Wyskakujące reklamy, Niepożądane programy wykryte przez MBAM, pomoc w usuwaniu śmieci.

[DarkKnight]

Witam.

Proszę o pomoc w wyczyszczeniu laptopa znajomej z infekcji.

ADWCleaner na starcie wykrył i usunął ponad 100 różnego rodzaju adware. Log w załączniku.

 

Skan MBAM pokazał 12 infekcji. Ale żadna akcja nie została jeszcze zastosowana.

 

Skanowanie FRST logi w załączniku.

 

Z góry dziękuję za pomoc.

Pozdrawiam serdecznie

DarkKnight

AdwCleanerC0.txt

mbam.txt

FRST.txt

Shortcut.txt

Addition.txt

[Miszel03]

W systemie nie ma dużo infekcji adware, jest za to jedna, ale podstępna jak cholera. Uruchamiając przeglądarkę Google Chrome w cale nie uruchamiasz właściwej, a podrabianą.

 

Dezynfekcja systemu.

 

1. Wszystkie (patrz niżej) zagrożenia wykryte przez Malwarebytes daj do kasacji.  

 

RiskWare.GameHack, C:\PROGRAM FILES (X86)\CALL OF DUTY GHOSTS\STEAM_API.DLL, Brak akcji, [556], [305544],1.0.1064
RiskWare.GameHack, C:\PROGRAM FILES (X86)\CALL OF DUTY GHOSTS\STEAM_API64.DLL, Brak akcji, [556], [305544],1.0.1064

 

Z powyższym zrobisz co chcesz, chyba doskonale wiesz od czego to jest.

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:


CreateRestorePoint:

HKU\S-1-5-21-365846669-4194548096-2659683666-1001\...\Policies\Explorer: [NoInternetOpenWith] 1

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 

Edge HomeButtonPage: HKU\S-1-5-21-365846669-4194548096-2659683666-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1457953131&z=674c554e5ddccccaae68d21g8z6w1mctdw9c8e8t5w&from=wpm0314&uid=WDCXWD10JPCX-24UE4T0_WD-WX61A84FX4VTFX4VT

CHR DefaultSearchURL: Default -> hxxps://secure.homepage-web.com/?partner=lenovo&src=omnibox&q={searchTerms}

CHR DefaultSearchKeyword: Default -> homepage-web.com

CHR DefaultSuggestURL: Default -> hxxps://secure-suggest.homepage-web.com/suggest?format=json&locale={language}&q={searchTerms}

S3 dbx; system32\DRIVERS\dbx.sys [X]\

HKU\S-1-5-21-365846669-4194548096-2659683666-1001\...\ChromeHTML: -> "C:\Program Files (x86)\Hipbear\Application\chrome.exe" "%1" 

RemoveDirectory: C:\Program Files (x86)\Hipbear

Task: {25927892-23AA-4AB9-B5FD-BFB08B930231} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File 

Task: {5560088A-0736-4107-A747-529FCD8852B5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File 

Task: {8B312DDE-20D7-4DF4-937E-F70AB8738BA5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File 

Task: {A4177511-4CDA-4B46-ABB4-1273C80D4808} - \WPD\SqmUpload_S-1-5-21-365846669-4194548096-2659683666-1001 -> No File 

Task: {AC820BA5-903E-41F5-A685-A8171B9476F0} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File 

Task: {C5938596-33A3-41D4-83A2-E8A0F9279DDA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File 

C:\Users\Jadwiga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk

C:\Users\Jadwiga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mahjong.lnk

C:\Users\Jadwiga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk

C:\Users\Jadwiga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

C:\Users\Jadwiga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk

C:\Users\Jadwiga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk

DeleteKey: HKCU\Software\Mozilla

DeleteKey: HKCU\Software\MozillaPlugins

DeleteKey: HKLM\SOFTWARE\Mozilla

DeleteKey: HKLM\SOFTWARE\MozillaPlugins

DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla

DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org

DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins

C:\Users\Jadwiga\AppData\Local\Mozilla

C:\Users\Jadwiga\AppData\Roaming\Mozilla

C:\Users\Jadwiga\AppData\Roaming\Profiles

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
• Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin.

4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

Hipbear

 

Obok FRST] powstanie raport SearchReg.txt - zaprezentuj go na forum.

 

5. Sprawdź czy AdwCleaner coś jeszcze wykrywa. Jeśli wykrywa to niczego nie usuwając dostarcz raport. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.