Roll Around ads - deinstalacja

[scorup]

Witam

proszę o pomoc w usunięciu Roll Around ads

 

przyplątało się i doprowadza do nerwów...próbowałem ubić to różnymi programami (tymi dobrymi i tymi złymi  )

 

za sugestią usera Rucek edytowałem nowe logi niestety mam problem z GMER

podczas instalacji czy inicjacji programu niezależnie czy w trybie normalnym czy awaryjnym pokazuje się komunikat,

 

 

c:\windows\system32\config\system:Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces

 

próbowałem na siłę przeskanować niestety czynność zostaje przerwana,

 

GMER 2.1.19357 - http://www.gmer.net

Rootkit scan 2015-03-19 19:56:40

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9250410AS rev.D005SDM1 232,89GB

Running: jhnmqgsg.exe; Driver: C:\Users\Admin\AppData\Local\Temp\pwliapod.sys

 

 

---- Disk sectors - GMER 2.1 ----

 

Disk  \Device\Harddisk0\DR0  unknown MBR code

 

---- EOF - GMER 2.1 ---

 

 

-jestem laikiem więc nie wiem co teraz począć, powyższy log z GMER włączonego w trybie awaryjnym

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Jak sądzę, problem dotyczy Google Chrome. W raportach nie widać w ogóle żadnego obiektu związanego z "Roll Around" w Chrome, notuję też że próbowałeś stworzyć nowy profil przeglądarki. Wnioski: przypuszczalnie został zainfekowany któryś globalny plik Google i należy wykonać reinstalację. Zrób co następuje:

 

1. Wyeksportuj z Chrome zakładki do pliku. Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, przy deinstalacji wybierz Usuń także dane przeglądarki.

 

2. Odinstaluj także zbędny pasek Panda Security Toolbar, deinstalacja nie spowoduje ustania działania komponentu Panda Security URL Filtering.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-03-18] ()
S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X]
HKLM-x32\...\Run: [Panda Security URL Filtering] => "C:\ProgramData\Panda Security URL Filtering\Panda_URL_Filtering.exe"
HKU\S-1-5-21-3617511302-1899917538-1642246823-1000\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep"
HKU\S-1-5-21-3617511302-1899917538-1642246823-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe
HKU\S-1-5-21-3617511302-1899917538-1642246823-1000\...\MountPoints2: {4125f4cc-ca92-11e4-92b8-806e6f6e6963} - E:\AutoRun.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
C:\$360Section
C:\sh4ldr
C:\Program Files\Enigma Software Group
C:\Program Files (x86)\360
C:\ProgramData\360Quarant
C:\ProgramData\Malwarebytes
C:\Users\Admin\AppData\Roaming\do-search
C:\Users\Admin\AppData\Roaming\Enigma Software Group
C:\Users\Admin\Start Menu\Programs\SpyHunter
C:\Windows\system32\Drivers\EsgScanner.sys
C:\Windows\Tasks\360Disabled
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\do-search uninstall" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zainstaluj najnowszą wersję Google Chrome: KLIK (sekcja Aktualizacji programów).

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Wypowiedz się czy nadal są problemy.

[scorup]

Jak sądzę, problem dotyczy Google Chrome. W raportach nie widać w ogóle żadnego obiektu związanego z "Roll Around" w Chrome, notuję też że próbowałeś stworzyć nowy profil przeglądarki. Wnioski: przypuszczalnie został zainfekowany któryś globalny plik Google i należy wykonać reinstalację. Zrób co następuje:

....

 

Dziękuje picasso, jesteś nie oceniona i bardzo podziwiam Twoje zaangażowanie w pomoc.

Na chwilę obecną chrome nie pokazał mi reklam , w oczekiwaniu na pomoc przeczytałem zasady bezpieczeństwa przekaże je w swoim otoczeniu, może będziesz mieć mniej pracy. 

 

dziękuje i pozdrawiam

scorup

FRST.txt

[picasso]

Zapomniałeś podać fixlog.txt z wynikami skryptu. Ale już to sobie darujmy, gdyż widzę zmiany w nowym raporcie FRST. Natomiast mam wątpliwości czy na pewno wykonałeś te akcje: wyczyszczenie synchronizacji Google Chrome oraz deinstalacja z zaznaczonym usuwaniem danych przeglądarki. W nowym logu Google Chrome wygląda tak jakby zaraz po nowej instalacji zostały zaimportowane z serwera Google wszystkie poprzednie ustawienia, duża ilość zainstalowanych rozszerzeń i to tych samych co poprzednio (w tym jedno z nich to adware) oraz adresy adware otwierane przy starcie. Kolejne poprawki:

 

1. W Google Chrome:

• Zresetuj synchronizację (wyczyść dane): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj szczątek 360 Internet Protection oraz adware WebSite Recommendation.
• Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy myhoome.com, delta-search.com, do-search.com, przestaw na "Otwórz stronę nowej karty".
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

[scorup]

Wstyd mi....

 

aha zaraz po napisaniu posta system się aktualizował, ale to zapewne widzisz

FRST.txt

[picasso]

Wszystko zrobione. Możemy kończyć:

 

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[scorup]

# DelFix v10.9 - Logfile created 21/03/2015 at 08:32:07

# Updated 27/02/2015 by Xplode

# Username : Admin - DELL6320

# Operating System : Windows 7 Professional Service Pack 1 (64 bits)

 

~ Removing disinfection tools ...

 

Deleted : C:\FRST

Deleted : C:\AdwCleaner

Deleted : C:\Users\Admin\Downloads\AdwCleaner.exe

Deleted : C:\Users\Admin\Downloads\FRST64.exe

Deleted : HKLM\SOFTWARE\AdwCleaner

 

########## - EOF - ##########

 

 

Dziękuje jeszcze raz, w domu mam jeszcze 12 letniego Acera z WinXP.....w wolnej chwili pokaże go

[picasso]

Skasuj z dysku plik C:\Delfix.txt. To tyle.

 

Załóż osobny temat tyczący drugiego komputera.

[scorup]

tak zrobie