Reklamy serwowane przez Roll Around w przeglądarkach

[serpent]

Dzień dobry.

Podczas przeglądania internetu co rusz pojawiają się reklamy serwowane przez mechanizm Roll Around. Próbowałem Dr.Web i Malwarebytes, znalazły infekcje, niby wyleczyły ale reklamy wciąż wracają. Załączam logi z prośbą o pomoc.

Pozdrawiam.

Addition.txt

Shortcut.txt

FRST.txt

gmer.txt

[jessica]

Otwórz Notatnik i wklej w nim:

 

FF Extension: Roll Around - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\xgadrs61.default\Extensions\{6c50e8fc-4fe8-4084-b216-9031e7319203}.xpi [2015-03-14]

S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X]

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://q.search-simple.com/?affID=bl_0f90dc48-f4e7-4153-bde3-bab2c67b894e

HKU\S-1-5-21-751849595-2506772392-985313409-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://q.search-simple.com/?affID=bl_0f90dc48-f4e7-4153-bde3-bab2c67b894e

SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://q.search-simple.com/?affID=bl_0f90dc48-f4e7-4153-bde3-bab2c67b894e&q={searchTerms}

SearchScopes: HKU\S-1-5-21-751849595-2506772392-985313409-1001 -> {1B0B54C9-E5E5-4F36-8E7F-FBA1D824DCB2} URL = http://q.search-simple.com/?affID=bl_0f90dc48-f4e7-4153-bde3-bab2c67b894e&q={searchTerms}

C:\Users\user\Downloads\Microsoft-Office(25796)-dp.exe

C:\ProgramData\DowNNSSaVe

C:\ProgramData\BiitSaver

C:\ProgramData\RanddomPrice

C:\ProgramData\Extreme Blocker

EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

 

 

CHR dev: Chrome dev build detected! <======= ATTENTION

Odinstaluj tę dziurawą wersję Google Chrome.

Zainstaluj stąd > http://www.google.com/chrome/

 

Czy problem znikł?

 

jessi

[serpent]

Dzięki wielkie za pomoc. Problem rzeczywiście znikł, choć log z czyszczenia jakiś pustawy:

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 27-04-2015
Ran by user at 2015-04-28 09:09:09 Run:1
Running from G:\diag
Loaded Profiles: user (Available profiles: user)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************

*****************


==== End of Fixlog 09:09:09 ====

 

Chrome już wrzuciłem we właściwej wersji.

[jessica]

Na wszelki wypadek zrób nowe logi FRST - zobaczymy, czy to zostało usunięte

 

jessi

[serpent]

Ok, oto raporty. W międzyczasie zmianiłem nazwy kont użytkowników windowsowych, ale chyba nie ma to znaczenia...

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

Nic się nie usunęło. Powtórka:

 

Otwórz Notatnik i wklej w nim:

 

ShortcutTarget: AllroadAudi.zip.lnk -> C:\ProgramData\{5fbdcd42-a6dd-ae98-5fbd-dcd42a6d350a}\AllroadAudi.zip.exe (No File)

ShortcutTarget: GIANTS_Editor_5.0.1_win32.rar.lnk -> C:\ProgramData\{7095f087-c8c0-d377-7095-5f087c8cc21f}\GIANTS_Editor_5.0.1_win32.rar.exe (No File)

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://q.search-simple.com/?affID=bl_0f90dc48-f4e7-4153-bde3-bab2c67b894e

SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://q.search-simple.com/?affID=bl_0f90dc48-f4e7-4153-bde3-bab2c67b894e&q={searchTerms}

S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X]

C:\WINDOWS\Minidump\042815-26640-01.dmp

C:\Users\user\Downloads\Microsoft-Office(25796)-dp.exe

C:\ProgramData\DowNNSSaVe

C:\ProgramData\BiitSaver

C:\ProgramData\RanddomPrice

C:\ProgramData\Extreme Blocker

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

jessi

[serpent]

Oto najnowszy fixlog.

Fixlog.txt

[jessica]

Teraz powinno już być OK.

 

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

jessi

[serpent]

Wszystko poszło zgodnie z planem. Dzięki serdeczne!

[picasso]

Fixlog był pusty, bo nic nie zostało wklejone, to nie był błąd FRST tylko błąd ręcznego zapisu pliku Fixlist. Nowy log FRST nie był potrzebny, by to potwierdzić. Pusty Fixlog zawsze oznacza, że żadnej treści nie było, to co miało się wykonać. I należy jeszcze wdrożyć małe poprawki, gdyż nadal są skróty adware w Autostarcie:

 

Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AllroadAudi.zip.lnk [2015-01-28]

ShortcutTarget: AllroadAudi.zip.lnk -> C:\ProgramData\{5fbdcd42-a6dd-ae98-5fbd-dcd42a6d350a}\AllroadAudi.zip.exe (No File)

Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GIANTS_Editor_5.0.1_win32.rar.lnk [2015-04-18]

ShortcutTarget: GIANTS_Editor_5.0.1_win32.rar.lnk -> C:\ProgramData\{7095f087-c8c0-d377-7095-5f087c8cc21f}\GIANTS_Editor_5.0.1_win32.rar.exe (No File)

 

Zostały załączone do przetworzenia ich docelowe puste lokalizacje (ShortcutTarget), a nie skróty źródłowe (Startup). Puste = nie istnieją, FRST nic nie przetworzył, a gdyby nie były puste, to i tak nie zostałyby usunięte skróty źródłowe LNK, to są osobne elementy.

 

 

1. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim:

 

Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AllroadAudi.zip.lnk [2015-01-28]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GIANTS_Editor_5.0.1_win32.rar.lnk [2015-04-18]
HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe
HKLM\...\Run: [Persistence] => C:\Windows\system32\igfxpers.exe
Task: {09771866-36A9-42C3-A0FA-6DED85C36765} - System32\Tasks\{90486521-F5F2-411D-AC67-80D673EF252C} => Iexplore.exe http://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar
Task: {722B5947-33B8-4059-88E8-7E14C011E2A5} - System32\Tasks\{FA50D6ED-259F-48B6-87FB-1BEC2521DB47} => pcalua.exe -a D:\startmenu.exe -d D:\
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150310
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer
C:\Users\Mama\AppData\Local\Pokki
C:\WINDOWS\SysWOW64\tmp*.tmp
Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f
Reg: reg delete HKCU\Software\dobreprogramy /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
CMD: netsh advfirewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Z folderu C:\Users\user\Desktop\Marcin ... skasuj skrót instalacji adware Kontynuuj instalację GTA 4 - spolszczenie oraz puste skróty gier.