s85 Opublikowano 10 Września 2017 Zgłoś Udostępnij Opublikowano 10 Września 2017 Witam. Od jakichś 3 dni mam problem z niepożądanymi reklamami. Rzecz objawia się tym, że raz na jakiś czas otworzenie jakiegoś linku czy otworzenie nowej karty w przeglądarce, otwiera lub przekierowuje mnie na stronę z reklamą. Próbowałem już AdwCleaner, AvastBrowserCleanup, ZHP Cleaner, Spybot, CCleaner. Każdy z tych programów coś znalazł i naprawił, a mimi to problem nadal występuje. Załączam logi z FRST: Shortcutt.txt Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Września 2017 Zgłoś Udostępnij Opublikowano 10 Września 2017 W raportach widać infekcje adware, głównie w harmonogramie zadań, ale jest również w postaci usługi podszywającej się pod Microsoft (to była jednak pomyłka i wyciąłem to ze skryptu) (dodatkowo resetuje plik Hosts, bo jego zawartość jest podejrzana). Oprócz tego sprzątam system z resztek po odinstalowanych programach. Szkoda, że nie dostarczyłeś raportów z AdwCleaner i ZHP Cleaner. Akcję z tym pierwszym musimy powtórzyć w celu weryfikacji. P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK. 1. Przez Panel sterownia odinstaluj: Przestarzałe oprogramowanie: Spybot - Search & Destroy. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses:CreateRestorePoint:Task: {B03FA676-24DA-470E-93E4-A1E0A404F4F2} - System32\Tasks\YlOOqEqYHplMfZba4Oe => C:\Users\Simek\AppData\Roaming\YlOOqEqYHplMfZba4Oe.exe Task: C:\Windows\Tasks\YlOOqEqYHplMfZba4Oe.job => C:\Users\Simek\AppData\Roaming\YlOOqEqYHplMfZba4Oe.exe C:\Users\Simek\AppData\Roaming\YlOOqEqYHplMfZba4OeHKLM-x32\...\Run: [] => [X]HKLM-x32\...\RunOnce: [AvgUninstallURL] => cmd.exe /c start hxxp://www.avg.com/pl.special-uninstallation-feedback-app?lic=OE1FSC1STlpMTC0yWTRRWC03OVBQQS1NMlBGRi1BRU1CUg"&"inst=NzYtNzA4MTM1MTg0LUQzODFMKzYtU1AxKzEtU1VQKzMtVFVHKzMtU1AxUzIrMS1DSVA (dane wartości zawierają 83 znaków więcej).Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]HKU\S-1-5-21-3853154925-1102989141-3211563624-1000\...\Run: [ASRockXTU] => [X]BootExecute: autocheck autochk * sdnclean64.exeStartMenuInternet: IEXPLORE.EXE - iexplore.exeFF Plugin HKU\S-1-5-21-3853154925-1102989141-3211563624-1000: @acestream.net/acestreamplugin,version=3.1.6 -> C:\Users\Simek\AppData\Roaming\ACEStream\player\npace_plugin.dll [brak pliku]U3 astrp8c4; C:\Windows\System32\Drivers\astrp8c4.sys [0 ] (Advanced Micro Devices) S3 cpuz143; \??\C:\Users\Simek\AppData\Local\Temp\cpuz143\cpuz143_x64.sys [X] R3 ArdDrv; \??\C:\Windows\SysWOW64\Drivers\ArdDrv.sys [X]C:\Program Files (x86)\GoogleC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google ChromeC:\Users\Simek\AppData\Local\GoogleDeleteKey: HKCU\Software\GoogleDeleteKey: HKLM\SOFTWARE\GoogleDeleteKey: HKLM\SOFTWARE\Wow6432Node\GoogleCMD: dir /a "C:\Program Files"CMD: dir /a "C:\Program Files (x86)"CMD: dir /a "C:\Program Files\Common Files\System"CMD: dir /a "C:\Program Files (x86)\Common Files\System"CMD: dir /a C:\ProgramDataCMD: dir /a C:\Users\Simek\AppData\LocalCMD: dir /a C:\Users\Simek\AppData\LocalLowCMD: dir /a C:\Users\Simek\AppData\RoamingHosts:EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj (na koniec tematu) rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zrób raport AdwCleaner z opcji Szukaj, nie stosuj jeszcze Oczyść. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
s85 Opublikowano 10 Września 2017 Autor Zgłoś Udostępnij Opublikowano 10 Września 2017 Załączam logi z AdwCleaner i FRST. AdwCleaner aktualny plus archiwalny. AdwCleanerS1.txt AdwCleanerC1.txt Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Września 2017 Zgłoś Udostępnij Opublikowano 10 Września 2017 # AdwCleaner 7.0.2.1 - Logfile created on Sun Sep 10 11:51:11 2017# AdwCleaner 7.0.2.1 - Logfile created on Fri Sep 08 20:08:03 2017 Oby dwa raporty są z 8 września, a ja chcę byś zrobił je dziś. Pomyłka. Na szybko poproszę jeszcze o kopię rejestru, bo muszę przywrócić jedną rzecz, więc: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:FF HKU\S-1-5-21-3853154925-1102989141-3211563624-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Simek\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => nie znalezionoFF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]Reg: reg load HKLM\TEMP C:\FRST\Hives\SYSTEMReg: reg export HKLM\TEMP\ControlSet001\Services C:\Users\Simek\Desktop\services.regReg: reg unload HKLM\TEMP Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go i dodatkowo plik znajdujący się na pulpicie pod nazwą services.reg (możesz np. shostować go na MediaFire). Nie uruchamiaj go broń boże. Odnośnik do komentarza
s85 Opublikowano 10 Września 2017 Autor Zgłoś Udostępnij Opublikowano 10 Września 2017 Dodatkowo jeszcze raz log z AdwCleaner, choć poprzednio był dobry, spójrz jeszcze raz;) http://www.mediafire.com/file/a6aswd00t3ml66w/services.reg Fixlog.txt AdwCleanerS1.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Września 2017 Zgłoś Udostępnij Opublikowano 10 Września 2017 Tak, rzeczywiście pomyliłem się, ten raport był sprzed kilku godzin. Teraz szybka rekonstrukcja i poprawki. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CreateRestorePoint:StartRegedit:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sppuinotify]"DisplayName"="@%SystemRoot%\\system32\\sppuinotify.dll,-103""ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,00,00"Description"="@%SystemRoot%\\system32\\sppuinotify.dll,-102""ObjectName"="NT AUTHORITY\\LocalService""ErrorControl"=dword:00000001"Start"=dword:00000003"Type"=dword:00000020"DependOnService"=hex(7):45,00,76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,\ 65,00,6d,00,00,00,00,00"ServiceSidType"=dword:00000001"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,e0,93,04,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sppuinotify\Parameters]"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 73,00,70,00,70,00,75,00,69,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,\ 00,6c,00,6c,00,00,00"ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sppuinotify\Security]"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,28,00,fd,01,02,00,01,06,00,00,00,00,00,05,50,00,00,00,\ f0,5b,58,07,c3,43,8c,9a,c7,8a,72,dd,8f,8c,b4,df,44,47,e7,f8,00,00,18,00,ff,\ 01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,\ 02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,\ 00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,00,00,01,01,00,00,00,00,00,05,\ 0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 EndRegedit:RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\sppuinotify.dll.xBADDeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{0014298C-A9BA-440D-AAA8-AD12C7010EE5}DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{181A06EA-B82C-47DE-B851-E20FD0E1CC7D}Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz plik Fixlog oraz podsumuj obecny stan systemu, napisz czy problem ustąpił itp. Odnośnik do komentarza
s85 Opublikowano 10 Września 2017 Autor Zgłoś Udostępnij Opublikowano 10 Września 2017 Załączam fixlog. Co zrobić z plikiem services.reg który został na pulpicie? Na razie wygląda na to, że jest wszystko ok. Za radą zainstalowałem uBlock, on też pewnie robi swoje. Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Września 2017 Zgłoś Udostępnij Opublikowano 10 Września 2017 Wykonaj pkt. 1 jeszcze raz, wkradł Ci się Backspace przy EndRegedit: i było to w jednej linii zamiast osobno. Pomiń te linijki: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{0014298C-A9BA-440D-AAA8-AD12C7010EE5}DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{181A06EA-B82C-47DE-B851-E20FD0E1CC7D} Odnośnik do komentarza
s85 Opublikowano 10 Września 2017 Autor Zgłoś Udostępnij Opublikowano 10 Września 2017 Zrobiłem o co proszono. edit: widzę zmieniłeś ilość linijek do pominięcia. Zrobić fix jeszcze raz? Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Września 2017 Zgłoś Udostępnij Opublikowano 10 Września 2017 Ale tylko z tą linijką:RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\sppuinotify.dll.xBADBo reszta pomyślnie zrobiona. Odnośnik do komentarza
s85 Opublikowano 10 Września 2017 Autor Zgłoś Udostępnij Opublikowano 10 Września 2017 Zrobione. Czy plik services.reg z pulpitu ma zostać? Odnośnik do komentarza
Miszel03 Opublikowano 10 Września 2017 Zgłoś Udostępnij Opublikowano 10 Września 2017 Możesz go skasować. Skoro problem ustąpił to będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi), zaktualizuj system Windows oraz ważne programy. P.S: uBlock Origin blokuję reklamy tylko o podłożu nieinfekcyjnym, więc jeśli jakieś zauważysz w zwiększonej ilości to napisz. Odnośnik do komentarza
s85 Opublikowano 10 Września 2017 Autor Zgłoś Udostępnij Opublikowano 10 Września 2017 Zrobione. Dzięki za poświęcony czas. DelFix.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Września 2017 Zgłoś Udostępnij Opublikowano 10 Września 2017 W porządku, jak coś by było nie tak to wracaj i pisz. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się