adware, niechciane reklamy, blokowanie dostępu do internetu

[beatrycze]

Witam, na komputerze pojawiły się adware'y, podejrzewam, że zostały ściągnięte z dobreprogramy (nie mój komputer), firefox i opera są zainfekowane, oprócz tego często nie ma połączenia z internetem w przeglądarkach z powodu ustawień serwera proxy (ustawienia nie były zmieniane, raz jest połączenie, raz go nie ma). Proszę o pomoc, w załączniku wymagane logi.

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[jessica]

1) Odinstaluj te programy:

eShield Browser Security (HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\...\{D8DFC695-E798-4265-A12B-B3AEF2583FC8}) (Version:  - eShield) <==== UWAGA

UpdateAdmin (HKLM-x32\...\{81F17B54-5D57-485E-88CC-F6D20D66B5E0}) (Version: 2.0.2011 - DownloadAdmin) <==== UWAGA

RocketTab (HKLM-x32\...\RocketTab) (Version: 2.0 - RocketTab) <==== UWAGA

One System Care (HKLM-x32\...\OneSystemCare) (Version: 2.10.10.0 - OneSystemCare) <==== UWAGA
Money Viking (HKLM-x32\...\Money Viking) (Version: 2.0.5839.13375 - Money Viking) <==== UWAGA

 

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

 

3) Otwórz Notatnik i wklej w nim:

 

CustomCLSID: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001_Classes\CLSID\{BE5B8FE0-05AC-41E6-882B-58E6C02BF266}\InprocServer32 -> C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar64.dll (Eshield)
Task: {387A011C-3825-45F6-BC5C-19F08DF66162} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe [2015-12-17] () <==== UWAGA
Task: {3A205834-516B-466D-986D-005A065521C3} - System32\Tasks\UpdateAdmin => C:\Users\Niagara\AppData\Local\UpdateAdmin\UpdateAdmin.exe [2015-09-14] () <==== UWAGA
Task: {636493DF-2E8F-468B-8991-3FAC7855CA15} - System32\Tasks\One System Care Task => C:\Program Files (x86)\OneSystemCare\SystemConsole.exe [2015-12-17] () <==== UWAGA
Task: {7D33940E-A16F-44EC-9749-72C597C3A5EE} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [2015-12-17] () <==== UWAGA
Task: {9E272657-D373-499C-8BDA-B0839181C325} - System32\Tasks\RocketTab => /C start "" "C:\Program Files (x86)\Search Extensions\Client.exe" /Preferred=true <==== UWAGA
Task: {F15B4306-91A4-4105-A668-AC673E1F16A6} - System32\Tasks\RocketTab Update Task => C:\Program Files (x86)\Search Extensions\uninstall.exe [2015-12-27] () <==== UWAGA
C:\Program Files (x86)\OneSystemCare
C:\Program Files (x86)\Search Extensions
C:\Users\Niagara\AppData\Local\UpdateAdmin
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-1581660641-4088170054-1556520515-1000\...\Run: [] => [X]
HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\...\Run: [bingSvc] => C:\Users\Niagara\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-12-17] (© 2015 Microsoft Corporation)
HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\...\Run: [updateAdmin] => C:\Users\Niagara\AppData\Local\UpdateAdmin\UpdateAdmin.exe [237840 2015-09-14] ()
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
ProxyServer: [.DEFAULT] => http=127.0.0.1:49722;https=127.0.0.1:49722
ProxyEnable: [s-1-5-21-1581660641-4088170054-1556520515-1001] => Proxy [funkcja włączona]
ProxyServer: [s-1-5-21-1581660641-4088170054-1556520515-1001] => http=127.0.0.1:49360;https=127.0.0.1:49360
HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={D8DFC695-E798-4265-A12B-B3AEF2583FC8}&i=
HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={D8DFC695-E798-4265-A12B-B3AEF2583FC8}&i=
SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1000 -> {CE95908F-8160-4595-B6F6-1DA44EC7B955} URL = hxxp://www.amazon.co.uk/gp/search?ie=UTF8&keywords={searchTerms}&tag=tochibauk-win7-ie-search-21&index=blended&linkCode=ur2
SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> DefaultScope {384788A7-0AE3-4EB1-8A8C-86002C19FECC} URL = hxxp://search.eshield.com/serp?guid={D8DFC695-E798-4265-A12B-B3AEF2583FC8}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> {2C13F046-83B4-44EE-B962-032D22CB04E8} URL =
SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> {384788A7-0AE3-4EB1-8A8C-86002C19FECC} URL = hxxp://search.eshield.com/serp?guid={D8DFC695-E798-4265-A12B-B3AEF2583FC8}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> {F446DF6D-F2A7-430D-B131-6AA3BE80A89E} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11467
BHO-x32: Money Viking -> {c7c5384f-d9e9-4db1-8c72-135ecccbc571} -> C:\Program Files (x86)\Money Viking\Extensions\c7c5384f-d9e9-4db1-8c72-135ecccbc571.dll [2015-12-27] ()
C:\Program Files (x86)\Money Viking
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
Toolbar: HKLM - eShield - {BE5B8FE0-05AC-41E6-882B-58E6C02BF266} - C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar64.dll [2015-12-27] (Eshield)
C:\Program Files (x86)\TNT2
Toolbar: HKLM-x32 - eShield - {BE5B8FE0-05AC-41E6-882B-58E6C02BF266} - C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar.dll [2015-12-27] (Eshield)
FF NewTab: hxxp://services.eshield.com/general/newhometab.php?hometab=tab&partner=11467&guid={D8DFC695-E798-4265-A12B-B3AEF2583FC8}&i=
FF DefaultSearchEngine: eShield Safe Web
FF SelectedSearchEngine: eShield Safe Web
FF Keyword.URL: hxxp://search.eshield.com/serp?guid={D8DFC695-E798-4265-A12B-B3AEF2583FC8}&action=default_search&k=
FF Plugin HKU\S-1-5-21-1581660641-4088170054-1556520515-1001: @tnt2npapi.com/Plugin -> C:\Users\Niagara\AppData\Local\TNT2\2.0.0.2030\npTNT2.dll [2015-12-27] (Eshield)
FF user.js: detected! => C:\Users\Niagara\AppData\Roaming\Mozilla\Firefox\Profiles\2758wj9a.default\user.js [2015-12-27]
FF SearchPlugin: C:\Users\Niagara\AppData\Roaming\Mozilla\Firefox\Profiles\2758wj9a.default\searchplugins\eshield-safe-web.xml [2016-01-02]
FF Extension: eShield - C:\Users\Niagara\AppData\Roaming\Mozilla\Firefox\Profiles\2758wj9a.default\extensions\toolbar11467@eshield.com.xpi [2015-12-27] [brak podpisu cyfrowego]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
OPR Extension: (Money Viking) - C:\Users\Niagara\AppData\Roaming\Opera Software\Opera Stable\Extensions\olcdgagdjggaioeibbaohkppnfeoehgl [2015-12-27]
2015-12-27 18:40 - 2015-12-29 20:46 - 00003844 _____ C:\windows\System32\Tasks\UpdateAdmin
2015-12-27 18:40 - 2015-12-29 20:46 - 00000000 ____D C:\Users\Niagara\AppData\Roaming\One System Care
2015-12-27 18:40 - 2015-12-27 18:51 - 00000280 _____ C:\windows\Tasks\One System CarePeriod.job
2015-12-27 18:40 - 2015-12-27 18:40 - 00003572 _____ C:\windows\System32\Tasks\One System Care Task
2015-12-27 18:40 - 2015-12-27 18:40 - 00003248 _____ C:\windows\System32\Tasks\One System Care Monitor
2015-12-27 18:40 - 2015-12-27 18:40 - 00002860 _____ C:\windows\System32\Tasks\One System CarePeriod
2015-12-27 18:40 - 2015-12-27 18:40 - 00001082 _____ C:\Users\Public\Desktop\Launch One System Care.lnk
2015-12-27 18:40 - 2015-12-27 18:40 - 00000000 ____D C:\Users\Niagara\AppData\Local\UpdateAdmin
2015-12-27 18:40 - 2015-12-27 18:40 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UpdateAdmin
2015-12-27 18:40 - 2015-12-27 18:40 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care
2015-12-27 18:40 - 2015-12-27 18:40 - 00000000 ____D C:\ProgramData\d35a304c-2f63-1
2015-12-27 18:40 - 2015-12-27 18:40 - 00000000 ____D C:\ProgramData\d35a304c-12f7-0
2015-12-27 18:40 - 2015-12-27 18:40 - 00000000 ____D C:\Program Files (x86)\OneSystemCare
2015-12-27 18:38 - 2015-12-27 18:48 - 00000000 ____D C:\Program Files (x86)\TNT2
2015-12-27 18:38 - 2015-12-27 18:38 - 00000000 ____D C:\Users\Niagara\AppData\Local\TNT2
2015-12-27 18:38 - 2015-12-27 18:38 - 00000000 ____D C:\Program Files (x86)\Money Viking
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Daj z tego log.

 

4) Zrób nowe logi FRST.

 

jessi

[beatrycze]

Wszystko zrobione, załączam logi widzę, że teraz ktoś inny pomaga

AdwCleanerC1.txt

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[jessica]

widzę, że teraz ktoś inny pomaga

to tylko chwilowe, do czasu powrotu @Picasso.

 

W nowych logach nie widzę już niczego podejrzanego, więc chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

jessi

[beatrycze]

Nie wykonałam jeszcze kroków z poprzedniego posta, proszę o zerkniecie na nowe logi, znów pojawił się program Money Viking oraz One System Care. Odinstalowałam je i zrobiłam nowe logi z FRSTa.

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={64B02EC7-66F4-4B4E-B5B6-0EC2B988F1C2}&i=
HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={64B02EC7-66F4-4B4E-B5B6-0EC2B988F1C2}&i=
SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> DefaultScope {40D67277-9DE3-4F98-9600-1B084EE52DE7} URL = hxxp://search.eshield.com/serp?guid={64B02EC7-66F4-4B4E-B5B6-0EC2B988F1C2}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> {40D67277-9DE3-4F98-9600-1B084EE52DE7} URL = hxxp://search.eshield.com/serp?guid={64B02EC7-66F4-4B4E-B5B6-0EC2B988F1C2}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> {471AC923-9AC9-48B0-9029-AE56AE826B46} URL =
BHO-x32: Money Viking -> {c7c5384f-d9e9-4db1-8c72-135ecccbc571} -> C:\Program Files (x86)\Money Viking\Extensions\c7c5384f-d9e9-4db1-8c72-135ecccbc571.dll => Brak pliku
C:\Program Files (x86)\Money Viking
Toolbar: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> Brak nazwy - {E0E9799B-0CC1-4832-A038-9D477CD1DD85} -  Brak pliku
FF NewTab:
FF Homepage: hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={64B02EC7-66F4-4B4E-B5B6-0EC2B988F1C2}&i=
FF Keyword.URL: hxxp://search.eshield.com/serp?guid={64B02EC7-66F4-4B4E-B5B6-0EC2B988F1C2}&action=default_search&k=
C:\ProgramData\d35a304c-63f7-0
C:\ProgramData\d35a304c-0be3-1
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

jessi

[beatrycze]

Zrobione, dodaje nowe logi.

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[jessica]

W nowych logach nie widzę już niczego podejrzanego.

Chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

Java 6 Update 17

 

Uaktualnij Javę, wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/?do=findComment&comment=43590

 

jessi