Ads by Albireo

[flagelle]

Bardzo proszę o pomoc,

kilka dni temu mój komputer zaatakowały wirusy, myślałam, że już udało mi się z nimi uporać, ale zostało mi jeszcze niesamowicie denerwujące Ads by Albireo. Uniemożliwia ono praktycznie korzystanie z jakiejkolwiek przeglądarki, parę sekund po wejściu na dowolną stronę włączają się  reklamy na cały ekran, których nie da się wyłączyć.

 

Próbowałam już antywirusa Comodo, AdwCleanera, chciałam zrobić też skanowanie Malwarebytes, ale ten program niestety mi się nie włącza.

 

Załączam raporty Addition i Shortcut z FRST oraz raport GMER.

 

Raport FRST był niestety za duży żeby wysłać go w formie załącznika, dlatego znajduje się pod tym linkiem.

Addition.txt

GMER.txt

Shortcut.txt

[picasso]

Log główny z FRST ogromny, gdyż w katalogu Temp nabita masa szkodliwych plików. Działania wstępne:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędny program: Adobe AIR, Adobe Flash Player 10 ActiveX, HP Customer Participation Program 13.0.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.)
U3 idsvc; Brak ImagePath
U1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys [X]
HKLM-x32\...\Run: [tasklist] => c:\users\madzia\appdata\roaming\tasklist
HKU\S-1-5-18\...\Winlogon: [shell] C:\Windows\explorer.exe [4515256 2016-05-12] (Microsoft Corporation) 
Task: {050D9B8F-1D73-4905-B0AA-A12ACE55FC08} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {0E635C07-5FD6-44C3-B45C-3A7ECCA97F53} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {14F5A757-D3E0-4C1E-BEFC-77613FDD0FB6} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe
Task: {2543F8D3-D6CE-4FAE-8E7B-83D89D22B451} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {2975F2D7-F33E-4279-844E-FF168E4CC1CB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {2BE2FF66-90BB-4E59-A7B8-CD952BCB6FAC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {31D9FCD2-346F-480A-B817-D592EA79B03E} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe
Task: {39577D6D-7738-4CB2-A086-34994B7A8560} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {3BEE7AC0-BB68-486B-9F0B-6727EC9140BC} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {4433608E-2AB0-41A8-8BDE-DB605512BAE9} - System32\Tasks\Microsoft\Windows\Software\UpdaterSrv => C:\ProgramData\UpdaterSrv\UpdaterSrv.exe [2015-11-27] () 
Task: {4483EC5C-25FD-445D-A46C-9D21F4180FDA} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {4B4F474F-442B-4A24-889A-74DC619A196B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {4C7DD9B2-05B8-4A52-83B9-C535BF6F92F1} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {533B4C42-AFBA-4604-B8F4-A33711FA2810} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {59269AA0-9FB9-45F3-801A-EA0436711FB8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {5B0837BE-683A-4559-A2DE-8277B7B1909A} - System32\Tasks\{C6B40CDB-573A-4681-957F-0517FF4D0CDC} => pcalua.exe -a C:\Users\Madzia\Downloads\Realtek_High-Definition_Audio_Driver_Vista_Win7_Win8_R2.73_x32_www.INSTALKI.pl.exe -d C:\Users\Madzia\Downloads
Task: {649D62EC-25EE-45C5-A041-BF8534E4E24F} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {6627FC7E-2D75-423B-AF6D-318CD6C2600C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {6B3FE2B0-C0B3-48DB-AFD1-008C7917A56B} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {6CE3AE3C-E6B0-43C7-9913-A3DA7BCF50D2} - System32\Tasks\{660F76A3-68DA-484E-9281-DEEBDFC0B1AB} => pcalua.exe -a "C:\Program Files (x86)\SpaceSondPro\uninstall.exe"
Task: {80130F5B-153D-4120-9E51-5BA5BB2308B1} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {835489DD-4FA6-4D9F-8C80-A78A41A8CEE5} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {87E20E70-6909-46B4-B845-A954C858F685} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {891C82BB-A6E3-4CB4-9642-70B1FCEAB6DE} - System32\Tasks\{ACDCE7B3-53AF-4BD4-A4D9-87FD08584C48} => pcalua.exe -a C:\Users\Madzia\AppData\Local\PPTAssist\utility\uninst.exe
Task: {A25FFF81-6C65-4D4E-9509-69BE4A5F43FC} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {A6CFB772-982D-4BB9-976D-C9A7714D9A4D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {B1533D84-C249-4CC0-9226-26044A5046BA} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {B1EC218E-CF36-4077-8CBA-225E7F06E753} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {B7EAC076-AF2C-4CBE-9B55-3937087B38F1} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {B89C8401-C75B-43A0-9C2E-D5AAC6E0B546} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {BBE085EA-7BCF-4002-A258-CC5805608C19} - System32\Tasks\{A23A283B-9B6E-41AD-AC2F-FDD00696EAE5} => pcalua.exe -a C:\Users\Madzia\Downloads\jxpiinstall.exe -d C:\Users\Madzia\Downloads
Task: {C8C9089C-FC28-4DE7-A287-2148847AC8FA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {CF3B9CC2-D8AE-490D-8FF4-95515EA881CB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {D5362935-A779-49C7-9093-3AC819AEF3ED} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {D9660219-8B04-4308-8B1E-E8904929831F} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {DDE21DD4-964B-4B3A-86A3-E3B64210F2FD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {E77F16C1-8AA8-4C82-977B-7C11A7B4F5B6} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {F00CFF76-486B-430A-BD42-5005823C9D6C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
ShortcutWithArgument: C:\Users\Madzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXB1A9193691_WDCWD7500BPVT-24HXZT3&tm=1450897374
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKU\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE01&ocid=UE01DHP
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
CustomCLSID: HKU\S-1-5-21-1487593702-3916242759-977676160-1000_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-00B144C9840D}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
CHR HKU\S-1-5-21-1487593702-3916242759-977676160-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{505BCB56-CDB2-7A2E-3979-74388936CCA6}
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IntelWireless /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpaceSoundPro /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tasklist /f
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\*.*
C:\ProgramData\.D6E5339F-CB2B-32C1-CD2D-C0295C19C822
C:\ProgramData\.SF170
C:\ProgramData\{221FC8B2-AC31-4636-9E23-B612433AEADC}
C:\ProgramData\TEMP
C:\ProgramData\Thunder Network
C:\ProgramData\UpdaterSrv
C:\uninst
C:\Users\Madzia\AppData\Local\.DG212F11-EC8C-210D-DE1E-D9584D18D740
C:\Users\Madzia\AppData\Local\t80.dat
C:\Users\Madzia\AppData\Local\app
C:\Users\Madzia\AppData\Local\Mozilla
C:\Users\Madzia\AppData\Local\PingTool
C:\Users\Madzia\AppData\Local\Tempfolder
C:\Users\Madzia\AppData\Local\Microsoft\Windows\GameExplorer\{98C4205E-2E44-498D-820C-CEB4758F668F}
C:\Users\Madzia\AppData\Local\Microsoft\Windows\GameExplorer\{2FA4F61A-3A90-498A-A08B-5223FE202F34}
C:\Users\Madzia\AppData\Local\Microsoft\Windows\GameExplorer\{CE757362-E1EF-4A42-B93D-3E7B769161C0}
C:\Users\Madzia\AppData\LocalLow\Company
C:\Users\Madzia\AppData\Roaming\gdfw.log
C:\Users\Madzia\AppData\Roaming\gdscan.log
C:\Users\Madzia\AppData\Roaming\GiftBag.db
C:\Users\Madzia\AppData\Roaming\xldl.dll
C:\Users\Madzia\AppData\Roaming\download
C:\Users\Madzia\AppData\Roaming\gplyra
C:\Users\Madzia\AppData\Roaming\Mozilla
C:\Users\Madzia\AppData\Roaming\Wiypj
C:\Users\Madzia\AppData\Roaming\Microsoft\*.*
C:\Users\Madzia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\sai.lnk
C:\Users\Public\Documents\dmp
C:\Users\Madzia\Documents\Cognitive Science\I semestr\MDTiAR\Laborki\Prolog.lnk
C:\Users\Madzia\Documents\Cognitive Science\I semestr\KCK\Strona\FileZilla.lnk
C:\Users\Madzia\Documents\Corel\Próbki CorelDRAW X7\target.lnk
C:\Users\Madzia\Documents\Rainmeter\Skins\DesignersBar\Quicklaunch\Shortcuts\*.lnk
C:\Users\Madzia\Links\Fotografias.lnk
C:\Users\Public\Thunder Network
C:\Windows\ehome
C:\Windows\system32\Drivers\TAOKernelEx64.sys
C:\Windows\System32\Drivers\ucguard.sys
C:\Windows\system32\Drivers\etc\hp.bak
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
C:\Windows\system32\zuto
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Wyłącz COMODO na czas operacji, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

[flagelle]

Dziękuję za szybką odpowiedź, wszystko już działa tak jak powinno.

 

Załączam pliki addition, FRST i fixlog.

 

Jestem bardzo wdzięczna za pomoc!

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Wszystko pomyślnie przetworzone.

 

1. W Chrome widzę inne zmiany i załadowany inny zestaw ustawień i dodatków niż poprzednio, takl jakby z serwera Google odtworzyły się ustawienia. Czy na pewno zresetowałaś synchronizację przed resetem lokalnych ustawień? Poprawki:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj OneTab. To rozszerzenie kojarzone z niepożądanymi instalacjami.
• Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl, przestaw na "Otwórz stronę nowej karty"

2. Wykonaj drobne szukanie dodatkowe. Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz wynikowy log.

 

QQPCMgr;Tencent

[flagelle]

Bardzo przepraszam, że odpisuję dopiero teraz, odczytałam poprzednią odpowiedź na telefonie, poza domem, i zupełnie o niej zapomniałam.

 

Załączam wynik dodatkowego szukania w FRST

Search.txt

[picasso]

Wyszukiwanie z rejestru zwróciło drobne śmieci po Tencent. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81}
DeleteKey: HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\QQPCMgr_Setup.exe
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Tencent
DeleteKey: HKLM\SYSTEM\VritualRoot\MACHINE\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81}
DeleteKey: HKLM\SYSTEM\VritualRoot\MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\QQPCMgr_Setup.exe
DeleteKey: HKLM\SYSTEM\VritualRoot\MACHINE\SOFTWARE\WOW6432Node\Tencent
DeleteKey: HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent
DeleteKey: HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Tencent
DeleteKey: HKLM\SYSTEM\VritualRoot\USER\S-1-5-18\Software\Tencent
DeleteKey: HKU\S-1-5-18\Software\Tencent
DeleteKey: HKU\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent
Reg: reg delete "HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\Uninst.exe" /f
Reg: reg delete "HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\UninstallTips.exe" /f
Reg: reg delete "HKU\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\Uninst.exe" /f

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Wyłącz COMODO na czas operacji. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[flagelle]

Zrobione, załączam plik wynikowy

Fixlog.txt

[picasso]

Na koniec zastosuj DelFix. To wszystko.