Problem z Reklamami - Otwierają się same

[keczap02]

Witam, z tego co zauważyłem wielu użytkowników zmaga się z tym problemem, otóż jakieś programy adware i reklamy uruchamiają się same przenosząc mnie do innych stron. próbowałem znaleźć jakieś rozwiązania, ale niestety jestem totalnym laikiem przez co nie potrafię rozwiązać tego problemu. Wykonałem skan programem OTL. Proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Proszę dostosuj się do zasad działu: KLIK. Logi z przestarzałego OTL w ogóle nie są tu już brane pod uwagę.

[keczap02]

Okej, skany wykonałem. Oto one.

Addition.txt

FRST.txt

Gmer.txt

Shortcut.txt

[picasso]

W systemie jest trochę odpadków po uprzednio niepoprawnie odinstalowanych aplikacjach adware. Firefox zaś jest obecnie zainfekowany dwoma typami adware. Akcje do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj:

- Adware/PUP: Ask Toolbar, FindWide.com, Instant Savings App, Rich Media Player

- Stare wersje i zbędniki: Adobe Reader XI (11.0.12) - Polish, Akamai NetSession Interface, Badanie mające na celu poprawę produktów HP Deskjet 1510 series, Java 7 Update 51.

 

Jeśli czegoś nie będzie widać lub nie będzie się dało odinstalować, kontynuuj dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
FF Session Restore: -> - funkcja włączona.
FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll [brak pliku]
FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [brak pliku]
FF Plugin HKU\S-1-5-21-3615056651-1230219370-3880529227-1000: @tnt2ghost.com/Plugin -> C:\Users\User\AppData\Local\TNT2\2.0.0.1702\npTNT2ghost.dll Brak pliku
FF Plugin HKU\S-1-5-21-3615056651-1230219370-3880529227-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll Brak pliku
FF HKLM-x32\...\Firefox\Extensions: [{3DF4B26D-DB19-45DF-962A-6719D071245B}] - C:\Users\User\AppData\Local\Rich Media Player\BrowserExtensions\Firefox\{3DF4B26D-DB19-45DF-962A-6719D071245B} => nie znaleziono
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140815
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> {7816E55A-7441-47E3-B23F-ACD83F2CBFA0} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10809
SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
Toolbar: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> Brak nazwy - {5C1D9348-90F2-4664-9264-71BCC1D36ECC} - Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
CustomCLSID: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\User\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku
Task: {05F131C4-BD4B-477A-9E74-71EEA9352506} - System32\Tasks\{309AF848-96CF-4072-8837-64299466F41C} => pcalua.exe -a "D:\Program Files (x86)\Uninstaller.exe" -d "D:\Program Files (x86)"
Task: {0FC1EC10-D32A-4F82-A696-F893D9B50B20} - System32\Tasks\{B0FB388C-72E7-4D27-8046-5B4F488FAF4B} => Chrome.exe http://ui.skype.com/ui/0/6.18.0.105/pl/abandoninstall?source=lightinstaller&page=tsInstall
Task: {32625A6D-E125-4742-8560-9A82AF1BE2BF} - System32\Tasks\{6589C010-B69B-4904-817C-4058F9063959} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar=
Task: {598F8AAD-79D1-417B-BB56-1C285B28B19A} - System32\Tasks\{EE444E1C-F7B7-400F-ABBF-5B28098719A1} => Chrome.exe http://ui.skype.com/ui/0/6.21.60.104/pl/abandoninstall?page=tsMain
Task: {5C646611-6A50-413A-8F9A-11037BCF46A1} - System32\Tasks\Opera scheduled Autoupdate 1440176387 => C:\Program Files (x86)\Opera\launcher.exe
Task: {BE9C3A56-8AF1-44BB-8DBE-55D8BC241C51} - System32\Tasks\{E3B3DF5D-7A93-4CCE-A4CF-8F187B9B1FD5} => pcalua.exe -a E:\BlackOutSaigon_Setup.exe -d E:\
Task: {EF3D21F6-EAF3-47BC-B3BE-F1E4FA096A5D} - System32\Tasks\{6B4FC012-53A5-456B-8697-8CA61650EC3B} => pcalua.exe -a C:\Users\User\Downloads\steering.exe -d C:\Users\User\Downloads
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
HKLM-x32\...\Run: [] => [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 X6va013; \??\C:\Windows\SysWOW64\Drivers\X6va013 [X]
S3 X6va014; \??\C:\Windows\SysWOW64\Drivers\X6va014 [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
C:\Program Files (x86)\Google
C:\Program Files (x86)\Mozilla Firefox\cfg
C:\Program Files (x86)\Mozilla Firefox\browser\defaults
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\Microsoft\Windows\GameExplorer\{BBFD4729-4D5A-4634-AF95-BFD979C2AFF6}
C:\ProgramData\Microsoft\Windows\GameExplorer\{DB00C6ED-9096-45A7-BDAF-970D726B61FB}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossfire Europe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Euro Truck Simulator 2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaxPayne3
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rebellion
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reality Pump\Two Worlds\Two Worlds - Instrukcja (PDF).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TANK Ranger_NA
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Z8Games
C:\Users\Public\Desktop\Diablo III.lnk
C:\Users\Public\Desktop\Gameforge Live.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\Users\User\AppData\Local\{*}
C:\Users\User\AppData\Local\PMB Filer*
C:\Users\User\AppData\Local\proxy.log
C:\Users\User\AppData\Local\Google
C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{51A0839E-889A-4159-B2EB-49D1B00F8CDD}
C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{59B711E4-9C12-4566-91AF-4133038ED630}
C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{CA5850AD-5810-4B67-AB5B-64ECFCF3A0E1}
C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{F0B605E4-0DB2-4328-8592-C297B1A97814}
C:\Users\User\AppData\LocalLow\{6EB4A4C0-6036-4D2E-B010-20707C4B62E8}
C:\Users\User\AppData\Roaming\Opera Software
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk
C:\Users\User\Desktop\Continue Rich Media Player Installation.lnk
C:\Users\User\Desktop\visit www.nosteam.ro.lnk
C:\Users\User\Desktop\zdjecia taty\348 — skrót.lnk
C:\Users\User\Desktop\TH\Play The Forest.lnk
C:\Users\User\Desktop\Pulpit\Euro Truck Simulator 2.lnk
C:\Users\User\Desktop\Pulpit\Google Chrome.lnk
C:\Users\User\Desktop\Pulpit\Merc Elite.lnk
C:\Users\User\Desktop\Pulpit\Uruchom Wiedźmin 2.lnk
C:\Users\User\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\User\Downloads\*.exe.part
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
Folder: C:\Users\User\AppData\Local\CSO
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pando Media Booster" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent" /f
CMD: netsh advfirewall reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\User\AppData\Local
CMD: dir /a C:\Users\User\AppData\LocalLow
CMD: dir /a C:\Users\User\AppData\Roaming
Hosts:
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.
• Menu Historia > Wyczyść historię przeglądania

4. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[keczap02]

Okej,wszystko wykonane krok po kroku.

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Efekty reklamowe powinny ustąpić. Teraz będziemy cyzelować. Następna porcja zadań:

 

1. Nie odinstalowałeś starej dziurawej wersji Java 7 Update 51 - czy to dlatego, że Minecraft by Zyczu jej używa? Przy okazji sprawdź czy na pewno wszystkie gry widoczne jako "zainstalowane" są sprawne. Było dużo pustych skrótów od gier, które już usunęłam.

 

2. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\User\AppData\Local\Akamai\netsession_win.exe"
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku]
FF Plugin-x32: @richmediaplayer.com/nppluginrichmediaplayer -> C:\Program Files (x86)\Mozilla Firefox\plugins\nppluginrichmediaplayer.dll [brak pliku]
Reg: reg delete HKLM\SOFTWARE\Google /f
C:\Program Files\004
C:\Program Files (x86)\eef728a2-ecac-4e4a-8968-bcfde9bc0b6e
C:\Program Files (x86)\Elaborate Bytes
C:\Program Files (x86)\QuickTime
C:\Program Files (x86)\Pando Networks
C:\Program Files (x86)\Temp
C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
C:\ProgramData\Datamngr
C:\ProgramData\InstallMate
C:\ProgramData\Logs
C:\ProgramData\Orbit
C:\ProgramData\Supersoftware App
C:\ProgramData\TEMP
C:\ProgramData\TuneUp Software
C:\Users\User\AppData\Local\proxy.log
C:\Users\User\AppData\Local\4A Games
C:\Users\User\AppData\Local\CEF
C:\Users\User\AppData\Local\Chromium
C:\Users\User\AppData\Local\CrashRpt
C:\Users\User\AppData\Local\CRE
C:\Users\User\AppData\Local\CSO
C:\Users\User\AppData\Local\koyotesoftmoviestoolbarha
C:\Users\User\AppData\Local\Opera Software
C:\Users\User\AppData\Local\Radiocom
C:\Users\User\AppData\Local\SniperV2
C:\Users\User\AppData\Local\The Witcher 2
C:\Users\User\AppData\LocalLow\CanvasProc
C:\Users\User\AppData\LocalLow\Heroes and Generals
C:\Users\User\AppData\LocalLow\koyotesoftmoviestoolbarha
C:\Users\User\AppData\LocalLow\Protect
C:\Users\User\AppData\LocalLow\splitscreen
C:\Users\User\AppData\Roaming\0F1F1C2Y1H1P1C0I0T
C:\Users\User\AppData\Roaming\Audacity
C:\Users\User\AppData\Roaming\Radiocom
C:\Users\User\AppData\Roaming\TuneUp Software
C:\Users\User\AppData\Roaming\uTorrent
C:\Users\User\AppData\Roaming\Wargaming.net
Folder: C:\Windows\SysWOW64\GroupPolicy

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. Przedstaw go.

 

3. Widzę, że był uruchamiany AdwCleaner. Dostarcz logi z folderu C:\AdwCleaner.

[keczap02]

Okej. Zrobione.

Fixlog.txt

AdwCleanerC1.txt

AdwCleanerS1.txt

[picasso]

Ostatni fix FRST został uruchomiony dwa razy, zamiast jednego podejścia, stąd wszystko "nie znaleziono". Prawie już kończymy:

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Users\User\Desktop\Stare dane programu Firefox
CMD: del /q C:\Users\User\Desktop\Gmer.*
CMD: del /q C:\Users\User\Downloads\b6wj0oll.exe
CMD: del /q C:\Users\User\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Na wszelki wypadek przeprowadź skanowanie za pomocą Hitman Pro. Nic jeszcze nie usuwaj, tylko zaprezentuj wyniki.

[keczap02]

Podsyłam następne wyniki

Fixlog.txt

Wynik Scanu Hitmana.txt

[picasso]

Fix FRST pomyślnie wykonany. Hitman wyszukał więcej szczątków adware, trochę ciasteczek i kilka innych "podejrzanych" rzeczy. Wyniki kierujące na katalog PunkBuster wyglądają na fałszywy alarm, a detekcja pliku FRST jest na 100% fałszywym alarmem. Kończymy:

 

1. W programie Hitman usuń wszystko, z wyjątkiem wspominanych wyników kierujących na katalog PunkBuster.

 

2. Zastosuj narzędzie DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. I musisz zadbać o zwolnienie większej ilości miejsca, bo jest drastycznie mało i system może "mulić" oraz zawieszać się:

 

Drive c: (Nowy) (Fixed) (Total:146.48 GB) (Free:2.71 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano z BCD)]

[keczap02]

Okej wszystko wróciło do normy. Serdecznie dziękuję za pomoc