Wyskakujące reklamy w firefoxie, problemy ze ściągnięciem i uruchomieniem oprogramowania.

[az121212]

Witam.

Od około dwóch tygodni po uruchomieniu niepewnego oprogramowania mam problem z Firefoxem. Samodzielnie uruchamia on zakładki z reklamami, a nawet sam uruchamia przeglądarkę by wyświetlić strony z reklamami. Przy próbach ściągnięcia czy instalacji i uruchomienia AdwCleanera i tym podobnego oprogramowania wywala do pulpitu.

Udało mi się ściągnąć OTL.

Oto logi: http://pastebin.pl/view/050e0337

Z góry dzięki za pomoc

[Rucek]

Z OTL już się nie korzysta - stary program. Zapoznaj się proszę z zasadami działu i dołącz 3 wymagane logi z FRST. Jeśli normalnie się nie da to odpal tryb awaryjny.

[az121212]

Tu jest pies pogrzebany. FRST również nie mogę ściągnąć (wyłącza mi się przeglądarka gdy odpalę jakąkolwiek stronę ze zwrotami adware, malware, recovery etc. w nagłówku), oraz uruchomić. Pokombinuję jeszcze z tym trybem awaryjnym. Może uda mi się jednak coś uruchomić.

[jessica]

Jeśli i w Trybie Awaryjnym się nie uda, to możesz ściągnąć FRST (już ze zmienioną nazwą!) stąd:

system 32 bit: http://www.mediafire.com/file/w17hklgthxfbb6d/COSTAM.exe/file

system 64 bit: http://www.mediafire.com/file/at10do4gxog6abg/co%C5%9Btam64.exe

[az121212]

Dziękuję Ci, udało się! Oto logi:

FRST: https://pastebin.com/bHetjJxa

Additions: https://pastebin.com/k4tkT3BU

Shortcut: https://pastebin.com/gAHAThNN

[jessica]

Jeśli odpowie @Miszel03 - to moich zaleceń nie wykonuj!

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

C:\Users\Agnieszka\OiNEFMLyeniag.exe
C:\Windows\SysWOW64\GVSTeY.exe
Task: {FB5495E1-3E25-4AAE-85D5-2FCD81FB6E40} - System32\Tasks\{48D203E9-8DA2-D907-D6F5-BAFE7024311D} => C:\Windows\SysWOW64\GVSTeY.exe [2009-07-14] (Microsoft Corporation)
Task: {C55D00E1-3081-4D0F-A292-20C98C8A903C} - System32\Tasks\{05ED718E-4166-15D1-A2A8-35F52E7540F6} => C:\Users\Agnieszka\OiNEFMLyeniag.exe [2009-07-14] (Microsoft Corporation)
Task: {CD899C2B-63B6-4CD5-B52E-91E88C58D124} - System32\Tasks\{31A6F99B-BA81-158B-2272-2206C5E04044} => "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" hxxp://100newsup.net/cl/?guid=mcu9ug9ppccbbua0ujod1xyi5beklhax&prid=1&pid=4_1324_0
Task: {5899BA8C-3D4F-4101-95C8-E6E2A194DF36} - System32\Tasks\{D8309716-C240-23BC-8227-1F9C14DD1CEE} => "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" hxxp://news2news2.net/cl/?guid=vyu08tkygrtekgxxqypn14tefgg2b1tw&prid=1&pid=4_1324_0
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\FlatOut\Uninstall FlatOut.lnk
S3 ASUSProcObsrv; \??\E:\I386\AsPrOb64.sys [X]
C:\Users\Agnieszka\AppData\Local\WMI.ini
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
FirewallRules: [{ACB20B78-BDFD-4E4F-BC99-F0FD70D7FA13}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{19C020EC-6AC7-45A6-9424-59CC49F142CB}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{71446AC3-A42F-4BEB-8980-8CBE169A50EB}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{13C2F1FF-B1EE-442A-AA0F-DD2773C2D9C2}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{509F12E6-6A95-4A58-A3AA-FCEA05566C69}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{536EFA19-D693-4B50-B212-1D5BD61BD55A}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{D453F2E5-EE17-4FB5-923E-AE7DB5F674C9}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{27DC0601-A103-48D8-9D3D-CD106063EBD3}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{391C73EB-3A9D-4171-AC2D-2B745FD2171A}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{6ACCE22B-16FC-4FB5-B93F-8EECFB7E032C}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{B52F6973-BEBB-45EA-8D0A-9EE74C994479}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{80D69F94-D058-4C5C-850F-485E89799CDD}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{07482B67-4D10-42EA-AAAB-ED3614E0388D}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{0B9385DF-B481-49BC-BCF9-825704A02A13}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{6371CB51-1C0B-4B84-AD9C-749D519D0D6A}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{63DCA7C8-0F8C-43C6-9686-62FE6AEA638F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{E5B76B56-9171-4BA7-8649-5D4F45F1DDE0}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{112D5403-603F-4750-B5A2-9C861108523F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{8CA3C0D7-60E0-4188-B7A2-C2B4980DC8FC}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{07279CB7-ACC2-4A63-B51B-D1694F0FDC6A}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{E723476A-F6F2-4784-B964-3FAB6FC339A1}] => (Allow) C:\Windows\SysWOW64\msiexec.exe
FirewallRules: [{022591E1-3CB7-4AF2-93AB-F0D804F77450}] => (Allow) C:\Users\Agnieszka\OiNEFMLyeniag.exe
FirewallRules: [{5D8BA1E9-14EC-4A38-8560-1FD4FB088542}] => (Allow) C:\Windows\SysWOW64\GVSTeY.exe
FirewallRules: [{0A46A35D-AD87-4024-AF9C-E12C711D9BE1}] => (Allow) C:\Windows\SysWOW64\svchost.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\FlatOut\Documents\Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\FlatOut\FlatOut.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Just A Game GmbH\Play Ignite.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Just A Game GmbH\Uninstall Ignite.lnk
C:\Users\Agnieszka\jazz\Jazz2+ — skrót.lnk
C:\Users\Agnieszka\jazz\JAZZ2 — skrót.lnk
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST.

 

Napisz, czy reklamy znikły?

 

jessi

[az121212]

Dziękuję, pomogło!

FRST:

https://pastebin.com/8X9jVsPh

Addition:

https://pastebin.com/z1yJ8Tt2

Shortcut:

https://pastebin.com/BvunKxYg

[jessica]

Spybot - Search & Destroy - jak na dzisiejsze czasy, to złudne zabezpieczenie, nie jest w stanie wykrywać nowocześniejszych infekcji.
Odinstaluj go.
 

Photoscape Packages (HKU\S-1-5-21-3099695867-759307578-797692442-1000\...\Photoscape Packages) (Version:  - ) <==== UWAGA

 

Niezbyt podoba mi się ten program: brak nazwy producenta tego programu.

Może lepiej go odinstalować? (To nie zalecenie, tylko sugestia.)

Miszel03: Photoscape Packages wygląda na adware.
 

Error: (07/20/2018 12:38:10 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu:
Uruchomienie usługi zależności lub grupy nie powiodło się.

 

Ten błąd jest sprzed usunięcia infekcji, nowszych nie ma, więc chyba to naprawiło się po usunięciu infekcji.
 
Tylko kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego:

 

FirewallRules: [{0E250372-FCAE-472D-AE48-A6A304750FB3}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{B6DC04C7-881D-4005-A772-A12BC6893EF5}] => (Allow) C:\Windows\SysWOW64\svchost.exe
Task: C:\Windows\Tasks\AdwCleaner_onReboot.job => C:\Users\Agnieszka\Downloads\adwcleaner_7.2.2.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
 
jessi

Edytowane 21 Lipca 2018 przez Miszel03
Dodaje notatkę. //Miszel03