Skocz do zawartości

Ad by name - włączające się niechciane strony


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut, nie ma też raportu GMER.

 

Infekcja "Ads by name" w Firefox powinna być zlokalizowana w sferze globalnej matrycy preferencji, tylko że log FRST w ogóle tego nie pokazuje. I widać, że Firefox był reinstalowany. Czy na pewno problem "Ads by name" nadal występuje w Firefox? Natomiast samoistna reinstalacja adware zapewne pochodzi z czynnego zadania "netupodtep" w Harmonogramie zadań. Na razie te działania do przeprowadzenia:

 

 

1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis adware globalupdate Helper > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {F291F419-2A8C-4904-9D42-B4F0FB3AC087} - System32\Tasks\netupodtep => C:\Windows\system32\config\systemprofile\AppData\Local\Goldensoft [2015-10-01] ()
Task: {F582B5A0-6807-4593-AA40-02B567A16FC1} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
AppInit_DLLs: C:\ProgramData\Saophase\Keytom.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Saophase\Coffax.dll => Brak pliku
S2 Saophase; C:\ProgramData\\Saophase\\Saophase.exe -f "C:\ProgramData\\Saophase\\Saophase.dat" -l -a
S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X]
S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
GroupPolicy: Ograniczenia - Chrome 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-3679323292-2381456270-572968583-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668
SearchScopes: HKU\S-1-5-21-3679323292-2381456270-572968583-1001 -> {98B4F0C1-E3B7-45CA-845E-48519D6FCDED} URL =
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com -> hxxp://webcompanion.com
C:\Program Files\Common Files\2efgtdgq.exe
C:\Program Files\Common Files\i0veoalc
C:\Program Files (x86)\Google
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\Temp
C:\Users\MAGDA\AppData\Local\Unodox.exe.config
C:\Users\MAGDA\AppData\Local\Google
C:\Users\MAGDA\AppData\Local\Tempfolder
C:\Users\MAGDA\AppData\LocalLow\BitTorrent
C:\Users\MAGDA\AppData\LocalLow\Company
C:\Users\MAGDA\AppData\Roaming\BitTorrent
C:\Users\MAGDA\AppData\Roaming\RunDir
C:\Users\MAGDA\AppData\Roaming\shortCutStore
C:\Users\MAGDA\AppData\Roaming\YouSendIt
C:\Windows\system32\config\systemprofile\AppData\Local\Goldensoft
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
Folder: C:\Program Files (x86)\Mozilla Firefox
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BitTorrent /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v abDocsDllLoader /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) - zaznacz pola Addition + Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Nie odpowiedziałaś na pytanie:

 

Czy na pewno problem "Ads by name" nadal występuje w Firefox?

 

A Fix FRST nie został poprawnie wykonany, w związku z tym nie przetworzone pewne wejścia. Proszę porównaj zawartość mojego posta a plik Fixlog - skrypt został źle zapisany w Notatniku, przełamania linii. Np. w poście widać, że jest pojedyncza linia:

 

IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com -> hxxp://webcompanion.com

 

A w Notatniku zapisane w dwóch liniach:

 

HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com ->

hxxp://webcompanion.com

 

 


Powtarzaj nieudaną porcję zadania. Otwórz Notatnik i wklej w nim:

 

Task: {F582B5A0-6807-4593-AA40-02B567A16FC1} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-3679323292-2381456270-572968583-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668
SearchScopes: HKU\S-1-5-21-3679323292-2381456270-572968583-1001 -> {98B4F0C1-E3B7-45CA-845E-48519D6FCDED} URL =
IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com -> hxxp://webcompanion.com
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\All MMO Games.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
C:\Users\MAGDA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk
C:\Windows\System32\Tasks\netupodtep
C:\Windows\system32\Drivers\etc\hp.bak
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\netupodtep
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BitTorrent /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v abDocsDllLoader /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

[Tu jest 19 linii, przeklejenie ma zachować ten układ, nic nie może być "podzielone" do kolejnej linii.]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolewjny fixlog.txt. Przedstaw go.

Odnośnik do komentarza

Tak sądziłam (log na to wskazywał), że problem "Ads by name" był już nieaktualny. Fix tym razem już dokończył sprawy. Nic więcej nie widać do usuwania. Kończymy:

 

1. Usuń ręcznie te obiekty z dysku:

 

C:\MATS

C:\Users\MAGDA\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe

C:\Users\MAGDA\Downloads\program FRST

 

2. Skorzystaj z DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Adobe Reader: KLIK.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...