Mnóstwo reklam

[PanTani]

Cześć.

Proszę o pomoc w usprawnieniu komputera 15 latka.Komputer nigdy nie był diagnozowany. Przeglądarka ciągle atakowana jest przez reklamy i inne wyskakujące okna. 

Nie jestem pewny że log z gmera jest zrobiony poprawnie, 

 

http://wklej.org/id/1635456/

FRST.txt

Addition.txt

[picasso]

Brak trzeciego obowiązkowego raportu FRST Shortcut. Rozpocznij od poprawnych deinstalacji adware i programów, w drugiej fazie będą poprawki. Akcja:

 

1. Przez Panel sterowania odinstaluj:

- Adware: AppEnable, Search App by Ask, Yahoo! Search.

- Zbędniki i stare wersje: Adobe Shockwave Player 12.1, Akamai NetSession Interface, Google Toolbar for Internet Explorer, Java 8 Update 25.

 

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis McAfee Shared C Run-time for x64 > Dalej.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, by powstały trzy logi.

[PanTani]

Wszystkie 3 punkty wykonałem , poniżej załączam nowe logi z FRST.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64; C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys [48776 2014-11-23] (StdLib)
R1 {150ca330-afd5-4527-99bc-b3ce918cea60}Gw64; C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys [48784 2014-11-26] (StdLib)
R1 {2fb2b93a-d824-4963-962b-e98da201096d}Gw64; C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys [48784 2014-11-26] (StdLib)
R1 {748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64; C:\Windows\System32\drivers\{748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64.sys [48784 2014-11-26] (StdLib)
R1 {d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64; C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys [48784 2014-11-28] (StdLib)
R1 {e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64; C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys [48784 2014-12-01] (StdLib)
R1 {efe93952-e041-4e49-a1cc-461436cf69d0}Gw64; C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys [48776 2014-11-23] (StdLib)
S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X]
S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X]
HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe
HKLM\...\Run: [Persistence] => C:\Windows\system32\igfxpers.exe
HKLM-x32\...\Run: [LManager] => [X]
HKU\S-1-5-21-730475293-231205452-1474613943-1005\...\Run: [Akamai NetSession Interface] => "C:\Users\Grzegorz\AppData\Local\Akamai\netsession_win.exe"
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b"
CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b"
CHR DefaultNewTabURL: Default -> http://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123
HKU\S-1-5-21-730475293-231205452-1474613943-1005\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na
SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> {193DCD88-88AA-484E-9293-6F5E0901F68F} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=432
SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> {F454C8FA-B4D2-43A0-BE74-37D7C3DAAA68} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=D47D5712-DF7A-4027-A0C1-BF20CB5E4010&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17344&doi=2014-11-02&trgb=IE&q={searchTerms}&psv=&pt=tb
Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
C:\Users\Grzegorz\WRInstallerEU.exe
C:\Users\Grzegorz\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Przemek\AppData\Local\Pay-By-Ads
C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys
C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys
C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys
C:\Windows\System32\drivers\{748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64.sys
C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys
C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys
C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Są tu aż trzy konta:

 

==================== Accounts: =============================
 

Grzegorz (S-1-5-21-730475293-231205452-1474613943-1005 - Administrator - Enabled) => C:\Users\Grzegorz

Krzysztof (S-1-5-21-730475293-231205452-1474613943-1002 - Administrator - Enabled) => C:\Users\Krzysztof

Przemek (S-1-5-21-730475293-231205452-1474613943-1004 - Limited - Enabled) => C:\Users\Przemek

 

Dotychczas były sprawdzane raporty tylko z konta Grzegorz. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie Wyloguj czy Przełącz) i zrób nowy log FRST z opcji Scan. Na Grzegorzu bez Addition i Shortcut. Na reszcie z Addition, lecz bez Shortcut. Dołącz też plik fixlog.txt.

[PanTani]

Wklejam logi po akcji z czyszczeniem.

 

http://wklej.org/id/1647192/- fixlog (z konta Grzegorz)

 

http://wklej.org/id/1647194/- FRST (z konta Grzegorz)

 

http://wklej.org/id/1647195/- od Przemka Addition

 

http://wklej.org/id/1647196/- od Przemka FRST

 

Od Krzysztofa nie dodałem bo nie mam hasła do konta.

[picasso]

Poprawki:

 

 

NA KONCIE GRZEGORZ:

 

Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

 

 

NA KONCIE PRZEMEK:

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-730475293-231205452-1474613943-1004\...\Run: [Yahoo! Search] => C:\Users\Przemek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe
HKU\S-1-5-21-730475293-231205452-1474613943-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com
SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> {40120E4C-A783-4A89-A0B2-F6AF237C7CBE} URL = http://rts.dsrlte.com/?q={searchTerms}&r=287
SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> {E3ED097E-F7FB-49C5-A7EB-B7341729A0AE} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=D47D5712-DF7A-4027-A0C1-BF20CB5E4010&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17344&doi=2014-11-02&trgb=IE&q={searchTerms}&psv=&pt=tb
Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} - No File
Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com"
CHR DefaultSearchKeyword: Default -> yahoo.com
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt.

 

2. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę adware Yahoo kierującą na adres rts.dsrlte.com oraz inne niedomyślne śmieci (o ile będą).

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

Od Krzysztofa nie dodałem bo nie mam hasła do konta.

Na tym koncie prawdopodobnie też jest adware "Yahoo Search", a może i dodatkowe śmieci. Rozumiem, że to konto innego użytkownika. Czy jest szansa, że ta osoba dostarczy logi z tego konta?

[PanTani]

Niestety nie dam rady dostać się do konta Krzysztof.

 

http://wklej.org/id/1648513/ ADW Cleaner ( Grzegorz)

 

http://wklej.org/id/1648516/ FixLog (Przemek)

 

http://wklej.org/id/1648517/ FRST ( Przemek) 

[picasso]

Ale Krzysztof to Twoje czy cudze konto? Na koncie Przemek już skończyliśmy, skasuj stamtąd FRST. Na koncie Grzegorz:

 

1. Miałeś wykonać:

 

Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).

AdwCleaner wskazuje, że to się nie stało. Skasuj z listy wyszukiwarkę adware Yahoo kierującą na adres rts.dsrlte.com.

 

2. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. Po czyszczeniu:

 

3. Do Notatnika wklej:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

[PanTani]

Krzysiek to mój szwagier a Grzesiek I Przemek to jego dzieci na feriach u wujka czyli u mnie Chce im trochę podreperować komputer za Twoim pośrednictwem

Czuję że mogłabyś dostać się do jego konta więc jak coś to śmiało przecież nic złego nie robimy.

 

To polecenie z usunięciem przeglądarki Yahoo wykonałem na obu kontach - http://screenshooter.net/101740371/hjrmcyj zaraz zrobię resztę i dokleje.

[picasso]

Czuję że mogłabyś dostać się do jego konta więc jak coś to śmiało przecież nic złego nie robimy.

To się wprawdzie da zrobić przez reset hasła z poziomu bootowalnej płyty, ale uważam, że operacja jest zbyt radykalna w kontekście zadania i to przy całkowitej niewiedzy co jest na tym koncie (może wcale nie być tam adware), narusza też prywatność cudzego konta. Lepiej byłoby gdyby to on samodzielnie się zalogował i dostarczył skany.

[PanTani]

http://wklej.org/id/1648607/ - FixLog

 

 

2. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. (...)

Z tej akcji program nie generuje żadnego loga ? Bo nie mogę go znaleźć.

 

Co do konta Krzyśka to musimy to odpuścić bo nie mamy z nim kontaktu.

[picasso]

Raportu AdwCleaner brak, bo nie prosiłam już o niego i w skrypcie FRST zadałam usuwanie całego katalogu C:\AdwCleaner z logami i kwarantanną. Coś tu się jednak nie zgadza, FRST nie znalazł tego folderu, więc on musiał zostać usunięty w inny sposób - czy przypadkiem nie pomyliłeś się i użyłeś w AdwCleaner opcję Odinstaluj zamiast Usuń?

[PanTani]

Tak, zgadza się pomieszałem coś w tym programem AdwCleaner. Na początku wcinęłem "guzik" Scan ( pierwszy lewy przycisk) a ja zakończył to wcisnęłem przycisk ostatni skrajny po prawej i to chyba był własnie uninstall. Między nimi były jeszcze jakieś "guziki" ale nie pamiętam ich z nazwy.Teraz jestem już u siebie w domu wiec nie mam dostępu do tego laptopa. Jutro poprawie jak coś zlecisz. 

 

Ponowić te działania:

 

2. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. Po czyszczeniu:

 

3. Do Notatnika wklej:

(...)

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

 

??

[picasso]

W tej sytuacji ponów działania, ale skrypt do FRST ma mieć już inną postać:

 

RemoveDirectory: C:\AdwCleaner
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

[PanTani]

Teraz poprawiłem.

 

http://wklej.org/id/1649279/ fixlog.txt

[picasso]

Fix wykonany. Na wszelki wypadek zrób jeszcze skanowanie za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, dostarcz raport.

[PanTani]

Z uwagi na brak czasu-chłopaki dziś wyjeżdzają i zabierają komputer-wykonałem szybkie skanowanie a po wykryciu jednego zagrożenia użyłem opcji przeniesienia do kwarantanny. 

 

http://wklej.org/id/1649642/

[picasso]

MBAM wykrył drobny szczątek adware. Usunięty i OK.

 

Skasuj folder "FRST" z Pobranych. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

[PanTani]

DelFix oraz przywracanie systemu zostało wykonane. Myślę że temat możemy zamykać bo logów z DelFixa nie uzyskam ponieważ chłopaki nie wiedzą gdzie są a ja już nie mam do ich laptopa dostępu. Jutro lub najpóźniej w poniedziałek dorzucę się skromnie do skarbonki - na konto bankowe.

Dziękuję za pomoc i Wszystkiego Dobrego !