Problem z "ads by name"

[kibic1]

Witam

 

Bardzo proszę o pomoc z uporaniem się z bardzo uporczywymi reklamami wyskakującymi podczas przeglądania stron na przeglądarkach. Wczoraj wykonałem skan programem MBAM (poniżej wklejam raporty), który nie przyniósł rezultatu. W panelu sterowania -> programy wygląda raczej OK. Ponizej wklejam rowniez raporty z FRST

 

System to Win7, 64 bit

 

Bardzo proszę o pomoc.

MBAM1.txt

MBAM2.txt

MBAM3.txt

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Ta infekcja stosuje nową metodę ładowania, której jeszcze skan FRST nie wychwytuje. Na razie podaj dodatkowe informacje:

 

Otwórz Notatnik i wklej w nim:

 

Folder: C:\Program Files (x86)\Google
Folder: C:\Program Files (x86)\Mozilla Firefox
CMD: type "C:\Program Files (x86)\Google\Chrome\Application\master_preferences"

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

PS. Dostarczony GMER doklejam do pierwszego posta, bo tak to miało być od razu podane. Ale już wyniki o które proszę powyżej w nowym poście przedstawiasz.

[kibic1]

Wklajem  raport po wykonaniu powyższego kroku

Fixlog.txt

[picasso]

Drobna uwaga: był używany HijackThis, to stary 32-bitowy program niekompatybilny z systemem 64-bit i pokazujący na takim systemie głupoty ze względu na brak dostępu do stricte 64-bitowej części. Nie próbuj go używać.

 

W Firefox infekcja jest oczywista, tworzą ją pliki:

 

2015-04-07 22:08 - 2015-03-25 20:35 - 0013494 _____ () C:\Program Files (x86)\Mozilla Firefox\my.cfg

2015-04-07 22:08 - 2015-03-25 19:32 - 0000088 _____ () C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences\my-prefs.js

 

Akcje do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKU\S-1-5-21-2219068051-696335796-1202380909-1000\...\Run: [Flvto Youtube Downloader] => "C:\Users\test\AppData\Local\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe" /minimize
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
Toolbar: HKU\S-1-5-21-2219068051-696335796-1202380909-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CustomCLSID: HKU\S-1-5-21-2219068051-696335796-1202380909-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\test\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2219068051-696335796-1202380909-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\test\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2219068051-696335796-1202380909-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\test\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2219068051-696335796-1202380909-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\test\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2219068051-696335796-1202380909-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\test\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {2DF3A544-0633-49AA-A67C-0A73DC2CAE20} - System32\Tasks\{CC63DAF8-0976-42C8-A53F-09CE6A8AEFCD} => pcalua.exe -a "C:\Program Files (x86)\HD+V1.0\Uninstall.exe" -c /fcp=1
Task: {5795112D-FC42-48E8-A5DC-3D1A9231DC3C} - \a2637a89-53b3-460f-9620-adf0ee892971-1 No Task File 
Task: {975E32CB-DCE0-4750-93A4-B062C61F1073} - System32\Tasks\{850C161A-C3D5-478D-812D-EEB3450148E2} => pcalua.exe -a C:\Users\test\Downloads\HijackThis.exe -d C:\Users\test\Downloads
Task: {A158D5DC-2E20-4E3E-BDF6-8CD8AE01B141} - System32\Tasks\{4ADB4F4F-A46F-41E9-941E-8CA3EABE3569} => pcalua.exe -a "D:\Diablo2 + LOD\d2-cdkey\d2-cdkey.exe" -d "D:\Diablo2 + LOD\d2-cdkey"
Task: {C4392283-941B-497D-804B-44D7BE778A13} - System32\Tasks\HEUyuCX78M7jOiZIxMzg => C:\Users\test\AppData\Roaming\HEUyuCX78M7jOiZIxMzg.exe
Task: {D6B644AE-8308-4775-B504-281FA7BE5F53} - \temp_a2637a89-53b3-460f-9620-adf0ee892971-2 No Task File 
Task: C:\Windows\Tasks\HEUyuCX78M7jOiZIxMzg.job => C:\Users\test\AppData\Roaming\HEUyuCX78M7jOiZIxMzg.exe
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\Google\Chrome\Application\master_preferences
C:\Program Files (x86)\Mozilla Firefox\my.cfg
C:\Program Files (x86)\Mozilla Firefox\browser\defaults
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk
C:\Users\test\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\test\AppData\Roaming\HEUyuCX78M7jOiZIxMzg
C:\Users\test\Downloads\jxpiinstall*.exe
C:\Users\Public\Desktop\Rejestracja gwarancji firmy Toshiba.lnk
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Powyższy skrypt usunie globalne adware z Firefox, ale jeszcze dodatkowo wyczyść go na poziomie profilu:

• menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować
• menu Historia > Wyczyść historię przeglądania

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj adware SourceApp i co tam jeszcze podejrzanego widzisz.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. W Firefox sprawa reklam powinna być w 100% rozwiązana, ale mnie interesuje czy Google Chrome będzie czyste.