sigon Opublikowano 2 Listopada 2015 Zgłoś Udostępnij Opublikowano 2 Listopada 2015 Witam Ostatnio zmagam się z problemem wyskakujących w nowych oknach reklam. Dzieje się to losow, czyli niezależnie od tego w jaki link wejdę. Z reguły uważam, aby nie wchodzić w podejrzane adresy, aczkolwiek nie jestem jedynym użytkownikiem komputera (korzystają z niego również pozostali domownicy). Nie potrafię nic więcej powiedzieć, oprócz tego, że problem pojawił się stosunkowo niedawno. Nie używam żadnego oprogramowania antywirusowego. Addition.txt FRST.txt Shortcut.txt Logi GMER.txt Odnośnik do komentarza
picasso Opublikowano 2 Listopada 2015 Zgłoś Udostępnij Opublikowano 2 Listopada 2015 O której przeglądarce mowa? Wg raportów adware jest głównie w Firefox (rozszerzenie deskCut i przekierowania globasearch.com). Jeśli problem jest jednak w Google Chrome, to jest tu grubsza sprawa niewykrywalna w raportach. Na razie przeprowadź działania tyczące tego co widać (odpadki adware, puste skróty, stare wersje): 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Reader X (10.1.16), HP Deskjet 2050 J510 series Badanie ulepszeń produktu, Java 7 Update 51, Malwarebytes Anti-Malware wersja 1.70.0.1100. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.globasearch.com/?serie=219&b=3&installkey=R205ERhakGhveLWemg10 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2801442270-617576118-1268728334-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.globasearch.com/?serie=219&b=3&installkey=R205ERhakGhveLWemg10 SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} SearchScopes: HKU\S-1-5-21-2801442270-617576118-1268728334-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} SearchScopes: HKU\S-1-5-21-2801442270-617576118-1268728334-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll [brak pliku] FF Plugin HKU\S-1-5-21-2801442270-617576118-1268728334-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\lms6c6ux.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\lms6c6ux.default\extensions\deskCutv2@gmail.com CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\user\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{4CEEAF57-0208-4CA4-A473-914C2D2FFC23}\InprocServer32 -> C:\Program Files (x86)\trademanager\AliIMX_64.dll (Alibaba software (Shanghai) Corporation.) CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{5D09DD40-CDC4-4C56-B615-0D1E3B357C2B}\InprocServer32 -> C:\Program Files (x86)\trademanager\AliIMX_64.dll (Alibaba software (Shanghai) Corporation.) CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\user\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {0622AF78-ACE7-4A95-BE85-7869F9179CA3} - System32\Tasks\{1637B148-C28D-4152-A2EF-39A6958E2DBB} => pcalua.exe -a C:\Users\user\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {0FB7767F-E8A8-4272-A8C6-2DAAC291CD8F} - System32\Tasks\Bluetooth Driver Installer => C:\Users\user\AppData\Local\Temp\is-DICJV.tmp\prsetup.exe Task: {2F73A655-D0CD-4EFF-B94A-48C217BC0CFC} - System32\Tasks\{0F6FBBFD-CA66-4932-AA2A-C95445E8D65D} => pcalua.exe -a C:\PROGRA~2\NEOSTR~1\INSTAL~1.EXE -d C:\PROGRA~2\NEOSTR~1 -c ListeModeAcces=ADSLUSB,DriverADSLUSB=SAGEMFAST800USB Task: {4359FADE-6554-445C-B55D-ADBFF375FA38} - System32\Tasks\{3FD652C8-0550-4621-ADED-F1594D03438A} => pcalua.exe -a C:\Users\user\AppData\Local\Temp\Temp1_pbsetup.zip\pbsetup.exe Task: {96D22DB1-2AF3-44F9-9B95-9727D2508A34} - System32\Tasks\{20907C6A-E91E-44C5-8FA1-9866AB1E7512} => pcalua.exe -a C:\Users\user\AppData\Local\Temp\Temp1_pbsetup(1).zip\pbsetup.exe Task: {C8009093-7B10-4B29-8928-639C68C26043} - System32\Tasks\{7C88FE9E-D567-424D-87EF-900FFC98B4A4} => Chrome.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {D12D064A-721D-4536-AAFE-4427A8DAA7D4} - System32\Tasks\elbyExecuteWithUAC => D:\Program Files (x86)\VirtualCloneDrive\ExecuteWithUAC.exe Task: {D3B9F7A2-57B0-49A9-9AEC-E921197A1B4B} - System32\Tasks\{6C801717-2CD4-4BB5-A327-5D364EB83B0B} => d:\Program Files (x86)\CorelDRAW Graphics Suite X4\Programs\CorelDRW.exe Task: {E98E411D-60D0-48B5-8429-CEA8F46C5E7C} - System32\Tasks\{215362C5-7A22-492D-BAC0-E0E51DABD6D7} => C:\gjetea\gta_sa.exe Task: {FC290702-7387-49A7-835A-B613BF6246BF} - System32\Tasks\{A867C7D9-6898-4670-83F5-2CCEA6B32EB4} => Chrome.exe hxxp://ui.skype.com/ui/0/6.11.59.102/pl/abandoninstall?page=tsBing S3 BRSptStub; "C:\ProgramData\BitRaider\BRSptStub.exe" [X] S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] S1 wafd_vt_1_10_0_20; system32\drivers\wafd_vt_1_10_0_20.sys [X] S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X] C:\Program Files (x86)\trademanager C:\ProgramData\vsloops.pad C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Instrukcje C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LED Center C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LedshowTW 2013 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LedshowTW 2013 Simple C:\Users\user\Gadu-Gadu 10.lnk C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{A6720810-D74A-463A-BA2F-26AC61298A7F} C:\Users\user\AppData\Roaming\default.rss C:\Users\user\Downloads\Bluetooth*.exe C:\Users\user\Downloads\SkypeWebPlugin (*).msi Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Wypowiedz się dokładnie czy nadal są problemy i w której przeglądarce. Odnośnik do komentarza
sigon Opublikowano 3 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2015 Problem występował głównie na przeglądarce Firefox. Domyślną przeglądarką na moim PC jest Chrome, jednak od czasu do czasu korzystam z Mozilli. Załączam nowe logi. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 4 Listopada 2015 Zgłoś Udostępnij Opublikowano 4 Listopada 2015 1. Wg raportów nie zostało wykonane czyszczenie Firefox, nadal widać stary profil z adware. Opcja Odśwież program Firefox tworzy nowy czysty profil. To nadal do wykonania. 2. Po wykonaniu w/w operacji zrób nowy raport FRST na następującym ustawieniu: odznacz pole Filtrowanie dla sekcji Internet, nie zaznaczaj pól Addition i Shortcut. Odnośnik do komentarza
sigon Opublikowano 5 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2015 Dzięki za pomoc. Dołączam raport. FRST.txt Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2015 Zgłoś Udostępnij Opublikowano 5 Listopada 2015 Tak, tym razem Firefox dobrze wyczyszczony. Drobniutkie korekty końcowe. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeARMservice" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aliim " /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree" /f CMD: del /q C:\Users\user\Downloads\irbzj907.exe CMD: del /q C:\Users\user\Downloads\l6202q49.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\user\Desktop\Old Firefox Data Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Dostarcz wynikowy fixlog.txt. Odnośnik do komentarza
sigon Opublikowano 5 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2015 Zrobionie Dołączam raport z naprawy. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 6 Listopada 2015 Zgłoś Udostępnij Opublikowano 6 Listopada 2015 Operacja pomyślnie przeprowadzona. Teraz jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
sigon Opublikowano 7 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 7 Listopada 2015 Zrobione AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 7 Listopada 2015 Zgłoś Udostępnij Opublikowano 7 Listopada 2015 Ostatnia porcja zadań: 1. Do Notatnika wklej: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{7D3C47ED-E0BE-4940-9DDA-A7A097AEBD88} Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Dostarcz wynikowy fixlog.txt. Po potwierdzeniu jego zawartości: 2. Usuń F:\Farbar. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
sigon Opublikowano 8 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 8 Listopada 2015 Zrobione. Dziękuje za wszelką pomoc w oczyszczaniu mojego komputera. Mam pytanie: czy mógłbym w tym temacie zamieścić również logi z mojego laptopa ? Sytuacja tam jest analogiczna - wyskakują reklamy. Różnica jest taka, że zjawisko zauważam wyłącznie na przeglądarce Chrome (domyślna) i jest ono dużo bardziej intensywne, niż w przypadku komputera stacjonarnego (reklamy wyskakują praktycznie przy każdym "kliknięciu" myszki w jakikolwiek adres internetowy). Przypuszczam, że jest mocno zainfekowany. Pozdrawiam DelFix.txt Odnośnik do komentarza
picasso Opublikowano 8 Listopada 2015 Zgłoś Udostępnij Opublikowano 8 Listopada 2015 DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. Mam pytanie: czy mógłbym w tym temacie zamieścić również logi z mojego laptopa ? Sytuacja tam jest analogiczna - wyskakują reklamy. Różnica jest taka, że zjawisko zauważam wyłącznie na przeglądarce Chrome (domyślna) i jest ono dużo bardziej intensywne, niż w przypadku komputera stacjonarnego (reklamy wyskakują praktycznie przy każdym "kliknięciu" myszki w jakikolwiek adres internetowy). Przypuszczam, że jest mocno zainfekowany. Załóż nowy temat dla porządku. Odnośnik do komentarza
Rekomendowane odpowiedzi