Wyskakujące okna i reklamy

[beatrycze]

Po otwarciu przeglądarki, a nawet programu do odtwarzania filmów wyskakują okna i reklamy, komputer się zawiesza. Załączeniu logi.

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[picasso]

O ile problem nadal aktualny:

 

Problemy przekierowań tworzy m.in. infekcja DNS Unlocker, która zmodyfikowała też serwery DNS. Natomiast problem zawieszenia systemu prawdopodobnie nie jest powiązany z infekcją i prędzej tu podejrzanym może być pakiet Kaspersky. Na razie jednak wyczyść infekcje:

 

1. Odinstaluj:

- Adware/PUP: DNS Unlocker version 1.4, eShield Browser Security, KMPFaster, Money Viking, One System Care.

- Mega-stare niebezpieczne wersje: Adobe Flash Player 10 ActiveX, Java™ 6 Update 17.

Jeśli wystąpią jakieś błędy deinstalacji, kontynuuj.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {0B1334AA-9F1E-4720-8F4F-9B77F4C6407D} - System32\Tasks\{D4204239-DF79-5F25-B828-5C83DD2F827F} => /s /n /i:"/rt" "C:\PROGRA~3\c6b01e15\aceb6889.dll"
Task: {2F6C0C4B-EF3E-46B0-B9C3-2C4D1B08FE3B} - System32\Tasks\One System Care Task => C:\Program Files (x86)\OneSystemCare\SystemConsole.exe [2016-01-27] () 
Task: {4C652CF8-22F5-4467-BD97-81BE15689D8E} - System32\Tasks\DNSLOCKINGTON => dnslockington.exe 
Task: {571B8679-27AE-46FD-9285-278BFF9217FC} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [2016-01-27] () 
Task: {94A3769E-30ED-43F8-841E-FF59B33AAC17} - System32\Tasks\{7F7D0F47-047A-0A05-7811-0A087D78110A} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (dane wartości zawierają 9448 znaków więcej).
Task: {C084F3EA-E16B-45F8-BF2F-24B65ABCCB6A} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe [2016-01-27] () 
Task: {D34C9F2A-F934-4ED7-98D2-11ED40A2C005} - System32\Tasks\simplitec Power Suite => C:\Program Files (x86)\simplitec\KMPFaster\PowerSuite.exe [2015-10-23] (simplitec GmbH)
Task: {E9017999-91A3-4479-9FCE-59F59DD9E21D} - System32\Tasks\simplitec Power Suite (Tray) => C:\Program Files (x86)\simplitec\KMPFaster\ServiceProvider.exe [2015-10-23] (simplitec GmbH)
Task: C:\windows\Tasks\One System CarePeriod.job => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe 
Task: C:\windows\Tasks\simplitec Power Suite (Tray).job => C:\Program Files (x86)\simplitec\KMPFaster\ServiceProvider.exe
Task: C:\windows\Tasks\simplitec Power Suite.job => C:\Program Files (x86)\simplitec\KMPFaster\PowerSuite.exe
R2 Service Mgr MoneyViking; C:\ProgramData\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugincontainer.exe [788192 2016-01-28] () 
R2 Update Mgr MoneyViking; C:\Program Files (x86)\Common Files\ab36fac3-93dd-4505-9add-ad6d38d4b914\updater.exe [641248 2016-01-28] () 
CustomCLSID: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001_Classes\CLSID\{CD75E5D1-9F69-41D3-9143-F93FC71C617A}\InprocServer32 -> C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar64.dll (Eshield)
BHO-x32: Money Viking -> {c7c5384f-d9e9-4db1-8c72-135ecccbc571} -> C:\Program Files (x86)\Money Viking\Extensions\c7c5384f-d9e9-4db1-8c72-135ecccbc571.dll [2016-01-28] ()
Toolbar: HKLM - eShield - {CD75E5D1-9F69-41D3-9143-F93FC71C617A} - C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar64.dll [2016-01-28] (Eshield)
Toolbar: HKLM-x32 - eShield - {CD75E5D1-9F69-41D3-9143-F93FC71C617A} - C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar.dll [2016-01-28] (Eshield)
FF Plugin HKU\S-1-5-21-1581660641-4088170054-1556520515-1001: @tnt2npapi.com/Plugin -> C:\Users\Niagara\AppData\Local\TNT2\2.0.0.2030\npTNT2.dll [2016-01-28] (Eshield)
CHR HKLM-x32\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx
HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&i=
HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&i=
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> DefaultScope {B9CCE2F6-10F9-43F4-BB85-BBEBE6A6AC2D} URL = hxxp://search.eshield.com/serp?guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> {B9CCE2F6-10F9-43F4-BB85-BBEBE6A6AC2D} URL = hxxp://search.eshield.com/serp?guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> {C0791B8C-147A-4862-9AA3-EE6A6C2B4004} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11467
HKU\S-1-5-21-1581660641-4088170054-1556520515-1000\...\RunOnce: [sysOff] => C:\Windows\SysWOW64\SYSPREP\ClosespV.exe
Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{25909239-A0D1-4F42-98B6-B30BCFE1D324}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{5D3FB0C2-471F-49CA-BDAB-9986597A8FA3}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{5D3FB0C2-471F-49CA-BDAB-9986597A8FA3}: [DhcpNameServer] 82.163.142.7
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bing Bar
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Default Manager
C:\Program Files (x86)\DNS Unlocker
C:\Program Files (x86)\OneSystemCare
C:\Program Files (x86)\simplitec
C:\Program Files (x86)\TNT2
C:\Program Files (x86)\Common Files\ab36fac3-93dd-4505-9add-ad6d38d4b914
C:\ProgramData\{09718002-712c-0}
C:\ProgramData\{197f0084-512c-1}
C:\ProgramData\c6b01e15
C:\ProgramData\ab36fac3-93dd-4505-9add-ad6d38d4b914
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Toshiba\Rejestracja gwarancji firmy Toshiba.lnk
C:\Users\Niagara\AppData\Local\TNT2
C:\Users\Public\Desktop\Rejestracja gwarancji firmy Toshiba.lnk
CMD: for /d %f in (C:\ProgramData\835c28b8-*) do rd /s /q "%f"
CMD: for /d %f in (C:\ProgramData\d35a304c-*) do rd /s /q "%f"
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso