Skocz do zawartości

Uporczywe okienka z reklamamy w przegladarce


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W logach widać m.in. czynne adware oraz niepoprawnie usunięty ZeroAccess.

 

Na tę chwilę:

 

1. Przez Panel sterowania odinstaluj:

  • Stare wersje i zbędniki: Adobe Shockwave Player 12.0; Java 7 Update 67; Java 8 Update 45; Java™ 6 Update 22; JavaFX 2.1.0; McAfee Security Scan Plus; OpenOffice.org 3.2
  • Stara paczka kodeków: K-Lite Codec Pack 4.3.4 (Full)
  • Adware/PUP: globalupdate Helper; Malwarebytes Anti-Malware Packages
2. Zrób nowe logi FRST z opcji Skanuj (Scan), włączając log Addition.txt.
Odnośnik do komentarza

Mój błąd. Nie zauważyłem, że globalupdate jest ukryty.

 

W logach widać, że problem zaczął się od tego pliku, więc go też usuwamy:

2015-09-18 21:55 - 2015-09-18 21:55 - 00979104 _____ C:\Users\samsung\Downloads\march2014datafiles.zip__15047_i1658826585_il2702870.exe

Przechodzimy do czyszczenia.

 

1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-4013461272-253353711-3654097772-1003\...0c966feabec1\InprocServer32: [Default-shell32] UWAGA! ====> ZeroAccess?
HKU\S-1-5-21-4013461272-253353711-3654097772-1003\...\Winlogon: [shell] C:\Windows\explorer.exe [2926592 2009-04-11] (Microsoft Corporation) 
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
BHO: Downaloiaade kkeepier -> {218C9709-FB65-D840-83E8-0387EBF1847A} -> C:\ProgramData\Downaloiaade kkeepier\BNf4.dll Brak pliku
Handler: empbook - {F4673987-2C36-49e4-B23C-29DF753D84A5} - C:\Program Files\eMPendium\eMPendiumHandler.dll Brak pliku
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2010-12-12]
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
FF Plugin HKU\S-1-5-21-4013461272-253353711-3654097772-1003: @tools.google.com/Google Update;version=3 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll Brak pliku
FF Plugin HKU\S-1-5-21-4013461272-253353711-3654097772-1003: @tools.google.com/Google Update;version=9 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll Brak pliku
2015-09-18 22:09 - 2015-09-23 18:18 - 00000004 _____ C:\Windows\system32\029B560A371F4E00AB32838EBC01B9E7
2015-09-18 22:03 - 2015-09-18 22:03 - 00000000 ____D C:\Program Files\mbot_pl_014010090
2015-09-18 22:02 - 2006-09-18 23:41 - 00000761 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-09-18 21:58 - 2015-09-18 21:58 - 00000000 ____D C:\Users\Public\QiYi
2015-09-18 21:57 - 2015-09-18 21:57 - 00000000 ____D C:\Program Files\baidu
2015-09-18 21:55 - 2015-09-18 21:55 - 00979104 _____ C:\Users\samsung\Downloads\march2014datafiles.zip__15047_i1658826585_il2702870.exe
2012-10-25 17:47 - 2012-10-25 17:47 - 83023306 ____T () C:\ProgramData\0tbpw.pad
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{022105BD-948A-40C9-AB42-A3300DDF097F}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Update\GoogleUpdate.exe" Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.135\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.25.5\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.27.5\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{22181302-A8A6-4F84-A541-E5CBFC70CC43}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\GoogleUpdateOnDemand.exe" Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{2F0E2680-9FF5-43C0-B76E-114A56E93598}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\GoogleUpdateOnDemand.exe" Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.23.9\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\GoogleUpdateOnDemand.exe" Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.1\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.145\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.123\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.153\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.13\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.24.15\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.149\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.22.3\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.165\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C3101A8B-0EE1-4612-BFE9-41FFC1A3C19D}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.26.9\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C442AC41-9200-4770-8CC0-7CDB4F245C55}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.115\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.25.11\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{E67BE843-BBBE-4484-95FB-05271AE86750}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\GoogleUpdateOnDemand.exe" Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.22.5\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.111\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.24.7\psuser.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{00EEBF57-477D-4084-9921-7AB3C2C9459D}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{047A9A40-657E-11D3-8D5B-00104B35E7EF}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{0A29FF9E-7F9C-4437-8B11-F424491E3931}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{0AF10CEC-2ECD-4B92-9581-34F6AE0637F3}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{0B91A74B-AD7C-4A9D-B563-29EEF9167172}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{0C15D503-D017-47CE-9016-7B3F978721CC}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{275C23E2-3747-11D0-9FEA-00AA003F8646}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{35786D3C-B075-49B9-88DD-029876E11C01}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{40DD6E20-7C17-11CE-A804-00AA003CA9F6}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{4336A54D-038B-4685-AB02-99BB52D3FB8B}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{46408325-AF70-4AB0-90D9-7B1779C1AD87}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{50EF4544-AC9F-4A8E-B21B-8A26180DB13F}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{527C9A9B-B9A2-44B0-84F9-F0DC11C2BCFB}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{5C65F4B0-3651-4514-B207-D10CB699B14B}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Chrome\Application\45.0.2454.93\delegate_execute.exe" Brak pl (dane wartości zawierają 3 znaków więcej).
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{6311429E-2F1A-4777-880F-C7289FD10169}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{640167B4-59B0-47A6-B335-A6B3C0695AEA}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{71C3BF7F-682F-4B5E-9E47-5C25D3AC9458}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{72213061-C9BC-40BE-A916-A28F5FBA091E}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{77F419AA-771A-45FF-AC66-7567FA3243D3}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{7842554E-6BED-11D2-8CDB-B05550C10000}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{807563E5-5146-11D5-A672-00B0D022E945}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{82C588E7-E54B-408C-9F8C-6AF9ADF6F1E9}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{84465401-2886-4CE0-AF50-C0560226ED40}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{85E94D25-0712-47ED-8CDE-B0971177C6A1}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{87123A30-0975-417D-9457-10066C5B69C3}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{88D96A05-F192-11D4-A65F-0040963251E5}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{88D96A06-F192-11D4-A65F-0040963251E5}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{88D96A0C-F192-11D4-A65F-0040963251E5}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{8E85D0CE-DEAF-4EA1-9410-FD1A2105CEB5}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{8F170678-2A97-4D59-89A1-7A0A71C1B677}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{9113A02D-00A3-46B9-BC5F-9C04DADDD5D7}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{9A2B23E4-2A50-48DB-B3C3-F5EA12947CB8}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{9CFC2DF3-6BA3-46EF-A836-E519E81F0EC4}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{B056521A-9B10-425E-B616-1FCD828DB3B1}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{B155BDF8-02F0-451E-9A26-AE317CFD7779}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{B5F8350B-0548-48B1-A6EE-88BD00B4A5E7}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{B8967F85-58AE-4F46-9FB2-5D7904798F4B}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C1F63D0C-4CAE-4907-BE74-EEB75D386ECB}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C5621364-87CC-4731-8947-929CAE75323E}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{CA554A15-4410-45C9-B5C1-20DE052D9CD3}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{CACAF262-9370-4615-A13B-9F5539DA4C0A}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{CB2F6723-AB3A-11D2-9C40-00C04FA30A3E}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{CC4014F5-B18D-439C-9352-F99D984CCA85}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{E5CB7A31-7512-11D2-89CE-0080C792E5D8}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{E6D78900-BB40-4039-9C54-593A242B65DA}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{EDB5F444-CB8D-445A-A523-EC5AB6EA33C7}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{F3364BA0-65B9-11CE-A9BA-00AA004AE837}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{F5078F32-C551-11D3-89B9-0000F81FE221}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{FE841493-835C-4FA3-B6CC-B4B2D4719848}\InprocServer32 -> Brak ścieżki do pliku
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_pl_005010091" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iLivid" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mbot_pl_014010091" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PrivitizeVPN" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f
Task: {386BB16C-A800-4FC3-9E8C-6EE2AEAB1DB2} - System32\Tasks\{45B2C3A5-0CBB-45EF-934E-6005D64316CF} => pcalua.exe -a D:\cm0102v3968-20060922131937KUVQ2.exe -d "C:\Program Files\Mozilla Firefox"
Task: {4E01E928-3DB3-4D22-AA2C-9A5881FDEDBD} - System32\Tasks\task30081516 => C:\Windows\Temp\_ex-08.exe 
Task: {6A012EA9-B28B-48AC-87C0-572BC9FA1A49} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4013461272-253353711-3654097772-1003Core => C:\Users\samsung\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {8B49AD94-45B3-4ED4-B53A-A2A0C347E61E} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4013461272-253353711-3654097772-1003UA => C:\Users\samsung\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {96531A47-614E-4BF9-897A-A2E7A4620216} - \ZoomExUpdaterTask{2F0E7216-A2D5-4E4B-A67E-54607E3D3C0F} -> Brak pliku 
Task: {AE2ACCD1-B367-48F7-BA3F-346FA4DD88B4} - System32\Tasks\{BC09892F-C719-47CD-93B2-D1FA9BD9C8BB} => pcalua.exe -a C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe -c /M{07A540AB-D785-11D5-8E89-0090275862A0}
AlternateDataStreams: C:\Users\samsung\Downloads\march2014datafiles.zip__15047_i1658826585_il2702870.exe:typelib
FirewallRules: [{86A1C3B8-E09F-4FA3-B28E-3D2DC7960532}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{613BFA9B-4795-471E-851E-83B3F7D9E443}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{C747F077-82EA-4F27-96CF-0FB15D00EB02}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{63BC66FA-EF83-4A90-B253-1E2983826518}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{D902D01E-2D28-4FCE-9DFD-E6CE56875C8A}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe
FirewallRules: [{8007F4D8-B272-4F63-BC64-96DFC72D7D3C}] => (Allow) C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe
FirewallRules: [{723FD159-30B1-4B51-9712-6885F96B69C6}] => (Allow) C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe
FirewallRules: [{1843A4B0-0FA0-4B8D-86E2-4F6DEA395DDC}] => (Allow) C:\ProgramData\EmailNotifier\EmailNotifier.exe
FirewallRules: [{86063E44-8398-475E-B672-1C336C505DEC}] => (Allow) C:\ProgramData\EmailNotifier\EmailNotifier.exe
FirewallRules: [TCP Query User{62FE6BBF-1C1B-48DA-BF0F-DE5AAD2C3690}C:\users\samsung\appdata\roaming\filehunter\pumpa.exe] => (Allow) C:\users\samsung\appdata\roaming\filehunter\pumpa.exe
FirewallRules: [uDP Query User{6D9D244A-2B8A-4F2B-9BBA-BFC3B6401171}C:\users\samsung\appdata\roaming\filehunter\pumpa.exe] => (Allow) C:\users\samsung\appdata\roaming\filehunter\pumpa.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox:

  • Odłącz synchronizację (o ile włączona): KLIK
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania
4. Wyczyść Google Chrome:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
5. Skoryguj niepoprawny skrót IE:

W pasku adresów eksploratora wklej ścieżkę C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet Explorer (No Add-ons).lnk > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i parametr -extoff

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Przeoczyłem dwa wpisy, teraz powinno być dobrze :)

 

Otwórz Notatnik i wklej w nim:

 

FF HKLM\...\Firefox\Extensions: [4f87499f15fba@4f87499f15fbc.info] - C:\Users\samsung\AppData\Roaming\Mozilla\Firefox\Profiles\slocixry.default\extensions\4f87499f15fba@4f87499f15fbc.info
FF HKLM\...\Firefox\Extensions: [5107f287f355d@5107f287f3594.com] - C:\Users\samsung\AppData\Roaming\Mozilla\Firefox\Profiles\slocixry.default\extensions\5107f287f355d@5107f287f3594.com

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Odnośnik do komentarza

Jesteś pewien, że w folderze C:\AdwCleaner nie ma raportów od AdwCleanera? Jeżeli są, przedstaw wszystkie z nazwą AdwCleaner[CX] (zamiast X będą liczby).

 

To samo z raportem Malwarebytes - w programie wejdź w Historia > Raporty aplikacji i znajdź najnowszy Raport skanowania.

 

Co do reklam, czy są one losowe, czy jakoś się powtarzają? Jakaś fraza lub cokolwiek, co mogłoby nakierować na nazwę infekcji.

Odnośnik do komentarza

Reklamy są różne, część się powtarza, część nie,  w pasku reklamy powtarza się fraza Ads By Name. Poza tym klikając w różne odnośniki i buttony na stronach, prawie zawsze, na tej samej karcie lub nowej karcie otwierają się najczęsciej strony sklepów. Jak już pisałem wydaje się, że problem dotyczy Firefoxa. Odnalazłem raporty z AdwCleanera.

AdwCleanerC5.txt

AdwCleanerC6.txt

Odnośnik do komentarza

Dzięki nazwie infekcji prawdopodobnie udało mi się znaleźć rozwiązanie :)

 

Na początek pobór danych.

 

Otwórz Notatnik i wklej w nim:

 

CMD: type "C:\Program Files\Mozilla Firefox\browser\defaults\preferences\prefs.js"

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Odnośnik do komentarza

Wygląda na to, że mamy doczynienia z nowym wariantem infekcji, ładującym się z pliku bez żadnego rozszerzenia. Musimy go jednak najpierw znaleźć.

 

Otwórz Notatnik i wklej w nim:

 

CMD: WHERE /r "C:\Program Files\Mozilla Firefox" *cfg* /t

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

PS. Nie musisz robić nowego skanu FRST, wystarczy sam Fixlog.

Odnośnik do komentarza

OK. Teraz problem powinien zniknąć. Przy okazji drobne poprawki.

 

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-4013461272-253353711-3654097772-1003\...\MountPoints2: {1e09a8f8-dcfe-11e3-a84b-00137798d668} - F:\LG_PC_Programs.exe
HKU\S-1-5-21-4013461272-253353711-3654097772-1003\...\MountPoints2: {7e9bd5fc-48e4-11e0-9a53-00137798d668} - G:\Autorun.exe
HKU\S-1-5-21-4013461272-253353711-3654097772-1003\...\MountPoints2: {8c2963dc-1e31-11e3-a6d8-00137798d668} - G:\LGAutoRun.exe
HKU\S-1-5-21-4013461272-253353711-3654097772-1003\...\MountPoints2: {9818c5fa-051f-11e0-beb9-00137798d668} - F:\autorun.exe
HKU\S-1-5-21-4013461272-253353711-3654097772-1003\...\MountPoints2: {ba67ec27-69bf-11e4-858b-00137798d668} - F:\LGAutoRun.exe
U3 amfakm3y; Brak ImagePath
CMD: type "C:\Program Files\Mozilla Firefox\cfg"
C:\Program Files\Mozilla Firefox\cfg
C:\Program Files\Mozilla Firefox\browser\defaults

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Na wszelki wypadek zrób tez nowy log FRST.txt.

Odnośnik do komentarza

Ostatnie poprawki.

 

Otwórz Notatnik i wklej w nim:

 

FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF Extension: HP Smart Web Printing - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2011-09-18]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2015-09-27]
FF HKU\S-1-5-21-4013461272-253353711-3654097772-1003\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre1.8.0_60\bin\new_plugin\npjp2.dll [brak pliku]
U3 az7prsdl; Brak ImagePath
RemoveDirectory: C:\Users\samsung\Desktop\Stare dane programu Firefox
CMD: del /q C:\Users\samsung\Downloads\upzu7788.exe
CMD: del /q C:\Users\samsung\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Nie musisz robić nowego skanu FRST.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...