Wyskakujące reklamy w przeglądarkach internetowych, podmieniona strona startowa i wyszukiwarka

[John]

Na wstępie witam wszystkich forumowiczów. Forum przeglądam od dawna i zdaje się, że kiedyś pisałem jakąś opinię o programie antywirusowym ale za cholerę nie mogę znaleźć w moim programie do haseł, mojego starego konta a w opcji odzyskiwania hasła, żaden z moich emaili nie pokazał się jako zarejestrowany. No ale to teraz mało istotne...

 

Wracamy do meritum... Dostałem laptopa do reanimacji, jakiej przeglądarki bym nie uruchomił - podmieniona strona startowa (np. searchinterneat-a.akamaihd.net), klikam na odnośnik do jakiejś strony aby ją otworzyć, wczytuje się wraz z kolejną stroną (na osobnej zakładce) z reklamami, pojawiają się też reklamy przysłaniające obraz na stronie którą docelowo wczytuję.

 

Co robiłem:

- odinstalowałem Flash Playera, Active X, Real Playera, itp., jakieś dziwne programiki których nazw niestety nie zapamiętałem, zwykle tnę wszystko co ma znamiona jakichś toolbarów, itp.

- wyłączyłem przywracanie systemu, wyczyściłem katalogi temp, itp.

- przeskanowałem komputer programem Malwarebytes, wprawdzie log który tu zamieszczam nic nie pokazuje ale w kwarantannie programu jest trochę pozycji, nie potrafię jednak ich listy w jakikolwiek sposób wyeksportować, musiałbym robić screenshoty przewijając listę jednak wyszłoby tego pewnie z kilkadziesiąt screenshotów :/

- skanowałem też dysk programem KVRT, logi w załączniku,

- oczywiście zrobilem logi GMERem jak i FRST, w załączniku

 

Reklamy nadal się pojawiają i pewnie skończyłoby się testowaniem po kolei wszystkich podanych programów w wątku o narzędziach do usuwania "syfów" tylko nie wiem czy to taki dobry pomysł. Wolę zapytać Was, mądrzejszych ode mnie

 

Będę wdzięczny za pomoc. Jeśli mimo wszystko, te screeny z Malwarebytes będą potrzebne, proszę o info. Będzie trochę zabawy z tym ale zrobię to jeśli będzie trzeba

gmerlog.txt

FRST.txt

Addition.txt

Shortcut.txt

malwarebyteslog.txt

[picasso]

Obecnie w systemie głównie odpadki adware, choć niektóre nadal aktywne (usługa IhPul, Strong Signal w Firefox, polityki Google Chrome). Poza tym, odinstalowany Real Player nadal jest widoczny w niektórych miejscach.

 

Do przeprowadzenia następujące akcje:

 

1. Odinstaluj bardzo starą wersję Java™ 6 Update 14, o ile to nie jest jakiś uszkodzony wpis.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Users\Anka\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com)
S1 yvupsowa; \??\C:\windows\system32\drivers\yvupsowa.sys [X]
HKLM\...\Run: [] => [X]
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Restriction - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Restriction 
CHR HKLM-x32\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2012-05-31]
FF Plugin-x32: @real.com/nprpchromebrowserrecordext;version=15.0.4.53 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll [2012-05-31] (RealNetworks, Inc.)
FF Plugin-x32: @real.com/nprphtml5videoshim;version=15.0.4.53 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll [2012-05-31] (RealNetworks, Inc.)
FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext => not found
FF HKLM-x32\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1293323331-2248878722-2786800865-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-1293323331-2248878722-2786800865-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Task: {045B1CFA-948E-4404-972B-1C6E24002316} - \AdobeFlashPlayerUpdate 2 -> No File 
Task: {1B7C2DC9-FA9E-4F81-A977-98E39C30282E} - \Digital Sites -> No File 
Task: {2CD3B141-8C8E-4A86-A6BA-1885D68BD990} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {50F0318F-050C-472D-A634-E977276397BA} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {5C701DC2-27DB-4014-B5FC-C6D7E7011FE8} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {717F2BC1-1952-49BD-8F35-D64400F0EC30} - \EPUpdater -> No File 
Task: {7AF55485-618E-4FAC-84AE-1369F6589D6C} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2\upgrade.exe [2015-09-09] (ESET)
Task: {8070672E-1EAA-4C4F-BA4F-6798CDF464A2} - System32\Tasks\DSite => C:\Users\Anka\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE 
Task: {8ED6477D-F491-43C9-955C-FC3017D8145C} - System32\Tasks\{8D2F4E4B-F84A-4720-876D-AA0C27EEF9D1} => pcalua.exe -a "C:\Users\Anka\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AB8X7P0E\sa2ara04k_02_psb_pol.exe" -d C:\Users\Anka\Desktop
Task: {B513EAA4-8F86-4B84-A0B7-7E86E35D8830} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe 
Task: {B5CEB13E-7DC8-4F83-A007-88E55EFD48EC} - \AdobeFlashPlayerUpdate -> No File 
Task: {BEE5FB7E-40E9-41EA-8CFA-4F4646E6ACF2} - System32\Tasks\{8AB905BF-733D-4F7F-B288-4BC343C9EE1A} => Firefox.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar
Task: {EA08777B-76B7-4E4A-87B0-28DBD7AF1265} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: C:\windows\Tasks\DSite.job => C:\Users\Anka\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE 
C:\Program Files (x86)\Real
C:\Program Files (x86)\SFK
C:\Program Files (x86)\WinZipper
C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2
C:\ProgramData\Real
C:\Users\A takie tam\AppData\Roaming\Real
C:\Users\Anka\FLVPlayer
C:\Users\Anka\AppData\Local\bdraw
C:\Users\Anka\AppData\Local\screenSHU
C:\Users\Anka\AppData\Roaming\MailUpdate
C:\Users\Anka\AppData\Roaming\Real
C:\Users\Anka\AppData\Roaming\StPrsSW
C:\Users\Anka\AppData\Roaming\TSv
C:\Users\Anka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\22find.lnk
C:\Users\Anka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk
C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player
C:\Users\Anka\Desktop\FLV Player.lnk
C:\Users\skaner\Desktop\Yetisports Arctic Adventures.lnk
C:\windows\SysWOW64\pl.html
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\13374173.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\13374173.sys => ""="Driver"
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\FLV Player" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\bdraw" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PhilipsSongbirdLauncher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screenSHU" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Strong Signal" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {25DD98A4-32EE-496D-A121-AC92C551279D} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {25DD98A4-32EE-496D-A121-AC92C551279D} /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj odpadkowy RealDownloader
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie niedomyślne wyszukiwarki z wyjątkiem Google.

4. Napraw niepoprawnie wyczyszczony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. W systemie są aż trzy konta:

 

==================== Accounts: =============================
 

A takie tam (S-1-5-21-1293323331-2248878722-2786800865-1004 - Administrator - Enabled) => C:\Users\A takie tam

Anka (S-1-5-21-1293323331-2248878722-2786800865-1001 - Administrator - Enabled) => C:\Users\Anka

skaner (S-1-5-21-1293323331-2248878722-2786800865-1003 - Limited - Enabled) => C:\Users\skaner

 

Należy sprawdzić każde konto z osobna. Zaloguj się na każde konto po kolei poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika, na każdym zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition. Czyli mają powstać po dwa logi na każde konto. Na koncie limitowanym skaner uruchom FRST przez dwuklik a nie opcję Uruchom jako administrator (to zmieni kontekst konta).

 

Dołącz też plik fixlog.txt. I wypowiedz się dokładnie czy zarówno w Firefox, jak i Google Chrome nie ma już problemu. Jeśli Chrome nadal będzie szwankować, niezbędna będzie reinstalacja przeglądarki.

[John]

Dziękuję za pomoc, za chwilkę uaktualnię post o wyniki w/w czynności. Mam jednak pytanie - to konto "a takie tam" zostało utworzone przez użytkownika tylko celem sprawdzenia czy na nim to samo się dzieje. Czy całkowite jego usunięcie wykasuje również wszystkie pliki tego użytkownika? Pytam bo nie wiem czy na tym koncie jest sens skanować FRST skoro i tak to konto jest do usunięcia.

[picasso]

Oczywiście kont założonych tylko w celu diagostyki problemu nie ma sensu analizować. Usuń to konto przed przejściem do dalszych czynności. I jeśli konto "skaner" to coś w podobnym stylu, również do likwidacji.

 

PS. I już nie aktualizuj posta powyżej tylko odpowiedz w nowym poniżej.

[John]

FF wyczyszczony. Co do Chrome to w zasadzie go już odinstalowałem całkowicie ale powiem dlaczego...

Co do synchronizacji Chrome to, mimo iż przeglądarka domyślnie loguje użytkownika do Google (widać było to po ikonce z nazwą konta przy przyciskach na pasku zadań), po wejściu na podany przez Ciebie link, kazało mi się logować a niestety, nie znam hasła do tego konta.

Wyszukiwarki pokasowałem ale jednej mi się nie udało była to to Śródziemie Wiki (pl) h**p://pl.lotr.wikia.com/wiki/Specjalna:Szukaj?search=%s

Obok tej wyszukiwarki nie było nawet krzyżyka aby można było ją skasować. RealDownloadera nie było na liście rozszerzeniach w przeglądarce.

Usunąłem użytkownika "a takie tam" wybierając opcję usunięcia wszystkich jego plików.

Poniżej logi. FF jak i IE działają teraz ok. Dołączam logi z ponownych skanów.

Fixlog.txt

FRST_anka.txt

Addition_anka.txt

FRST_skaner.txt

Addition_skaner.txt

[picasso]

Wyszukiwarki pokasowałem ale jednej mi się nie udało była to to Śródziemie Wiki (pl) h**p://pl.lotr.wikia.com/wiki/Specjalna:Szukaj?search=%s

Obok tej wyszukiwarki nie było nawet krzyżyka aby można było ją skasować. RealDownloadera nie było na liście rozszerzeniach w przeglądarce.

- Być może to była wyszukiwarka ustawiona jako domyślna. Domyślnej przeglądarki nie da się usunąć, o ile nie zostanie dobrana jako domyślna inna wyszukiwarka.

- Zanik RealDownloader prawdopodobnie wynikał z usunięcia skryptem FRST powiązanego wejścia rejestru.

 

 

 

Logi Shortcut nie były potrzebne ponownie, więc je usuwam. Wszystko pomyślnie przetworzone. Drobne poprawki zostały do wdrożenia:

 

 

Na koncie Anka:

 

1. Obecnie brak zdefiniowanej domyślnej przeglądarki. Ustaw dowolną jako domyślną.

 

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej.

 

3. Otwórz Notatnik i wklej w nim:

 

BHO-x32: RealPlayer Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll => No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => No File
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {26E8287C-2B2C-4C5B-8A9C-976E087C1B63} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\KVRT_Data
RemoveDirectory: C:\Program Files (x86)\Google
RemoveDirectory: C:\Users\Anka\AppData\Local\Google
RemoveDirectory: C:\Users\Anka\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

 

Na koncie skaner:

 

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1293323331-2248878722-2786800865-1003\...\Run: [swg] => "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"


Toolbar: HKU\S-1-5-21-1293323331-2248878722-2786800865-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[John]

No właśnie nie była to domyślna wyszukiwarka bo Google była na liście jako domyślna (o ile dobrze pamiętam to była nawet pogrubioną czcionką pisana), ta o której wspomniałem była dodatkową ale na pewno nie jako domyślna. No ale to już nie ma znaczenia.

 

 

Fixlog_anka.txt

Fixlog_skaner.txt

[picasso]

Wszystko pomyślnie przetworzone. Teraz jeszcze na wszelki wypadek na koncie Anka uruchom AdwCleaner. Wybierz tylko opcję Skanuj i zaprezentuj wynikowy log z folderu C:\AdwCleaner.

[John]

W załączniku. Te wpisy "babylon" coś niezbyt dobrze mi się kojarzą... Jeśli jest jeszcze coś do usunięcia, bardzo proszę o info   Za dotychczasową pomoc bardzo dziękuję

AdwCleanerS1.txt

[picasso]

1. AdwCleaner dopatrzył się jeszcze rozmaitych szczątków adware. Uruchom go ponownie i zastosuj sekwencję opcji Skanuj + Usuń. Gdy program ukończy czyszczenie:

 

2. Usuń ręcznie pobrane skanery i ich logi z folderu C:\logi. Następnie popraw narzędziem DelFix.

 

To tyle.

[John]

Dziękuję serdecznie za pomoc, nieoceniona Picasso Laptop wprawdzie już wrócił do właściciela ale przekażę jeszcze ostatnie wskazówki które mi podałaś