Drażniące Reklamy Internetowe

[Wojtasek2011]

Witam.Jestem nowy na tym forum. Mam komputer można powiedzieć świeżo po formacie a juz spotyka mnie problem a mianowicie samoistnie otwierające sie strony internetowe(przykłady podam w załącznikach). na forum był podobny problem lecz u mnie antywirus nie pokazywał jakiś zagrożeń.Odinstalowałem daemona lecz SPDTinst nie użyłem bo nie wykrył mi niczego a takiego wpisu w rejestrze nie znalazłem. GMER-a użyłem dwa razy bo za pierwszym włączył mi się quick scan(wynik w załączniku"szybk") a potem dopiero zrobiłem normalny(załącznik "GMER") i ewentualnie prosiłbym o usunięcie innych problemów jakby tak owe były.Prosiłbym o pomoc w zwalczeniu tego problemu. Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

szybk.txt

GMER.txt

[picasso]

Wymazałam z Twojego posta podkreślenie wstawione przez adware. Reklamy produkuje adware WordFly. Przypuszczalna droga nabycia to portalowy "downloader": KLIK. Operacje do przeprowadzenia:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny AVG Web TuneUp oraz WordFly 1.10.0.28.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut.

[Wojtasek2011]

OK. Zrobiłem tak jak kazano. Oto logi.

Addition.txt

FRST.txt

[picasso]

Poprawki na wpisy odpadkowe. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 wfdrvr_vw_1_10_0_28; system32\drivers\wfdrvr_vw_1_10_0_28.sys [X]
Task: {B64580E1-57F8-4026-ACA1-112BF407B04F} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe"
HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe"
Winlogon\Notify\igfxcui: igfxdev.dll [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
HKU\S-1-5-21-4134787551-50801924-3381626645-1001\...\MountPoints2: {abb61e54-98f6-11e5-8256-fcf8ae81f465} - "F:\setup.exe"
HKU\S-1-5-21-4134787551-50801924-3381626645-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=hp
SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms}
BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku
CHR HKU\S-1-5-21-4134787551-50801924-3381626645-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
RemoveDirectory: C:\Program Files\AVAST Software
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\ProgramData\AVG Security Toolbar
RemoveDirectory: C:\Users\Wojtas\AppData\Roaming\TuneUp Software
CMD: del /q C:\Users\Wojtas\Downloads\dqqlzf3w.exe
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

[Wojtasek2011]

przy próbie naprawy wyskoczył taki błąd. Ponowić operacje?

[picasso]

Sprawdź czy na dysku powstał plik fixlog.txt z częściowo nagranymi akcjami, by było wiadome gdzie się wyłożył FRST.

[Wojtasek2011]

Tak. Oto on

Fixlog.txt

[picasso]

FRST wyłożył się na trzeciej linii. Zrób nowy plik fixlist.txt o następującej zawartości:

 

Task: {B64580E1-57F8-4026-ACA1-112BF407B04F} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe"
HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe"
Winlogon\Notify\igfxcui: igfxdev.dll [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
HKU\S-1-5-21-4134787551-50801924-3381626645-1001\...\MountPoints2: {abb61e54-98f6-11e5-8256-fcf8ae81f465} - "F:\setup.exe"
HKU\S-1-5-21-4134787551-50801924-3381626645-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=hp
SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms}
BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku
CHR HKU\S-1-5-21-4134787551-50801924-3381626645-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
FirewallRules: [{13F460CA-6EAB-40EF-93F3-918C3C46677E}] => (Allow) I:\Aktywator systemu Windows 8.1\AutoPico.exe
FirewallRules: [{30E9F2FE-92CE-4BD4-B6D3-EF6E94DC879A}] => (Allow) I:\Aktywator systemu Windows 8.1\AutoPico.exe
RemoveDirectory: C:\Program Files\AVAST Software
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\ProgramData\AVG Security Toolbar
RemoveDirectory: C:\Users\Wojtas\AppData\Roaming\TuneUp Software
CMD: del /q C:\Users\Wojtas\Downloads\dqqlzf3w.exe
CMD: del /q C:\Windows\system32\Drivers\Msft_User_WpdMtpDr_01_11_00.Wdf
EmptyTemp:

 

Skrypt uruchom z poziomu Trybu awaryjnego Windows i dostarcz wynikowy fixlog.txt.

[Wojtasek2011]

oto fixlog po operacji w trybie awaryjnym

Fixlog.txt

[picasso]

EDIT: Pomyłka. Już kończymy. Zastosuj DelFix i wyczyść foldery Przyracania systemu: KLIK.

[Wojtasek2011]

oto log. coś zepsułem? wykonalem delfix i usunąlem punkty przywracania

Fixlog.txt

[picasso]

Pomyliłam się i za późno zedytowałam post. Przywróć usunięty plik. Uruchom Shadow Explorer, wyszukaj poprzednią kopię pliku C:\Windows\system32\Drivers\Msft_User_WpdMtpDr_01_11_00.Wdf i wstaw go na miejsce.

[Wojtasek2011]

na miejsce to znaczy gdzie?

[picasso]

Do katalogu C:\Windows\system32\Drivers.

[Wojtasek2011]

juz zrobilem 

[picasso]

W porządku. Teraz możesz więc wykonać to:

 

Zastosuj DelFix i wyczyść foldery Przyracania systemu: KLIK.

Koniec czyszczenia systemu.