirusem?

Już poinstruowałam resztę domowników żeby kombinować z czyszczeniem rejestrów na własną rękę Przepraszam, najwyraźniej ojciec coś usuwał, ale nie pamięta, co.

 

Plik:

Fixlog.txt

 

Nie potrafię znaleźć plików AdwCleanera na dysku... czyżbym go usunęła klikając fix? Przpraszam za moje niekompetencje.

[picasso]

Czyli nie używać tego programu tak od czasu do czasu tak jak np. używam pełnego skanowania antywirusem?

Z adware postępuje się w następujący sposób:

- najpierw sprawdzasz listę zainstalowanych programów i deinstalujesz podejrzane / nieznane / świeżo dodane programy

- następnie sprawdzasz menedżery rozszerzeń i ustawienia przeglądarek pod tym samym kątem

- na końcu skany automatyczne (AdwCleaner, MBAM i antywirusy)

 

 

Nie potrafię znaleźć plików AdwCleanera na dysku... czyżbym go usunęła klikając fix?

vs.

 

Zawartość raportu który mnie interesuje wydrukuję sobie w pliku Fixlog.

W tym samym Fixie FRST wydrukowałam zawartość raportu z usuwania właściwego (wszystko już jest wiadome) oraz skasowałam z dysku folder AdwCleaner.

 

Wszystko zrobione. Kończymy:

 

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[varda]

Dziękuję! Ponownie przepraszam za mój absolutny brak wiedzy. Załączam log z DelFixa bo tak pisze w temacie fializującym Miłego weekendu!

DelFix.txt

[picasso]

Potwierdzam wykonanie zadania. Skasuj z dysku plik C:\Delfix.txt.

 

Temat rozwiązany. Zamykam.