DNSUnlocker, wyskakujące okienka, reklamy w Google

[Rachityczny]

Witam,

 

Zwracam się do z prośbą o pomoc. Od dłuższego czasu na laptopie, po pobraniu pewnych programów (dokładnych okoliczności nie pamiętam), podczas przeglądania różnych stron, pojawiają się samoistnie wyskakujące okienka, są to głównie reklamy. Ponadto pod wyszukanymi frazami w Google widoczne są również reklamy. Jest to uciążliwe i powoduje spowolnienie pracy komputera. Często w rogach reklam pokazuje się tekst o treści: "Ads by DNSUnlocker". Nawet wchodząc na pocztę, muszę logować się przynajmniej 2 razy, ponieważ okienka wyskakują i kasują całe logowanie. Komputer był skanowany AdwCleanerem, usunął kilka plików, ale problem nie został rozwiązany. Co mogę zrobić, żeby się tego pozbyć? Liczę na owocne odpowiedzi.

 

 

System operacyjny to Windows 8.1 64-bit.

 

 

Załączam logi z programu AdwCleaner, FRST i GMER.

Skany były wykonywane zgodnie z zaleceniami, jedynym otwartym w tym czasie oknem były same skanery.

Przy skanowaniu programem GMER wyskoczyły dwa błędy: 

"C:\Windows\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces."

oraz

"C:\Users\MASTER\ntuser.dat: Proces nie może uzyskać dostępu do pliiku, ponieważ jest on używany przez inny proces."

 

 

edit: dodany brakujący log addition.txt

gmer.txt

AdwCleanerC7.txt

FRST.txt

Shortcut.txt

Addition.txt

[picasso]

Problemem jest infekcja DNS, ustawione izraelskie adresy:

 

Tcpip\..\Interfaces\{123A6058-DD18-4832-B27A-2B8B4BA2CB90}: [NameServer] 199.203.131.145,82.163.143.167

 

Poza tym, są tu liczne inne odpadki adware, w tym zdewastowana przeglądarka Google Chrome - przekonwertowana przez adware do wersji "developerskiej" i jest konieczna jej pełna deinstalacja. I tak korzystasz z Opery.

 

Adware nabyłeś w następujące sposoby: KLIK. O zgrozo, uruchamiałeś downloader także przy pobieraniu AdwCleaner, to nie jest poprawny plik ze strony domowej programu:

 

2016-01-23 11:51 - 2016-01-23 11:51 - 00001213 _____ C:\Users\MASTER\Desktop\Kontynuuj instalację AdwCleaner 5.003.lnk

 

 

Ale dostarczone logi FRST nie są wiarygodne. Raport główny FRST.txt powstał przed użyciem AdwCleaner, co czyni go kompletnie nieaktualnym, gdyż to co widać w FRST było usuwane przez AdwCleaner. Wymagane zrobienie nowych logów FRST (wszystkich trzech).

[Rachityczny]

Dziękuję za rady dotyczące ochrony przed adware. Będę teraz pobierał programy z linków bezpośrednich, bez asystenta, oraz ogólnie bardziej uważał.

 

Wydaje się, że przeinstalowanie przeglądarki rozwiązało problem. 

Załączam powtórzone skany z FRST.

FRST.txt

Shortcut.txt

Addition.txt

[picasso]

Zostały do wykonania akcje doczyszczające, tzn. usunięcie polityk Google wprowadzonych przez adware i zdefektowanej przeglądarki Google Chrome, adware w Operze oraz wpisów szczątkowych. Czyli:

 

1. Odinstaluj stare wersje, zbędne programy oraz nieszczęsne Google Chrome: Adobe Flash Player 20 PPAPI, Adobe Flash Player ActiveX, Adobe Shockwave Player, Badanie mające na celu poprawę produktów HP Deskjet 4640 series, Google Chrome. Przy deinstalacji Google Chrome zaznacz opcję Usuń także dane przeglądarki. Resztę elementów Google Chrome dokasuje skrypt podany poniżej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Ograniczenia - Chrome 
CHR HKU\S-1-5-21-815356041-1699837707-3089796282-1001\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-815356041-1699837707-3089796282-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki
SearchScopes: HKU\S-1-5-21-815356041-1699837707-3089796282-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-815356041-1699837707-3089796282-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-815356041-1699837707-3089796282-1001\...\MountPoints2: {2a437a52-3c2c-11e5-8298-142d27d525b2} - "G:\AutoRun.exe"
Task: {3AF5E8D9-4AF7-46F1-8211-F3D23970E305} - System32\Tasks\{1EA26257-660C-42CF-B34E-11AAEF597768} => pcalua.exe -a "G:\fifa07 demo.exe" -d G:\
Task: {6331A89F-D9DC-49C9-8EA0-C5E66EC50496} - System32\Tasks\{3231C55A-F800-4457-99F5-870460284996} => pcalua.exe -a "C:\Program Files (x86)\Solid Edge V17\SETUP.EXE" -d "C:\Program Files (x86)\Solid Edge V17"
Task: {822A9C2B-0C9D-4958-98BA-D199E8B4F097} - System32\Tasks\{582F851B-01A6-4A6A-9ACD-302E1DD517CF} => pcalua.exe -a "C:\Users\MASTER\Desktop\fifa07 demo.exe" -d C:\Users\MASTER\Desktop)
Task: {A2E8B944-7D58-448E-ABD4-68940C422BD2} - System32\Tasks\{F89A535E-D949-4D59-8C81-DFFE0ED69E02} => pcalua.exe -a "E:\SolidEdge v17\CAD-edukacja 17\SE17 wersja polska\SETUP.EXE" -d "E:\SolidEdge v17\CAD-edukacja 17\SE17 wersja polska"
Task: {B18450C2-0BF9-4C07-A4D0-0BA8DFA946E7} - System32\Tasks\{92C1C6E9-E0FE-4EB2-81D4-7481B2627CED} => pcalua.exe -a "C:\Program Files (x86)\Solid Edge V17\Program\Edge.exe" -d C:\Users\MASTER\Documents\
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses
C:\Users\MASTER\AppData\Local\Google
C:\Users\MASTER\AppData\Roaming\appdataFr2.bin
C:\Users\MASTER\AppData\Roaming\appdataFr25.bin
C:\Users\MASTER\AppData\Roaming\XDSUPF
C:\Users\MASTER\AppData\Roaming\MiKTeX\2.9\doc\latex\natbib\README.lnk
C:\Users\MASTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FarmVille 2.lnk
C:\Users\MASTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk
C:\Users\MASTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk
C:\Users\MASTER\Desktop\programy\McAfee LiveSafe - Internet Security.lnk
C:\Users\MASTER\Desktop\kognitywistyka\I semestr\Technologie informacyjne\zadania\document.pdf — skrót (2).lnk
C:\Users\MASTER\Desktop\kognitywistyka\I semestr\Technologie informacyjne\zadania\Dok1.docx — skrót.lnk
C:\Users\MASTER\Desktop\kognitywistyka\I semestr\Technologie informacyjne\zadania\zadanie4.pdf — skrót.lnk
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Operę z adware:

• Odłącz synchronizację (o ile włączona): KLIK
• Ustawienia > karta Rozszerzenia > odinstaluj adware Jungle Net

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso