Włączające sie reklamy

[gosiar87]

Witam, mam problem z reklamami. Włączaja się w internet explorer. Proszę o pomoc.

Addition.txt

FRST.txt

Shortcut.txt

[Rucek]

sprobuj jeszcze zrobic log GMER. Tutaj masz instrukcje: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?do=findComment&comment=318

[gosiar87]

Wykonałam log gmer wg podanych instrukcji.

Nie wiem czy to istotne, ale podam wyniki...

1. SPTD - nie wykrył sterownika

2. regedit, wg podanej ścieżki, brak ostatniego foldera tj. "sptd" (nie wiem czy ma to jakieś znaczenie, w każdym razie nie mogłam wykonac tego zadania)

3. defogger - sprawnie, wg instrukcji

GMER: w oknie gdzie powinny być wypisane dyski, w moim przypadku był jeszcze "quick skan". Quick skan był zaznaczony, dyski nie. Nie zmieniałam tego.

 

Jestem zielona w tych sprawach, więc wielkie dzięki za pomoc.....

Gmer.txt

[picasso]

Był tu używany ComboFix i na ten temat: KLIK. Do przeprowadzenia następujące działania:

 

1. Włącz Przywracanie systemu, bo obecnie jest wyłączone.

 

2. Przez Panel sterowania odinstaluj:

- Adware: PDF Converter Packages, TheSettlersOnline, Word Proser 1.10.0.9.

- Stare wersje i zbędniki: Adobe Reader X (10.1.12) - Polish, Adobe Shockwave Player, Java 7 Update 71, Java™ 6 Update 31, Java™ 6 Update 5, Pasek narzędzi AOL 5.0.

 

3. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
S2 22134214; "C:\Windows\system32\rundll32.exe" "c:\Program Files\Super Optimizer\SupOptStats.dll",ENT
S2 jipifety; C:\Users\hp\AppData\Roaming\VOPackage\VOsrv.exe [X] 
HKLM\...\Run: [rec_pl_12] => C:\Program Files\rec_pl_12\rec_pl_12.exe [3977360 2015-02-09] ()
HKU\S-1-5-21-3814680480-1097625461-4125634967-1000\...\Run: [uTorrent] => "C:\Program Files\uTorrent\uTorrent.exe" /MINIMIZED
Startup: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\superpc_soft_partner.lnk
Task: {1C44BD21-E076-4B4D-B0D5-68BBFAE15C84} - System32\Tasks\TheSettlersOnline WW2 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720
Task: {626D5690-68C0-49EA-B2E6-8AD9B518E021} - System32\Tasks\TheSettlersOnline WW1 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720
Task: {6C5E579E-B95B-4C4F-BFDE-6538CAAA9962} - System32\Tasks\TheSettlersOnline W1 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720
Task: {979224CD-4AD5-4D9B-A2AB-EE28446158FC} - System32\Tasks\TheSettlersOnline D1 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720
Task: {B65B314E-E45F-4D1B-8A39-8C4CD64B66E2} - System32\Tasks\TheSettlersOnline W2 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720
GroupPolicyUsers\S-1-5-21-3814680480-1097625461-4125634967-1001\User: Group Policy restriction detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-3814680480-1097625461-4125634967-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\S-1-5-21-3814680480-1097625461-4125634967-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\hp\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{41BE5DC3-212A-44A3-8811-4A54E9D2884A}\InprocServer32 -> C:\Users\hp\AppData\LocalLow\uTorrentBar\prxtbuTo2.dll (ClientConnect Ltd.)
CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{66E8DCC7-97D2-4A89-8E08-D0610FF0878C}\InprocServer32 -> C:\Users\hp\AppData\Local\Conduit\Community Alerts\Alert.dll No File
CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{A97B89CD-B65C-49DD-AF46-2B772C627456}\InprocServer32 -> C:\Users\hp\AppData\LocalLow\uTorrentBar\prxtbuTo2.dll (ClientConnect Ltd.)
CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{B6BB720C-25CB-11E0-B4E5-23EBDED72085}\InprocServer32 -> C:\Users\hp\AppData\Local\ASKTOO~1\DOWNLO~1\NEROOE~1.DLL No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [virtualKeyboard@kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru
FF HKLM\...\Firefox\Extensions: [KavAntiBanner@Kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru
FF HKLM\...\Firefox\Extensions: [linkfilter@kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru
U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation)
S3 catchme; \??\C:\Users\hp\AppData\Local\Temp\catchme.sys [X]
U1 eabfiltr; No ImagePath
C:\Program Files\Liveistream
C:\Program Files\rec_pl_12
C:\ProgramData\{e08b3aa0-5d5a-2bf1-e08b-b3aa05d5ea81}
C:\ProgramData\Microsoft\Windows\GameExplorer\{7DE9FF1E-A810-4B8E-B166-A112726E15C4}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super Sterownik
C:\Users\hp\AppData\Local\Google\Chrome
C:\Users\hp\AppData\Local\rec_pl_12
C:\Users\hp\AppData\Local\Microsoft\Windows\GameExplorer\{DCEDE601-DFD6-4B41-8C8D-7CDDE0479595}
C:\Users\hp\AppData\Local\Microsoft\Windows\GameExplorer\{76B9FFEC-BD30-4016-85B6-D6093422F318}
C:\Users\hp\AppData\LocalLow\uTorrentBar
C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url
C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TheSettlersOnline
C:\Users\hp\Desktop\AdwCleaner — skrót.lnk
C:\Users\hp\Desktop\Liveistream.lnk
C:\Users\hp\Desktop\Play Games Online.url
C:\Users\hp\Desktop\Super Sterownik Professional Edition.lnk
C:\Users\hp\Documents\Bluetooth Exchange Folder\AdwCleaner.exe
C:\Users\UpdatusUser\Desktop\*.lnk
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKCU\Software\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f
Reg: reg delete HKU\S-1-5-21-3814680480-1097625461-4125634967-1001_Classes\CLSID /f
Reg: reg delete "HKU\S-1-5-21-3814680480-1097625461-4125634967-1001\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-21-3814680480-1097625461-4125634967-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

5. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi uprzednio używanych narzędzi (nie uruchamiaj tych programów ponownie!): C:\ComboFix.txt + pliki z katalogu C:\AdwCleaner.