Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Otwieranie okna z reklamami lub z innymi niechcianymi treściami.

maatrix350

Przez maatrix350
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

maatrix350

maatrix350

Opublikowano
Opublikowano

Witam. 

Mam taki problem otóż od pewnego czasu mam takie problemy z komputerem. 

Otwiera się drugie okno przeglądarki i tam są reklamy, i tak non-stop. 

Zauważyłem że te okno da się zamknąć tylko kiedy się wejdzie w menadżer zadań i zamknie proces oznaczony kołem zębatym bez nazwy. 

Oprócz tego zauważyłem że w historii youtube są filmy, których nawet nie oglądałem. 

Dodam że właśnie te okna są dużą miarą z youtube. Robiłem czyszczenie odkurzaczem ale problem wciąż jest.

Proszę o pomoc ;) Załączam screeny.

 

 Pliku FRST.txt już nie mogłem załadować to daje linka do wklej.org :) 

http://wklej.org/id/3321042/

post-19729-0-09480000-1513027614_thumb.png

post-19729-0-24240000-1513027629_thumb.png

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Miszel03

Miszel03

Opublikowano
Opublikowano

System jest przytłoczony przez infekcje adware (które dodatkowo blokuję instalacje większość programów zabezpieczających), ale są też sztuki grubszego kalibru. Póki co nie wykorzystuj tego komputera do ważnych operacji finansowych. 
Adware prawdopodobnie przedostało się do systemu wraz z Asystentem Pobierania serwisu DobreProgramy, do poczytania Portale z oprogramowaniem / Instalatory - na co uważać.
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
C:\Users\Mati\Desktop\TeamSpeak 3 Client.lnk
C:\Users\Mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {111FFD10-57D0-4B76-BBE5-8A7B66D6ACBE} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {1D3FC0A2-7F44-4FAE-934F-564B350A26F6} - \WPD\SqmUpload_S-1-5-21-4274788851-1844473529-1912967261-1001 -> Brak pliku Task: {20FDA149-3D59-4386-A284-03DBE43FCBBD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {27FFA7C6-6188-4E7B-B3F7-C9B31CB1BE01} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {32D5ACF2-36E6-49D5-9575-4AC521C9DCAB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {B194A4E6-7E58-409E-81E4-F2507481BBE4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6DCC83AA-2D96-4063-BC95-3AAAFD9097F9} - System32\Tasks\iFileSpy => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\iFileSpy\iFileSpy.dll",fssYCuS Task: {84AE8503-DE98-429B-8778-0EA6B8C71673} - System32\Tasks\{5DC18CEC-A5D6-48E3-AF2E-0B0465691F15} => C:\WINDOWS\Windows\ProgramData\svchost.exe Task: {B5AB1458-A8F1-4C6E-8718-2BCACFBA970A} - System32\Tasks\iMonitor Video Converter => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\iMonitor Video Converter\iMonitor Video Converter.dll",gquqPeqWRIV Task: {F431F7EF-5702-46AE-8D7E-89B7C4A143F6} - System32\Tasks\wincore => C:\WINDOWS\Windows\ProgramData\wincore.exe C:\Program Files\iFileSpy
C:\Program Files\iMonitor Video Converter
C:\WINDOWS\Windows\ProgramData
C:\Users\Public\Desktop\Настройки FIFA14.lnk
HKLM\...\Run: [pYrVerCaM4] => C:\Program Files\vsappltlpvsPJQUf\.mAJappltlpmAJ.vbs [168 2017-12-06] ()
HKLM\...\RunOnce: [MRM] => C:\WINDOWS\TEMP\g767E.tmp.exe C:\Program Files\vsappltlpvsPJQUf
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-4274788851-1844473529-1912967261-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> Brak pliku
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.pYrappltlppYr.vbs [2017-12-06] ()
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.pYrappltlppYr.vbs
GroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia S2 daeaService_1092541921; C:\ProgramData\daeaService\daeaService_1092541921.exe [278528 2017-11-12] () [brak podpisu cyfrowego]
C:\ProgramData\daeaService
2017-12-09 16:21 - 2017-12-09 16:21 - 001578080 _____ (Licarelo ) C:\Users\Mati\Downloads\Odkurzacz-12322-AsystentPobierania.exe
2017-11-13 21:39 - 2017-11-13 21:39 - 000553687 _____ C:\Users\Mati\Downloads\RegCleaner(dobreprogramy.pl).exe
2017-11-13 21:37 - 2017-11-13 21:37 - 001625840 _____ ( ) C:\Users\Mati\Downloads\RegCleaner-11442-AsystentPobierania.exe
2017-12-11 19:11 - 2017-12-11 19:11 - 000000000 ____D C:\ProgramData\Reimage Protector
2017-12-09 15:58 - 2017-12-09 16:38 - 000000000 ____D C:\Program Files\Reimage
2017-12-09 15:57 - 2017-12-09 16:01 - 000000140 _____ C:\WINDOWS\Reimage.ini
2017-12-09 15:57 - 2017-12-09 16:01 - 000000000 ____D C:\rei
2017-12-09 15:57 - 2017-12-09 15:57 - 000605424 _____ (Reimage) C:\Users\Mati\Downloads\ReimageRepair.exe
2017-11-19 20:17 - 2017-11-19 20:18 - 000000000 ____D C:\Users\Mati\AppData\Local\svchost
2017-11-12 14:33 - 2017-11-12 14:33 - 000000000 ____D C:\Users\Mati\AppData\Local\UCBrowser
2017-11-12 14:15 - 2017-12-05 22:06 - 000000000 ____D C:\Program Files\LaCie Private Public
2017-11-12 14:28 - 2017-11-12 14:29 - 000000000 ____D C:\Users\Mati\AppData\LocalLow\CelGrfgXIrZdI
2017-11-12 14:14 - 2017-11-12 14:15 - 000000000 ____D C:\Program Files\8G3RQ4LFWH
2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\pwpbc0hmgny
2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\j4pv0swdiqw
2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\hgecfhwssht
2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\Easeware
2017-11-12 14:13 - 2017-11-12 14:13 - 000000000 ____D C:\Users\Mati\AppData\Roaming\yvljcf0sph5
2017-11-12 14:13 - 2017-11-12 14:13 - 000000000 ____D C:\Program Files\ESKQBFV6BL
2017-11-12 14:15 - 2017-11-12 14:15 - 000000000 ____D C:\Program Files\ZOMHLLJKCH
2017-11-12 14:14 - 2017-11-12 14:14 - 000140800 _____ C:\Users\Mati\AppData\Local\installer.dat
2017-11-12 14:15 - 2017-11-12 14:15 - 000000000 ____D C:\Disk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Mati\AppData\Local\Mozilla
C:\Users\Mati\AppData\Roaming\Mozilla
C:\Users\Mati\AppData\Roaming\Profiles
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Mati\AppData\Local
CMD: dir /a C:\Users\Mati\AppData\LocalLow
CMD: dir /a C:\Users\Mati\AppData\Roaming
VirusTotal: C:\WINDOWS\system32\Drivers\VqipJuxB.sys
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt
 
2. Wyczyść przeglądarkę Google Chrome:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj podejrzane wejścia / adware: Speed Dial [FVD] - New Tab Page, 3D, Sync...Tiempo en colombia en vivo oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

Wszystko pomyślnie wykonane. Infekcje usunięte, teraz jeszcze Malwarebytes wysprząta to co on widzi, a następnie ja przeanalizuję raporty od nowa by upewnić się, że już nic nie pozostało. 

 

1. Zagrożenia wykryte przez Malwarebytes daj do kasacji.

 

2. Powtórz skan Malwarebytes, by upewnić się, że już nic nie wykrywa. Jeśli coś zostanie wykryte to niczego nie usuwaj, a dostarcz raport. 

 

3. Dostarcz nowy zestaw raportów FRST, wraz z Addition i Shrotcut.

Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

Malwarebytes już niczego nie wykrył?

Z mojego punktu widzenia powinno być już wszystko w porządku - czy tak jest?

 

Możesz skasować poniższe dokumenty tekstowe, o ile nie są Twoje (losowy ciąg znaków charakterystyczny jest na adware, ale to może być również Twoja nazwa):

C:\Users\Mati\Downloads\uwpyluzmsginyr.txt
C:\Users\Mati\Downloads\zvzriwyjskpbbltyc.txt

Odnośnik do komentarza
maatrix350

maatrix350

Opublikowano
  • Autor
Opublikowano

Malwarebytes już niczego nie wykrył?

Z mojego punktu widzenia powinno być już wszystko w porządku - czy tak jest?

 

Możesz skasować poniższe dokumenty tekstowe, o ile nie są Twoje (losowy ciąg znaków charakterystyczny jest na adware, ale to może być również Twoja nazwa):

C:\Users\Mati\Downloads\uwpyluzmsginyr.txt

C:\Users\Mati\Downloads\zvzriwyjskpbbltyc.txt

Tak to moje pliki. Malwarebytes niczego nie wykrył. Zrobiłem skan jeszcze raz dla pewności. Dziękuje Bardzo za Pomoc!!! :) 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...