Skocz do zawartości

IE cały czas wywala reklamy a ADWCleaner nie pomaga


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Cały czas startuje IE z reklamami i nie da się tego wywalić za pomocą ADWCleanera.

 

Dostarcz raport z tych działań.

 


 

System w agnolanym stanie. Nadal masa nowoczesnych infekcji adware / PUP m.in podmieniających Publishera, profile w przeglądarce Google Chrome,

 

1. Włącz przywracanie systemu.

 

2. Przez panel sterowania odinstaluj:

  • Adware / PUP: youndoo - Uninstall.
Spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) z poziomu tego folderu: C:\Program Files\żěŃą.

 

3. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {04DC6D30-3192-48A1-A28D-2D32B5BAE25C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {0B06A115-D0B3-44A9-832B-66854E1F6CBE} - \WPD\SqmUpload_S-1-5-21-914323923-818451107-1949208214-1001 -> Brak pliku 
Task: {1040B3E3-6EA9-41BB-9BB4-779D6B9051C6} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {20552A47-1135-4AE6-BC8F-CD698C9D151E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {23DAFCB4-2764-4544-9169-E798985E20E2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {3530905F-1D2D-4424-82FC-D54713FE04FA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {452697BD-BF46-4BA3-A0DE-86152C956594} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {605DB07A-D60C-488E-B4ED-E492D44A3458} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {6C298250-6598-495B-A80A-D272F13F3B82} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {C47E48AA-8E0D-4167-901F-75F1EC3C8E0D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {D78D1B1E-F3F0-4049-A326-1F599920F561} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {E9EEE381-CB4E-4BDB-A5DB-F7A49B5FB908} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {8D073577-24C3-4AE7-9F3D-209DA339AAD2} - System32\Tasks\Churektokatain Agent => C:\Program Files (x86)\Shepashkuderward\xprudom.exe [2017-03-06] (Glarysoft Ltd)
Task: {FC9A4CDE-D146-4C59-B664-318B6E800855} - System32\Tasks\Dilerch Engine => C:\Program Files (x86)\Drarainganipition\xsohgh.exe [2017-03-06] (Glarysoft Ltd)
C:\Program Files (x86)\Shepashkuderward
C:\Program Files (x86)\Drarainganipition
AlternateDataStreams: C:\ProgramData\TEMP:890CC2F3 [127]
AlternateDataStreams: C:\ProgramData\TEMP:B449BECA [146]
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "KDXXRSLU12"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "NFYXAUY0YH"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "L5DG1X0EZY"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "7UN75BDMO6"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "WXRBX2DCD6"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "0TSE51TOHZ"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "0UKJWQG3XL"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "G6JYIKZ2BS"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "92EY39J2QI"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "17CXHBUUSZ"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "JX6EBTUEWP"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "BGA9X00WY8"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "3NE469LKVP"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "0734RUXOMV"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "560OH6FGBS"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "DYHRDL5N6G"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "VEYR6TGVKH"
HKLM\...\Run: [&SIEdyupQx.exe] => C:\Users\Wojciech\AppData\Local\Temp\{8bc-62-90-194de-a3788-eb3c-eb662}\&SIEdyupQx.exe -r1_5 -r2_1 
HKLM\...\RunOnce: [OMEWPRODUCT_XVOL7] => C:\Program Files (x86)\PubHotspot\O37KVU6GVHWXPDC.exe [547840 2017-03-06] (RU921WQ) 
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [VEYR6TGVKH] => C:\Program Files (x86)\PubHotspot\9S5GV.exe [892416 2017-03-06] (RU921WQ)
C:\Program Files (x86)\PubHotspot
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [OAV4DME9QP] => C:\Program Files\449WT2ALRA\449WT2ALR.exe [1070080 2017-03-06] (D)
C:\Program Files\449WT2ALRA
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [VDJQCPATK5] => C:\Program Files\PJX1SZHGMK\PJX1SZHGM.exe [1070080 2017-03-06] (D)
C:\Program Files\PJX1SZHGMK
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [CUERTFHGT4] => C:\Program Files\2F40TKKZ7W\2F40TKKZ7.exe [1051136 2017-03-06] (DQ8Z@DU)
C:\Program Files\2F40TKKZ7W
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [T9KTUNJFV8] => C:\Program Files\OX4X14C6LM\OX4X14C6L.exe [1051136 2017-03-06] (DQ8Z@DU)
C:\Program Files\OX4X14C6LM
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [O4YER3GF4P] => "C:\Program Files\J8FY3XHN82\J8FY3XHN8.exe"
C:\Program Files\J8FY3XHN82
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [4YXHAWJ5BB] => "C:\Program Files\FSML9AAB8E\FSML9AAB8.exe"
C:\Program Files\FSML9AAB8E
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [POUQEIFA8K] => "C:\Program Files\KQLRU43QX0\KQLRU43QX.exe"
C:\Program Files\KQLRU43QX0
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [VOJFVJKGC3] => "C:\Program Files\9173FW30HX\9173FW30H.exe"
C:\Program Files\9173FW30HX
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [C7ISVHDISR] => "C:\Program Files\OG7JWS5P6O\OG7JWS5P6.exe"
C:\Program Files\OG7JWS5P6O
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [DZ8L8VFMFO] => "C:\Program Files\3JYU80I4UG\3JYU80I4U.exe"
C:\Program Files\3JYU80I4UG
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [GRDFGBUERG] => "C:\Program Files\DZ8L8VFMFO\DZ8L8VFMF.exe"
C:\Program Files\DZ8L8VFMFO
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [WUK1R8KDBF] => "C:\Program Files\IRUQF06XON\IRUQF06XO.exe"
C:\Program Files\IRUQF06XO
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [F5Y1N4JRKH] => C:\Program Files\53U6WEHYYB\53U6WEHYY.exe [1055744 2017-03-06] (YY61M@T)
C:\Program Files\53U6WEHYYB
HKLM\...\Providers\thnlsb6c: C:\Program Files (x86)\Dilerch Engine\local64spl.dll
C:\Program Files (x86)\Dilerch Engine
ShellExecuteHooks: Brak nazwy - {18F9F110-FFD8-11E6-8FE5-64006A5CFC23} - -> Brak pliku
ShellExecuteHooks: Brak nazwy - {7F5D6A2C-FFD8-11E6-B984-64006A5CFC23} - C:\Users\Wojciech\AppData\Roaming\Coezoward\Vitersestekadom.dll -> Brak pliku
C:\Users\Wojciech\AppData\Roaming\Coezoward
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-03-06] ()
C:\Program Files\żěŃą
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X]
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
S3 huawei_wwanecm; \SystemRoot\System32\drivers\ew_juwwanecm.sys [X]
2017-03-06 08:19 - 2017-03-06 08:19 - 1120768 _____ () C:\Users\Wojciech\AppData\Roaming\Joy-Lex.exe
2017-03-06 08:19 - 2017-03-06 08:19 - 1892429 _____ () C:\Users\Wojciech\AppData\Roaming\Joy-Lex.tst
2017-03-06 08:20 - 2017-03-06 08:20 - 1938536 _____ () C:\Users\Wojciech\AppData\Roaming\Medhotstring.bin
2017-03-06 08:19 - 2017-03-06 08:19 - 0278510 _____ () C:\Users\Wojciech\AppData\Roaming\SilString.bin
C:\Users\Wojciech\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Daum Potplayer-64 Bits.lnk
C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Wojciech\AppData\Local
CMD: dir /a C:\Users\Wojciech\AppData\LocalLow
CMD: dir /a C:\Users\Wojciech\AppData\Roaming
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Wojciech\AppData\Local\Mozilla
C:\Users\Wojciech\AppData\Roaming\Mozilla
C:\Users\Wojciech\AppData\Roaming\Profiles
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Otwórz przeglądarkę Google Chrome, następnie przejdź do Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Dodaj Osobę, zaloguj się na nią, okno poprzedniego profilu zamknij > wejdź ponownie do Ustawień i skasuj wszystkie poprzednie osoby.

 

Uwaga: ta operacja wymaże wszelkie dane z przeglądarki.

 

5. Zresetuj ustawienia przeglądarki Internet Explorer - KLIK

 

Uwaga: ta operacja wymaże wszelkie dane z przeglądarki.

 

6. Upewnij się, że AdwCleaner już niczego nie wykrywa. Jeśli wykrywa to wszystko daj do kasacji, a skan powtarzaj do wyniku zero infekcji. Dostarcz raport z tego działania. 

 

7. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, zaktualizuj bazy sygnatur wirusów). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

8. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Nie wykonałeś pkt. 1 i znowu zapomniałeś o raporcie Shortcut. Nie napisałeś również czy udało się uruchomić deinstalator.
 

P.S: O ile się nie mylę to widzę tutaj elementy lewych aktywatorów (czytaj cracków), to niebezpieczne twory. W miarę możliwość odwróć ich działanie i odinstaluj. 



 
Wygląda to już o wiele, wiele lepiej. Poprawki.
 
1. Włącz przywracanie systemu (poprzednio tego nie zrobiłeś, bo widzę w logach, że jest nadal wyłaczone). 
 
2. Wszystkie zagrożenia wykryte przez Malwarebytes daj do kasacji. Dostarcz również raport z przeprowadzenia tego działania.

3. Otwórz Notatnik w nim wklej:
 
CloseProcesses:
CreateRestorePoint:
C:\Program Files\1Z1JLLKAQM
C:\Program Files\8GGBW6IWP4
C:\Program Files\IRUQF06XON
C:\Program Files (x86)\Churektokatain Agent
HKLM\...\StartupApproved\Run: => "&SIEdyupQx.exe"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "T9KTUNJFV8"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "CUERTFHGT4"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "VDJQCPATK5"
HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "OAV4DME9QP"
2017-03-06 08:19 - 2017-03-06 08:19 - 00000882 _____ C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
2017-03-06 08:21 - 2017-03-06 08:21 - 00000000 ____D C:\Users\Wojciech\AppData\Local\UCBrowser
2017-03-06 08:18 - 2017-03-06 08:19 - 00000000 ____D C:\Users\Wojciech\AppData\Local\Qefotojught
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
4. Poprzednia metoda coś zawiodła jeśli chodzi o modyfikacje profili, więc decyduję się na najprostszą metodę, czyli kompleksową reinstalację przeglądarki.
  • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
  • Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Albo coś robię nie tak albo jestem niedouczony i nie wiem gdzie uruchomić przywracanie systemu. Wywala mi błąd 0x80070015 i przerywa wykonanie kopi zapasowej. Chrome nie posiadam. Korzystam tylko z Opery i Edge.

Skasowałem zagrożenia z kwarantanny w Malwarebytes. Przeskanowałem i było 0 zagrożeń.

Wykonałem ostatni skrypt i także przeskanowałem FRST.

Załączam raporty.

Addition.txt

Fixlog.txt

malwarbytes obecnie.txt

malwerebytes.txt

Shortcut.txt

Odnośnik do komentarza

Albo coś robię nie tak albo jestem niedouczony i nie wiem gdzie uruchomić przywracanie systemu. Wywala mi błąd 0x80070015 i przerywa wykonanie kopi zapasowej.

 

1. Zrób raport z narzędzia Farbar Service Scanner i dodatkowo pokaż mi wygląd całego klucza odpowiedzialnego za usługę przywracania systemu.

 

Uruchom SystemLook, w dużym, białym oknie wklej zawartość:

 

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt

 

następnie kliknij w Look. Dostarcz wynikowy raport. 

 

2. Przeczytaj dokładnie jeszcze raz pkt. 5 mojego ostatniego posta i dostarcz to o co proszę (brak raportu FRST).

Odnośnik do komentarza

Usługa wygląda w porządku i nie mam pomysłu co z tym fantem zrobić. Reszta też OK. 

 

1. Zróbmy weryfikacje plików systemowych.

  • Z klawiatury winkey.png + X > z menu wybierz pozycję Wiersz polecenia (administrator)
  • W polu komend użyj:
sfc /scanow
  • Następnie kliknij ENTER, rozpocznie się skanowanie. Po jego ukończeniu użyj:
findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt"
  • Na pulpicie powstanie log SFC - dostarcz go.
2. Nie zauważyłem, że przeglądarka Google Chrome jest tylko szczątkowa. Podam skrypt usuwający, tylko muszę go znaleźć.
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...