Problem z przeglądarką wyskakujące reklamy

[kriss94]

Od pewnego czasu mam problem z chrome wyskakuje pełno reklam na którą stronę bym nie wszedł, jest jakaś dziwna wyszukiwarka, której nie można zmienić w ustawieniach, poza tym system troszkę wolno pracuje. Staram się kontrolować co mam na komputerze, ostatnio usunąłem kilka dziwnych folderów z C/program files, oraz został wykonany skan YAC, który także nie wiem skąd się wziął na komputerze (może kiedyś ściągnąłem). Jeżeli to ma jakieś znaczenie wcześniej była zainstalowana Vista, a obecnie jest XP, dodam że nie posiadam programu antywirusowego.

FRST.txt

Addition.txt

GMER.txt

[jessica]

1) Spróbuj odinstalować te programy:

WinZip (HKLM\...\WinZip) (Version: 2.2.41 - Winzipper Pvt Ltd.) <==== UWAGA
YAC(Yet Another Cleaner!) (HKLM\...\iSafe) (Version:  - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== UWAGA

 

2) Otwórz Notatnik i wklej w nim:

 

Task: C:\WINDOWS\Tasks\LegpatUpdateTaskMachineCore.job => C:\Program Files\Legpat\Update\LegpatUpdate.exe <==== UWAGA
Shortcut: C:\Documents and Settings\auto\Pulpit\Google Chrome.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Google Inc.)
Shortcut: C:\Documents and Settings\auto\Menu Start\Programy\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Google Inc.)
Shortcut: C:\Documents and Settings\auto\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> hxxp://www.yoursites123.com/?type=sc&ts=1457733927&z=9b425a0c617f2ea2226a65fgbzawdm9mac8cftag0w&from=eve0311&uid=HitachiXHTS543216L9A300_090831FB22065CF9K7HCX` (Brak pliku)
Shortcut: C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Google Inc.)
Shortcut: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Google Inc.)
StandardProfile\AuthorizedApplications: [C:\Program Files\Legpat\Update\LegpatUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Legpat\Application\chrome.exe] => Enabled:Chrome browser
StandardProfile\AuthorizedApplications: [C:\ProgramData\Legpat\Legpat.exe] => Enabled:Protect service
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
RemoveDirectory: C:\Program Files\Legpat
RemoveDirectory: C:\Program Files\WinZipper
RemoveDirectory: C:\Program Files\Elex-tech
RemoveDirectory: C:\Program Files\SFK
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartpageing.com/?type=hp&ts=1448828417&z=a14897e8021dbbd2946f100gdz0z7bcb1o0bdz2gbm&from=cor&uid=hitachixhts543216l9a300_090831fb22065cf9k7hcx
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartpageing.com/web/?type=ds&ts=1448828417&z=a14897e8021dbbd2946f100gdz0z7bcb1o0bdz2gbm&from=cor&uid=hitachixhts543216l9a300_090831fb22065cf9k7hcx&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartpageing.com/?type=hp&ts=1448828417&z=a14897e8021dbbd2946f100gdz0z7bcb1o0bdz2gbm&from=cor&uid=hitachixhts543216l9a300_090831fb22065cf9k7hcx
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartpageing.com/web/?type=ds&ts=1448828417&z=a14897e8021dbbd2946f100gdz0z7bcb1o0bdz2gbm&from=cor&uid=hitachixhts543216l9a300_090831fb22065cf9k7hcx&q={searchTerms}
HKU\S-1-5-21-1409082233-764733703-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1450781203&z=4c5cf5ab864ea64f651ae79g7z4w9e4mdb4gbg7t9b&from=wpm07173&uid=HitachiXHTS543216L9A300_090831FB22065CF9K7HCX&q={searchTerms}
HKU\S-1-5-21-1409082233-764733703-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartpageing.com/?type=hp&ts=1448828417&z=a14897e8021dbbd2946f100gdz0z7bcb1o0bdz2gbm&from=cor&uid=hitachixhts543216l9a300_090831fb22065cf9k7hcx
HKU\S-1-5-21-1409082233-764733703-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartpageing.com/?type=hp&ts=1448828417&z=a14897e8021dbbd2946f100gdz0z7bcb1o0bdz2gbm&from=cor&uid=hitachixhts543216l9a300_090831fb22065cf9k7hcx
HKU\S-1-5-21-1409082233-764733703-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1450781203&z=4c5cf5ab864ea64f651ae79g7z4w9e4mdb4gbg7t9b&from=wpm07173&uid=HitachiXHTS543216L9A300_090831FB22065CF9K7HCX&q={searchTerms}
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.google.com" <======= UWAGA
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-1409082233-764733703-725345543-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF NewTab: hxxp://www.nicesearches.com?type=hp&ts=1459157417&from=10637238&uid=hitachixhts543216l9a300_090831fb22065cf9k7hcx&z=0b9a3ff1c662225db39f6e2gczawftfg8wfm4zcefg
FF SelectedSearchEngine: Yahoo! Search
FF Homepage: hxxp://www.nicesearches.com?type=hp&ts=1459157417&from=10637238&uid=hitachixhts543216l9a300_090831fb22065cf9k7hcx&z=0b9a3ff1c662225db39f6e2gczawftfg8wfm4zcefg
FF Keyword.URL: hxxp://search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=616_pr__alt__ddc_dss_bd_com&p=
FF user.js: detected! => C:\Documents and Settings\auto\Dane aplikacji\Mozilla\Firefox\Profiles\c5z7yuuv.default\user.js [2016-07-29]
FF SearchPlugin: C:\Documents and Settings\auto\Dane aplikacji\Mozilla\Firefox\Profiles\c5z7yuuv.default\searchplugins\nice.xml [2016-07-29]
FF SearchPlugin: C:\Documents and Settings\auto\Dane aplikacji\Mozilla\Firefox\Profiles\c5z7yuuv.default\searchplugins\yoursites123.xml [2016-04-03]
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\ColdSearch.xml [2015-12-27]
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\istartpageing.xml [2015-11-29]
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yoursites123.xml [2015-12-22]
FF Extension: Default NewTab - C:\Documents and Settings\auto\Dane aplikacji\Mozilla\Firefox\Profiles\c5z7yuuv.default\extensions\default_newtabff@gmail.com [2016-03-12] [brak podpisu cyfrowego]
FF Extension: xRocket Toolbar - C:\Documents and Settings\auto\Dane aplikacji\Mozilla\Firefox\Profiles\c5z7yuuv.default\extensions\arthurj8283@gmail.com [2016-07-29] [brak podpisu cyfrowego]
FF Extension: Dashlane - C:\Documents and Settings\auto\Dane aplikacji\Mozilla\Firefox\Profiles\c5z7yuuv.default\Extensions\jetpack-extension@dashlane.com.xpi [2016-01-13]
FF Extension: ace race 1.0.1 - C:\Documents and Settings\auto\Dane aplikacji\Mozilla\Firefox\Profiles\c5z7yuuv.default\Extensions\{4a90d0b9-0668-4ad5-92c2-d78786884485}.xpi [2015-01-24] [brak podpisu cyfrowego]
FF Extension: SourceApp 1.0.1 - C:\Documents and Settings\auto\Dane aplikacji\Mozilla\Firefox\Profiles\c5z7yuuv.default\Extensions\{abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}.xpi [2014-12-27] [brak podpisu cyfrowego]
FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\auto\Dane aplikacji\Mozilla\Firefox\Profiles\c5z7yuuv.default\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\auto\Dane aplikacji\Mozilla\Firefox\Profiles\c5z7yuuv.default\extensions\default_newtabff@gmail.com
FF HKLM\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Documents and Settings\auto\Dane aplikacji\Mozilla\Firefox\Profiles\c5z7yuuv.default\extensions\arthurj8283@gmail.com
CHR HomePage: Default -> hxxp://www.nicesearches.com?type=hp&ts=1463406355&from=87640516&uid=hitachixhts543216l9a300_090831fb22065cf9k7hcx&z=bf69691a7754b8c6ec68253g2z3q4c7z0e6q0cec3c
CHR StartupUrls: Default -> "hxxp://www.nicesearches.com?type=hp&ts=1463406355&from=87640516&uid=hitachixhts543216l9a300_090831fb22065cf9k7hcx&z=bf69691a7754b8c6ec68253g2z3q4c7z0e6q0cec3c"
CHR DefaultSearchURL: Default -> hxxp://search.tvnewtabsearch.com/?src=tvnewtabcool_ds&q={searchTerms}
CHR DefaultSearchKeyword: Default -> keyword.NewTabTVPlus
CHR Extension: (tvnewtabcool) - C:\Documents and Settings\auto\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\mbclampnlkmoifdhnkolfcjikejgneml [2015-11-27]
CHR Extension: (AdF.ly Skipper ★WORKING★) - C:\Documents and Settings\auto\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\obnfifcganohemahpomajbhocfkdgmjb [2015-11-30]
R2 iSafeService; C:\Program Files\Elex-tech\YAC\iSafeSvc.exe [118048 2016-05-23] (Elex do Brasil Participações Ltda)
R2 LegpatP; C:\ProgramData\Legpat\Legpat.exe [399768 2016-05-26] () [brak podpisu cyfrowego]
S2 LegpatU; C:\Program Files\Legpat\Update\LegpatUpdate.exe [532888 2016-05-26] () [brak podpisu cyfrowego]
R2 SSFK; C:\Program Files\SFK\SSFK.exe [152256 2016-03-11] ()
R2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [1301112 2016-06-29] (Winziper Pvt Ltd.) [brak podpisu cyfrowego] <==== UWAGA
R1 iSafeKrnl; C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys [227776 2016-05-23] (Elex do Brasil Participações Ltda)
S3 iSafeKrnlBoot; C:\WINDOWS\System32\DRIVERS\iSafeKrnlBoot.sys [50280 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys [97912 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlMon; C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [45032 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys [73232 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\WINDOWS\System32\DRIVERS\iSafeNetFilter.sys [67288 2016-05-19] (Elex do Brasil Participações Ltda)
C:\WINDOWS\System32\DRIVERS\iSafeNetFilter.sys
C:\WINDOWS\System32\DRIVERS\iSafeKrnlBoot.sys
S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X]
U1 WS2IFSL; Brak ImagePath
S1 {4a90d0b9-0668-4ad5-92c2-d78786884485}t; system32\drivers\{4a90d0b9-0668-4ad5-92c2-d78786884485}t.sys [X]
S1 {56db9de0-c769-4563-8e82-7e39885bf1ad}t; system32\drivers\{56db9de0-c769-4563-8e82-7e39885bf1ad}t.sys [X]
S1 {abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}Gt; system32\drivers\{abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}Gt.sys [X]
 C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

3) Zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

jessi

[kriss94]

Wszystko zrobione wg instrukcji i jest chyba wszystko ok tzn nie ma reklam choć komputer dalej troszkę zamula, zrobione nowe logi

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

 jest chyba wszystko ok tzn nie ma reklam choć komputer dalej troszkę zamula, zrobione nowe logi

zamulanie to temat-rzeka.

 

-----------------------------------------------

Shortcut: C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Brak pliku)

Shortcut: C:\Documents and Settings\auto\Menu Start\Programy\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Brak pliku)

Shortcut: C:\Documents and Settings\auto\Pulpit\Google Chrome.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Brak pliku)

Shortcut: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Brak pliku)

Shortcut: C:\Documents and Settings\All Users\Pulpit\Youtube.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Brak pliku)

Shortcut: C:\Documents and Settings\All Users\Pulpit\Twitter.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Brak pliku)

Shortcut: C:\Documents and Settings\All Users\Pulpit\Google.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Brak pliku)

Shortcut: C:\Documents and Settings\All Users\Pulpit\Facebook.lnk -> C:\Program Files\Legpat\Application\chrome.exe (Brak pliku)

Daję do usunięcia te powyższe skróty, bo zamiast uruchamiać Google Chrome uruchamiały fałszywą przeglądarkę "LEGPAT", która wyglądała jak prawdziwy Chrome, ale to w rzeczywistości był Trojan.

Potem stworzysz sobie nowe skróty Chrome'a w tych samych lokalizacjach (pulpit, Menu START, pasek szybkiego uruchamiania).

 

.Otwórz Notatnik i wklej w nim:

 

 

ShortcutWithArgument: C:\Documents and Settings\auto\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1457733927&z=9b425a0c617f2ea2226a65fgbzawdm9mac8cftag0w&from=eve0311&uid=HitachiXHTS543216L9A300_090831FB22065CF9K7HCX

S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]

C:\Documents and Settings\All Users\Pulpit\Facebook.lnk

C:\Documents and Settings\All Users\Pulpit\Google.lnk

C:\Documents and Settings\All Users\Pulpit\Twitter.lnk

C:\Documents and Settings\All Users\Pulpit\Youtube.lnk

C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome.lnk

C:\Documents and Settings\All Users\Menu Start\Programy\Origin\Origin Error Reporter.lnk

C:\Documents and Settings\auto\Pulpit\Google Chrome.lnk

C:\Documents and Settings\auto\Menu Start\Programy\Google Chrome\Program uruchamiający aplikacje Chrome.lnk

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\kanalizacje.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\krzkluw14.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\Normal.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\Nowy Dokument programu Microsoft Word.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\NYTKOO.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\ochrona powietrza projekt.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\ochrona-powietrza-projekt.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\oczyszczanie kruszyński.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\Opis bartkowska.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\OS-V3.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\TE3 U 7-9 revisionEM.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Office\Niedawny\projekt w word.LNK

C:\Documents and Settings\auto\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Potem chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

Java 7 Update 67 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F03217067FF}) (Version: 7.0.670 - Oracle)

 

Uaktualnij Javę, wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/?do=findComment&comment=179769

 

jessi

 

 

 

 

 

 

 

 

 

[kriss94]

wszystko super działa poprawnie przeglądarka, i ogólnie chyba szybciej trochę się wszystko uruchamia, może mniej teraz procesów jest odpalonych, ogólnie bardzo dziękuję za pomoc jessi