Wyskakujące reklamy, strony ollando itp. syfy

[zagladacz]

Witaj Picasso,

 

Wiedziałem, że się jeszcze nie raz spotkamy. Ale do rzeczy.

 

Kilka dni temu otworzyłem sobie stronkę na tzw. "porządnym" portalu, rozwinął mi się na dole pasek reklamki typu "zwiń-rozwiń", w to "zwiń" kliknąłem i... zaczęła się już niezła jazda. Polega ona na tym, że praktycznie na każdej stronie, na każdym portalu (również fixitpc.pl) wyskaują jakieś takie różne syfy. Zrzuty ekranu niżej. (W dołączonych plikach. Sorry, ale nie mam siły hostować tego na jakimś Imageschacku, bo mi te wyskakujące strony wariują.).

 

Wkurzony na to, doinstalowałem sobie adblocka w FF, ale nic to nie dało.

 

Załączam też raporty z logów.

 

Dziwna sprawa, bo na drugim laptopie też mam podobne wice. Jak wyleczymy ten, to podepnę tamten i się zajmiemy tamtym.

 

Pozdrawiam.

 

EDIT: Musiałem usunąć raport Shortcut.txt, ponieważ zawiera pewne informacje, które nie powinny się ukazać.

EDIT2: Zamieściłem właściwe, aktualne, logi

raport-GMER.txt

Shortcut.txt

Addition.txt

FRST.txt

Edytowane 8 Kwietnia 2015 przez zagladacz

[picasso]

Są tu dwie sprawy:

- Adware: W logu widać różne globalnie zainstalowane obiekty (Greener Web, HQ-V1.4, SavePass, WinZipper), a także adware w Operze, ale nic w Firefox. Prawdopodobnie w Firefox jest ten nowy typ adware, który posługuje się trikiem "domyślnych preferencji" i będę sprawdzać globalny folder Firefox ręcznie.

- Uszkodzenie systemu Usług kryptograficznych - masowy odczyt braku podpisu cyfrowego usług i sterowników Windows.

 

Działania wstępne:

 

1. Pod kątem usterki Usług kryptograficznych uruchom narzędzie Fix It 50202 (działa na XP): KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2.

 

2. Deinstalacje:

- Przez Dodaj/Usuń programy odinstaluj adware HQ-V1.4, SavePass, WinZipper oraz starszą wersję Java 8 Update 31.

- W Operze wejdź do Rozszerzeń i odinstaluj HQ-V1.4, SavePass.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 Update Greener Web; C:\Program Files\Greener Web\updateGreenerWeb.exe [318752 2014-06-29] ()
R2 Util Greener Web; C:\Program Files\Greener Web\bin\utilGreenerWeb.exe [318752 2014-06-29] ()
S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X]
S4 WindowsMangerProtect; C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2014-12-26] (Fuyu LIMITED) [File not signed]
Task: C:\WINDOWS\Tasks\64e02fd5-38d4-4796-99b5-94f9ce61e8e9-1.job => C:\Program Files\SavePass\SavePass-codedownloader.exeE/lVhSU /rcbYrfph=task /ZpBCgxxtc='SavePass' /opKZNk=57050 /CjftjJ='001504' /JlFutVD='0' /xsGyTcGOL='0' /uEdfKzwvS=3C1D0284B59B46099EBF9B6E9B4DB9F7IE /TRIdwDGm=2a6fa4d6fca1f2f51cc66965dd418d08 /vxIZPlGJu=1_34_06_10 /vHvQAs=1.34.6.10 /nkaOBMRBi=1403270371 /YSZaXHc=http:/stats.datagenserv.com /hSYjiK=http:/errors.datagenserv.com /jpelGLu=http:/js.datagenserv.com /tQQrCEVl=opera /VLUYScLFK=http:/js.clientdemocloud.com /JKizC /bOpFcHBjn='{asw:[2, 12582980, 0]}' /JGGFP='http:/update.datagenserv.com/ie_code_agent_updates/{CAMP_ID}/update.jso 
Task: C:\WINDOWS\Tasks\64e02fd5-38d4-4796-99b5-94f9ce61e8e9-4.job => C:\Program Files\SavePass\64e02fd5-38d4-4796-99b5-94f9ce61e8e9-4.exeq/yiYpEh /ZpBCgxxtc='SavePass' /fekQtsK C:\Program Files\SavePass\57050.xpi' /opKZNk=57050 /CjftjJ='001504' /JlFutVD='0' /xsGyTcGOL='0' /uEdfKzwvS=3C1D0284B59B46099EBF9B6E9B4DB9F7IE /TRIdwDGm=2a6fa4d6fca1f2f51cc66965dd418d08 /vxIZPlGJu=1_34_06_10 /vHvQAs=1.34.6.10 /nkaOBMRBi=1403270371 /YSZaXHc=http:/stats.datagenserv.com /hSYjiK=http:/errors.datagenserv.com /jTZPGdj=300 /iHOqOSqX=587fea1b-1c76-43c0-8b29-3c3da78e2485@2309207e-4ba6-42d8-b8a2-3b0a22e052b5.com /CIoZrUwqh=0.94 /rWNAvk=a587fea1b1c7643c08b293c3da78e24852309207e4ba642d8b8a23b0a22e052b5com57050 /DSfhfiuz=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/57050.rdf /cIstfpesq='SavePass' /xpLdKr='Just Save!' /kRdSKzd='OutBrowse' /tQQrCEVl=opera /bOpFcHBjn='{asw:[2, 12582980, 0]}' /JKizC /SaWjDhp /eyWjDj /JGGFP='http:/update.datagenserv.com/ff_agent_updates/{CAMP_ID}/update.jso 
Task: C:\WINDOWS\Tasks\bench-sys.job => C:\Program Files\Bench\Updater\updater.exe 
Task: C:\WINDOWS\Tasks\bench-Updater removing.job => XN EG /verysilent SYSTEM This will uninstall Updater 
Task: C:\WINDOWS\Tasks\ffc1b485-31d9-46a5-a2fb-3de6a491d187-1.job => C:\Program Files\HQ-V1.4\HQ-V1.4-codedownloader.exe>/lVhSU /rcbYrfph=task /ZpBCgxxtc='HQ-V1.4' /opKZNk=58362 /CjftjJ='001553' /JlFutVD='0' /xsGyTcGOL='0' /uEdfKzwvS=9D5BD2C10EC341E3ADB65532CC207B80IE /TRIdwDGm=1c54ce95e4bfb8cc49a64f36322e09ee /vxIZPlGJu=1_34_06_10 /vHvQAs=1.34.6.10 /nkaOBMRBi=1403270331 /YSZaXHc=http:/stats.datagenserv.com /hSYjiK=http:/errors.datagenserv.com /jpelGLu=http:/js.datagenserv.com /tQQrCEVl=opera /VLUYScLFK=http:/js.clientdemocloud.com /JKizC /bOpFcHBjn='{asw:[2, 68, 0]}' /JGGFP='http:/update.datagenserv.com/ie_code_agent_updates/{CAMP_ID}/update.jso 
Task: C:\WINDOWS\Tasks\ffc1b485-31d9-46a5-a2fb-3de6a491d187-4.job => C:\Program Files\HQ-V1.4\ffc1b485-31d9-46a5-a2fb-3de6a491d187-4.exeŚ/yiYpEh /ZpBCgxxtc='HQ-V1.4' /fekQtsK C:\Program Files\HQ-V1.4\58362.xpi' /opKZNk=58362 /CjftjJ='001553' /JlFutVD='0' /xsGyTcGOL='0' /uEdfKzwvS=9D5BD2C10EC341E3ADB65532CC207B80IE /TRIdwDGm=1c54ce95e4bfb8cc49a64f36322e09ee /vxIZPlGJu=1_34_06_10 /vHvQAs=1.34.6.10 /nkaOBMRBi=1403270331 /YSZaXHc=http:/stats.datagenserv.com /hSYjiK=http:/errors.datagenserv.com /jTZPGdj=300 /iHOqOSqX=508d4e2f-a469-421d-a294-135dbb84fe1b@f7b17943-cc9e-4d4a-b223-0bd1e7cfc871.com /CIoZrUwqh=0.94 /rWNAvk=a508d4e2fa469421da294135dbb84fe1bf7b17943cc9e4d4ab2230bd1e7cfc871com58362 /DSfhfiuz=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/58362.rdf /cIstfpesq='HQ-V1.4' /xpLdKr='Turn YouTube videos to High Definition by default' /kRdSKzd='HQV1.4' /tQQrCEVl=opera /bOpFcHBjn='{asw:[2, 68, 0]}' /JKizC /SaWjDhp /eyWjDj /JGGFP='http:/update.datagenserv.com/ff_agent_updates/{CAMP_ID}/update.jso 
Task: C:\WINDOWS\Tasks\fun4us_notification_service.job => C:\Documents and Settings\User\Local Settings\Application Data\fun4us\fun4us_notification_service.exeâ/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='fun4us' /appid='73143' /srcid='2913' /bic='c3e994a2586ba8d7cc5eb266dcb010a6' /verifier='53dccb8e06c7bee9385adaae092f10fb' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif
Task: C:\WINDOWS\Tasks\fun4us_updating_service.job => C:\Documents and Settings\User\Local Settings\Application Data\fun4us\fun4us_updating_service.exe§ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=fun4us_updating_service /funurl=http:/stats.buildomserv.com
HKLM\...\Run: [fst_pl_145] => [X]
HKLM\...\Run: [upfst_pl_145.exe] => C:\Documents and Settings\User\Local Settings\Application Data\fst_pl_145\upfst_pl_145.exe -runhelper
HKU\S-1-5-21-527237240-706699826-725345543-1003\...\MountPoints2: {90ed4f3f-8623-11e4-b085-001c231eb7f9} - E:\Startme.exe
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
ShortcutWithArgument: C:\Documents and Settings\User\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX
ShortcutWithArgument: C:\Documents and Settings\User\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX
ShortcutWithArgument: C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1403270212&from=obw&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1403270212&from=obw&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX&q={searchTerms}
HKU\S-1-5-21-527237240-706699826-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-527237240-706699826-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-527237240-706699826-725345543-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX&q={searchTerms}
BHO: Windows Live Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll No File
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File
FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File
FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\delta-homes.xml [2014-12-29]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\w4ibkb2u.default\extensions\detgdp@gmail.com
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-04]
C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect
C:\Documents and Settings\User\Application Data\ColorTable
C:\Documents and Settings\User\Application Data\i7OPoKuArNBT
C:\Documents and Settings\User\Application Data\lTW1Bf6xfjnC
C:\Documents and Settings\User\Local Settings\Application Data\fun4us
C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome
C:\Program Files\Greener Web
C:\Program Files\WinZipper
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7
Folder: C:\Program Files\Mozilla Firefox
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/DownloadManager,version=1.1 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Są tu dwa czynne konta:

 

==================== Accounts: =============================
 

Ania i Grześ (S-1-5-21-527237240-706699826-725345543-1006 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Ania i Grześ

User (S-1-5-21-527237240-706699826-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\User

 

Potrzebne logi z obu. Po kolei zaloguj się na każde poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika, na każdym zrób zrób nowy log FRST z opcji Scan (zaznaczone pole Addition, by powstały dwa logi). Dołącz też plik fixlog.txt.

[zagladacz]

OK.

 

Zrobiłem pkt. 1

 

Robiłem też pkt. 2, ale nie dało się odinstalować HQ-V1.4 w trybie dodaj/usuń programy, bo mi osłona antywirusowa zablokowała wykonywanie polecenia ze względu na podejrzenie zarażenia wirusem. Nie zdążyłem zrobić zrzutu tego komunikatu, ale jakieś informacje wydłubałem z kwarantanny. Czy w związku z tym mam przejść do pkt. 3 Twojego polecenia?

 

Aha, zapomniałem jeszcze dodać, że mi w IE wyskakuje syf w postaci "delta-homes.com" (zrzut wstawiam). Też mnie to wnerwia.

[picasso]

[Robiłem też pkt. 2, ale nie dało się odinstalować HQ-V1.4 w trybie dodaj/usuń programy, bo mi osłona antywirusowa zablokowała wykonywanie polecenia ze względu na podejrzenie zarażenia wirusem. Nie zdążyłem zrobić zrzutu tego komunikatu, ale jakieś informacje wydłubałem z kwarantanny. Czy w związku z tym mam przejść do pkt. 3 Twojego polecenia?

Wyłącz osłony Avast na czas wykonywania poleceń i kontynuuj.

 

 

Aha, zapomniałem jeszcze dodać, że mi w IE wyskakuje syf w postaci "delta-homes.com" (zrzut wstawiam). Też mnie to wnerwia.

Tak, wiem o tym - w logach widać zmodyfikowane skróty LNK przeglądarki z dopisanym tym adresem i inne miejsca z tym przekierowaniem. Uwzględniam to w skrypcie FRST.

[zagladacz]

Wyłącz osłony Avast na czas wykonywania poleceń i kontynuuj.

 

Rozumiem, że jak tylko odinstaluję tego dziada, to powinienem włączyc osłony natychmiast. Tak?

[picasso]

Zostaw osłony Avast wyłączone do czasu zrobienia raportów z FRST.

[zagladacz]

OK.

 

EDIT: Wyłączyłem osłony. I w dodań/usuń programy chcę tego dziada odinstalować, lecz to to ani drgnie. Tzn. nie przechodzi mi do deinstalatora, a stan mi pokazuje, że jest tego 1,38 MB. Jedynie ikonkę tego mam zmienioną, tzw. stała się "typu" windowsowego.

EDIT2: Czy mam mimo to robić logi w FRST? Bo chyba ten HQ-V1.4 to nie jest jeszcze do końca odinstalowany.

[picasso]

Pomiń tę pozycję i przejdź do wykonania punktów 3+4.

[zagladacz]

Przeszedłem do wykonania pkt. 3 i 4. Załączam logi.

 

Niestety, ale w IE mi wyskakuje jeszcze to cholerne "delta-homes".

 

I jeszcze jedna usterka, o której wspominasz pisząc jako o efekcie ubocznym skanowania GMERem, tj. przejścia z trybu UDMA na PIO. Załączam zrzuty, byś mi powiedziała, jak co zrobić. Czy w tym pierwszym Primary IDE mam najechać myszą, kliknąć prawym klawiszem myszy w opcję "Uninstall" i to wystarczy?

 

EDIT (22:43) Jeszcze mi się jakieś wirusy łapią. Zrzut zapodaję.

FRST.txt

Addition.txt

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Niestety, ale w IE mi wyskakuje jeszcze to cholerne "delta-homes".

Tak, bo punkt 3, czyli Fix FRST w ogóle nie został wykonany ... Proszę otwórz Fixlog i porównaj z moim skryptem w poście - całkowicie zniekształcona treść, wszystkie linie posklejane, komendy nie wykonały się. Powtarzaj punkty 3 + 4, skrypt przeklejony do Notatnka musi mieć identyczne przejścia do nowej linii jak w moim poście. Jeśli używasz przeglądarkę IE do przeklejania treści, skorzystaj z innej.

 

 

I jeszcze jedna usterka, o której wspominasz pisząc jako o efekcie ubocznym skanowania GMERem, tj. przejścia z trybu UDMA na PIO. Załączam zrzuty, byś mi powiedziała, jak co zrobić. Czy w tym pierwszym Primary IDE mam najechać myszą, kliknąć prawym klawiszem myszy w opcję "Uninstall" i to wystarczy?

Tak, Uninstall na Primary IDE i restart komputera.

[zagladacz]

OK. Zrobiłem, jak powiedziałaś, tzn. na innej przeglądarce (FF) przekopiowałem Twój skrypt do notatnika. Powtórzyłem kroki 3+4. Wygenerowałem logi, które zamieszczam. I nadal mam te cholerne syfy... Albo jakieś "Ads by name", albo "Ad options", albo wywala mi jakieś przekierowanie na ollando czy takie tam.

 

Czy coś znowu pochrzaniłem, czy jeszcze coś będzie do roboty?

 

Zaraz jeszcze sprawdzę na IE, czy mi te cholerne "delta-homes" się usunęło. Hurra, przynajmniej tam mam "blank page".

FRST.txt

Addition.txt

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Tak, reklamy są nadal w Firefox, bo tu jest kolejna ukryta infekcja. Sprawdzałam w skrypcie FRST pod jej kątem katalog Firefox i są te obskurne pliki:

 

2015-04-08 14:55 - 2015-03-25 20:35 - 0013494 _____ () C:\Program Files\Mozilla Firefox\my.cfg

2015-04-08 14:54 - 2015-03-25 19:32 - 0000088 _____ () C:\Program Files\Mozilla Firefox\browser\defaults\preferences\my-prefs.js

 

Kolejna porcja działań. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
C:\Program Files\HQ-V1.4
C:\Program Files\Mozilla Firefox\my.cfg
C:\Program Files\Mozilla Firefox\browser\defaults
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HQ-V1.4 /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt i potwierdź ustąpienie reklam w Firefox.

[zagladacz]

Ufff... dobrnęliśmy do szczęśliwego końca. Zamieszczam fixlog.

 

I jeszcze jedno. Od jakiegoś czasu pojawia mi się przy starcie kompa komunikat o kompresji Outlooka i mnie wnerwia jak go cały czas widzę. Nie chcę robic tej kompresji, bo podobno można sobie kompa uszkodzic a chcę, żeby ten dziadowski komunikat znikł. Proszę tutaj o pomoc.

Fixlog.txt

[picasso]

Fix wykonany. Teraz uruchom AdwCleaner. Wstępnie wybierz tylko opcję Szukaj i nic nie usuwaj, dostarcz wynikowy log z folderu C:\AdwCleaner.

 

 

I jeszcze jedno. Od jakiegoś czasu pojawia mi się przy starcie kompa komunikat o kompresji Outlooka i mnie wnerwia jak go cały czas widzę. Nie chcę robic tej kompresji, bo podobno można sobie kompa uszkodzic a chcę, żeby ten dziadowski komunikat znikł. Proszę tutaj o pomoc.

Prawdopodobnie ten komunikat generuje Windows Search w Autostarcie:

 

Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Windows Search.lnk

ShortcutTarget: Windows Search.lnk -> C:\Program Files\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)

 

1. Odinstaluj Windows Search 4.0, jeśli nie korzystasz. W przeciwnym wypadku wyklucz Outlook z indeksowania w tym systemie.

 

2. Zresetuj licznik Outlooka. Start > Uruchom > regedit i w kluczu:

 

HKEY_CURRENT_USER\Identities\{identyfikator}\Software\Microsoft\Outlook Express\5.0

 

Dwuklik w wartość Compact Check Count i ustaw na 0.

[zagladacz]

Zamieszczam wynikowy log z AdwCleaner.

 

Windows Searcha nie odinstalowywałem, bo czasami coś szukam na kompie i mi to pomaga. Więc w opcjach indeksowania odptaszkowałem Outlooka i Outlook Express, by mi tych folderów nie indeksował.

 

Wartość kompaktowania ustawiłem na zero.

 

I jeszcze dwie sprawy. Pierwsza to taka, że mi automat w windzie krzyczy, że mi dostarczył aktualizację Windows Maliscious Software Removal Tool - April 2015. Czy tę aktualizacje zrobić? A druga, to że CCCleaner chce maszynie zrobić lewatywę i zrobić odzysk miejsca na dysku. Pozwolić na to, czy już dopiero na koniec kuracji?

AdwCleanerR0.txt

[picasso]

Kolejna porcja zadań:

 

1. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację Szukaj + Usuń. Przedstaw wynikowy log C:\AdwCleaner\AdwCleaner[s0].txt.

 

2. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Documents and Settings\User\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

 

I jeszcze dwie sprawy. Pierwsza to taka, że mi automat w windzie krzyczy, że mi dostarczył aktualizację Windows Maliscious Software Removal Tool - April 2015. Czy tę aktualizacje zrobić? A druga, to że CCCleaner chce maszynie zrobić lewatywę i zrobić odzysk miejsca na dysku. Pozwolić na to, czy już dopiero na koniec kuracji?

Pierwsza: tak, zainstaluj tę aktualizację, choć to bardzo podstawowy wykrywacz. Druga: na samym końcu będziesz mógł się zająć "pracami konserwacyjnymi".

[zagladacz]

1. Uruchomiłem AdvCleaner i zrobiłem, co poleciłaś. Zapisał mi się nawet ten log, ale wskutek przprowadzenia operacji w pkt. 2 mi to wszystko wywaliło w kosmos. Poprawić tę operację?

 

2. Załączam fixlog.

Fixlog.txt

[picasso]

Dlatego podałam, by log przedstawić w punkcie 1, bo punkt 2 miał to wszystko usunąć. Powtarzanie operacji na nic, gdyż poprzednie wyniki się już nie pokażą.

 

Czyszczenie z adware wygląda na ukończone. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro, nic nie usuwaj, tylko dostarcz wyniki.

[zagladacz]

Coś dziwnego się stało. Jak chciałem załączyć ten log z Hitman Pro, to mi wyskoczyło w dodawaniu plików "Nie masz uprawnień do wysyłania tego typu plików". Co to się stało?

[picasso]

To plik z rozszerzeniem *.log, zabroniony w załącznikach. W załącznikach akceptuję tylko rozszerzenie *.txt. Zmień ręcznie nazwę pliku.

[zagladacz]

OK. Jest.

HitmanPro_20150416_1351.txt

[picasso]

Pośpieszyłeś się, miałeś tylko przeddstawić wyniki do oceny, a Ty już wdrożyłeś usuwanie. Wyniki Hitman to już błahostki: szczątki adware, jakieś ciastka, a "Suspicious files" do zignorowania (to kopie FRST, Hitman nie lubi się z nim ). Kończymy:

 

1. Zaloguj się na drugie konto "Ania i Grześ" i pokasuj z Pulpitu wszystkie kopie FRST. Zaloguj się z powrotem na administratorskie i usuń foldery:

 

C:\Documents and Settings\User\Local Settings\Temp{B5992E77-86AF-4208-B9A9-615EBC61D816}

C:\Documents and Settings\User\Desktop\frst

 

2. Zastosuj DelFix, by dokończył resztę po narzędziach, oraz wyczyść foldery Przywracania systemu: KLIK.

[zagladacz]

Zrobiłem wszystko, jak poleciłaś. Czyli co? Teraz kosmetyka, o której mówiłaś tutaj?

[picasso]

Skończyliśmy temat. Teraz możesz się zająć swoimi własnymi "konserwacjami".

[zagladacz]

Dzięki Ci. Jesteś Wielka!   Zdrowia i jeszcze raz zdrowia Ci życzę. Jeszcze raz się jednak będziemy musieli spotkać, bo jak wspominałem drugi lapek też te same syfy złapał i jest do leczenia.