Roll Around ads w Firefox

[R1z]

Witam, również mam taki sam problem jak @jamakaci. A mianowicie problem z Roll Around ads w wyszukiwarce Firefox. Również przy wyszukiwaniu w wyszukiwarce pierwsze pięć stron są to strony z www.poland.com. Wyskakują okna z reklamami na różnych stronach.
Skanowałem różnymi programami Anty Malware, niestety bez skutku.
 
Załączam potrzebne logi: GMER, Shortcut, Addition, FRST

 

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

W Firefox jest korespondujące rozszerzenie adware zamontowane. Ale to nie wszystko co się tu niedobrego dzieje. Próbując rozwiązać problem adware zainstalowałeś niepożądane programy-naciągacze SpyHunter 4 + YAC (Yet Another Cleaner). YAC wykonał również liczne przkierowania typu hijack na własną podejrzaną wyszukiwarkę we wszystkich zainstalowanych przeglądarkach. Do poczytania też te wątki na temat YAC: KLIK, KLIK.

 

Wstępne działania:

 

1. Przez Panel sterowania odinstaluj SpyHunter 4, YAC(Yet Another Cleaner!).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 andnetadb; System32\Drivers\lgandnetadb.sys [X]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X]
S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X]
S3 MSICDSetup; \??\F:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\KarmimyPL\PCAnalyzer.sys [X]
Task: {214B756C-5FAE-4AF9-8CBA-77EFA027BC5C} - \Speedial No Task File 
Task: {393610A9-46B3-4643-ACB2-B7B086FA9F1B} - \RegClean Pro_DEFAULT No Task File 
Task: {46EB9739-0498-432C-AADC-807FF63D566F} - System32\Tasks\Opera scheduled Autoupdate 1405254120 => C:\Program Files (x86)\Opera\launcher.exe
Task: {4DCB1DE4-1B4A-423F-A2EA-B610A0BD6AC2} - System32\Tasks\{07FAF33A-77D6-417F-BC46-524C01E77AE9} => pcalua.exe -a "C:\Users\Erni\Downloads\DirectX 9.29.1974.exe" -d C:\Users\Erni\Downloads
Task: {6AB7CB66-FF63-45C7-B61A-FC0FE16A550C} - \RegClean Pro No Task File 
Task: {7284E983-14B1-4204-A7B6-F9035382F45E} - System32\Tasks\{7DA21BD2-5603-4E28-AD0F-B6CAF30B5C43} => pcalua.exe -a "I:\EGZAMIN ZAWODOWY ETAP PRAKTYCZNY\VirtualBox\VirtualBox-4.3.20-96997-Win.exe" -d "I:\EGZAMIN ZAWODOWY ETAP PRAKTYCZNY\VirtualBox"
Task: {8F7677C5-5C56-4CD9-9EC2-DCF80C44E4A3} - System32\Tasks\{8FBC5879-38D2-44E8-AE37-CA136A4160EC} => pcalua.exe -a C:\Users\Erni\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=w3i -simple=1
Task: {9477188D-4782-4AA9-94F9-FE0C31E5B51A} - \RegClean Pro_UPDATES No Task File 
Task: {C0DB0230-3585-4743-8F23-5C38E922BBA7} - System32\Tasks\KarmimyPL => C:\Program Files (x86)\KarmimyPL\Karmimy.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-2257826360-190355185-2570135872-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32
SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL =
SearchScopes: HKLM -> {31090377-0740-419E-BEFC-A56E50500D5B} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_21_ff&cd=2XzuyEtN2Y1L1Qzu0DyEtA0DyB0EtB0CtC0EyEyC0AzzyB0DtN0D0Tzu0SzzyBtDtN1L2XzutBtFtBtDtFtCtAtFyBtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0EtBzztByDyE0AtGyDzz0ByCtG0D0C0ByEtGtDzztAtBtGtBtAzzzytBzzyCzz0E0BzyyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtDtByCzy0CyEtAtG0FyC0EyBtG0A0EtD0FtGzzyCzz0DtGtD0ByC0C0E0EyDtC0C0DtByD2Q&cr=125124226&ir=
SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231291
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231291
SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231255
SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> {31090377-0740-419E-BEFC-A56E50500D5B} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_21_ff&cd=2XzuyEtN2Y1L1Qzu0DyEtA0DyB0EtB0CtC0EyEyC0AzzyB0DtN0D0Tzu0SzzyBtDtN1L2XzutBtFtBtDtFtCtAtFyBtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0EtBzztByDyE0AtGyDzz0ByCtG0D0C0ByEtGtDzztAtBtGtBtAzzzytBzzyCzz0E0BzyyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtDtByCzy0CyEtAtG0FyC0EyBtG0A0EtD0FtGzzyCzz0DtGtD0ByC0C0E0EyDtC0C0DtByD2Q&cr=125124226&ir=
SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231255
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKU\S-1-5-21-2257826360-190355185-2570135872-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
CHR HomePage: Default -> hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
CHR StartupUrls: Default -> "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki"
CHR DefaultSearchKeyword: Default -> YAC Safe Search
CHR HKU\S-1-5-21-2257826360-190355185-2570135872-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - https://clients2.google.com/service/update2/crx
C:\Users\Erni\AppData\Local\{051B6519-2CE0-42AE-8C49-4EB1DE7F4F18}
C:\Users\Erni\AppData\Local\{919B14D4-D505-45E6-81A6-F22BF16C5CA3}
C:\Users\Erni\AppData\Local\70149b02515b3bb20dd492.47983420
C:\Users\Erni\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Erni\Downloads\SpyHunter-Installer.exe
C:\Users\Erni\Downloads\yet_another_cleaner_sk_7196755.exe
C:\Windows\system32\Drivers\etc\hosts.bak
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować (Adblock Plus, CSS Reloader, FireFTP, Przelewy24, MEGA).

 

4. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie).
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy YAC Safe Search (search.yac.mx) i inne niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[R1z]

Dzięki @picasso!

 

Problem zniknął. Brak wyskakujących reklam. Brak wyskakujących stron w wyszukiwarce.
 

Dołączam logi.

 

Jeszcze raz dziękuje

 

Fixlog.txt

FRST.txt

[picasso]

Wszystko wygląda OK. Jeszcze drobna poprawka na szczątki. Otwórz Notatnik i wklej w nim:

 

testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver 
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X]
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\Enigma Software Group
RemoveDirectory: C:\Users\Erni\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\Erni\Downloads\FRST-OlderVersion
CMD: del /q C:\Users\Erni\Downloads\kkk9eugu.exe
CMD: del /q C:\Users\Erni\Downloads\ComboFix.exe
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. Pokaż go. Nowe logi z FRST nie są już potrzebne.

[R1z]

Zrobione.

Fixlog.txt

[picasso]

Wykonane. Na zakończenie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz wymień obecną w systemie Java na najnowszą wersję: KLIK.

[R1z]

Zainstalowałem najnowszą Jave.
 

DelFix.txt

[picasso]

DelFix wykonał co należy. Skasuj z dysku plik C:\Delfix.txt.

 

To tyle z mojej strony.