Skocz do zawartości

FindRight, wyskakujące reklamy a.akamaihd i wolniejsza praca komputera


Rekomendowane odpowiedzi

Witam,

Od pewnego czasu mam problem z wyskakującymi reklamami na wszystkich przeglądarkach, komputer uruchamia się bardzo długo i pracuje wolniej. Moim zdaniem przyczyną wyskakujących reklam jest ściągnięcie przez mojego ojca gmera ze strony komputerswiat, a nie ze strony domowej ):. Dodatkowo oczywiście zainstalowało się paskudztwo FindRight i SiteFinder. Mój avast wykrywa ciągły ruch w sieci po różnych stronach i w różnych częściach mojego peceta, a czasami jak chcę wejść na jakąś stronę to wyskakuje hxxps://apimyfindrightco-a.akamaihd.net/gsrs?is=isgiwhPL&bp=BAS&g=7d54842a-b9eb-4646-858f-9d1d99d2784e zamiast niej. Ponadto avast w skanach wykrył 596 rootkitów, głównie zlokalizowanych w C://Windows/assembly/NativeImages... i  C://Windows/Microsoft.NET/Framework.... Pomóżcie mi się tego pozbyć, bo jestem niedoświadczony i nie podejmowałem żadnych działań w celu jego usunięcia, bo mógłbym tylko narobić szkód. Zaraz dodam logi...

 

Laptop Lenovo

 

 Results of screen317's Security Check version 0.99.81  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 11  

``````````````Antivirus/Firewall Check:``````````````

 WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

 Adobe Flash Player 12.0.0.77  

 Adobe Reader XI  

 Google Chrome 33.0.1750.154  

 Google Chrome 34.0.1847.116  

````````Process Check: objlist.exe by Laurent````````

 Google Chrome Application AvastSvc.exe -?- 

 AVAST Software Avast AvastUI.exe  

`````````````````System Health check`````````````````

 Total Fragmentation on Drive C:  

````````````````````End of Log``````````````````````

gmer.txt

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Kakito, są tu dwie odrębne sprawy i zadania zostaną podzielone:

- Adware: instrukcje usuwania zostaną podane, gdy zostanie skorygowana poniższa anomalia.

- Masowe detekcje "rootkit". Wy GMER również Avast per se jest wykrywany jako "rootkit". Te masowe zgłoszenia (jest ich zbyt dużo) mogą być fałszywe i to antywirus może być przyczyną blokady. Były już takie tematy na forum. Dodatkowa uwaga: wg raportu jest tu zainstalowany Avast 2014.9.0.2006, podczas gdy najnowszy to build 2014.9.0.2016 (pomiędzy jednak jest kilka poprawek funkcjonalności). Kolejny aspekt to składniki McAfee na dysku notowane w GMER, mimo że pakiet ten został już odinstalowany.

 

Na początek usprawnij grunt, bo zbyt wiele lokalizacji jest zablokowanych i to może spowodować problemy z usuwaniem innych rzeczy:

 

1. Przejdź w Tryb awaryjny Windows. Odinstaluj Avast poprzez Panel sterowania (powinno być to możliwe w Trybie awaryjnym, gdyż Avast nie jest oparty na Instalatorze Windows). Następnie zastosuj narzędzia: Avast Uninstall Utility + McAfee Consumer Product Removal Tool.

 

2. Zresetuj system, wejdź w Tryb normalny i zrób nowy zestaw logów: FRST i GMER. Na razie nie instaluj ani Avasta, ani innego antywirusa.

 

 

 

.

Odnośnik do komentarza

Piszę z drugiego komputera.

W trybie normalnym użyłem McAfee Consumer Product Removal Tool, a następnie Avast Uninstall Utility (nie usunąwszy samego Avasta), który zalecał uruchomienie go w trybie awaryjnym, więc tak zrobiłem. Problemem było to, że w trybie awaryjnym nie było tego pliku, ani innych w folderze Pobrane. Przy okazji usunąłem część plików McAfee z Program files, bo pozostałej części nie mogłem, bo było napisane, że program jest w użyciu. Następnie chciałem uruchomić komputer w trybie normalnym i z ostatnią dobrą aktualizacją i się nie udało. Teraz komputer cały czas uruchamia się w trybie awaryjnym...

Odnośnik do komentarza

W trybie normalnym użyłem McAfee Consumer Product Removal Tool, a następnie Avast Uninstall Utility (nie usunąwszy samego Avasta), który zalecał uruchomienie go w trybie awaryjnym, więc tak zrobiłem. Problemem było to, że w trybie awaryjnym nie było tego pliku, ani innych w folderze Pobrane.

Te narzędzia miały być użyte tylko i wyłącznie w Trybie awaryjnym, bo w Trybie normalnym jest nienormalna sytuacja z zablokowanymi elementami i jest nawet niebezpiecznym cokolwiek usuwać. Nie było widocznych narzędzi, bo pewnie pobrałeś je na jednym koncie, a w Trybie awaryjnym zalogowałeś się na inne (foldery kont nie są między sobą dostępne). Ponownie zastosuj oba narzędzia usuwające z poziomu Trybu awaryjnego.

 

 

 

.

Odnośnik do komentarza

Komputer już działa. Usunąłem Avasta w trybie awaryjnym, a McAfee'go nie mogłem w całości mimo wielu prób w trybie awaryjnym i normalnym (załączam log) i wyskoczył komunikat "Incomplete unistallation" oraz "Error obtaining full permission for cleanup". Załączam log w gmerze, tym razem dysku C i D; oraz FRST.

gmerdyskCiD.txt

FRST.txt

Addition.txt

Shortcut.txt

mccleanuplog.txt

Odnośnik do komentarza

Okazało się, że na dysku D pozostały resztki McAfee'go, przeniosłem je do kosza i usunąłem i zrobiłem skan TDSSKiller, ale nic nie wykrył z ustawionymi opcjami jak na moim załączniku. Zapomniałem dodać, że mój Lenovo Solution Center nie uruchamia się, coś jest z nim nie tak. Chciałbym dodać, że ten komputer to laptop, może ma to jakieś znaczenie. Załączam jeszcze raz logi gmer, FRST  i OTL, w trybie normalnym i awaryjnym, może to coś pomoże.

post-13130-0-18359300-1397572719_thumb.png

gmerdyskCiD3.txt

gmersavemode.txt

Odnośnik do komentarza

Zapomniałem dodać, że mój Lenovo Solution Center nie uruchamia się, coś jest z nim nie tak. Chciałbym dodać, że ten komputer to laptop, może ma to jakieś znaczenie.

Jaki konkretnie widzisz błąd?

 

 

Logi zrobisz, gdy nastąpią zmiany. Zostawiam tylko GMERy, bo jest między nimi zasadnicza różnica, w awaryjnym nie występuje blokada obszarów.

 

Może przejdź do usuwania tego adware i potem będziemy drążyć resztę. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
URLSearchHook: HKLM-x32 - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\SiteFinder\SiteFinder.dll (Site Finder)
BHO-x32: TBLayoutBHO Class - {008f6853-9cb4-41c5-a950-39d55e5e06ba} - C:\Program Files (x86)\Amazon Browser Bar\AmazonBrowserBar.3.0.dll (Amazon.com)
BHO-x32: FindRight - {2c774641-5504-46a8-b63f-6715ae3fe376} - C:\Program Files (x86)\FindRight\FindRightBHO.dll (FindRight)
BHO-x32: AlxHelper Class - {F443A627-5009-4323-9C1D-7FD598D0D712} - C:\Program Files (x86)\Amazon Browser Bar\AmazonBrowserBar.3.0.dll (Amazon.com)
Toolbar: HKLM-x32 - Amazon Browser Bar - {EA582743-9076-4178-9AA6-7393FDF4D5CE} - C:\Program Files (x86)\Amazon Browser Bar\AmazonBrowserBar.3.0.dll (Amazon.com)
CHR HKLM-x32\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam] - C:\Program Files (x86)\Amazon\ABB\AmazonChrome-lenovo-abb.crx [2012-02-18]
HKU\S-1-5-21-3631931409-1417981497-3388749590-1000\...\Run: [Power2GoExpress] => NA
Task: {A3F2A8CB-CFDB-4504-8EC3-C68CB347CCF8} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
S2 Update FindRight; C:\Program Files (x86)\FindRight\updateFindRight.exe [350496 2014-04-09] ()
S2 Util FindRight; C:\Program Files (x86)\FindRight\bin\utilFindRight.exe [350496 2014-04-09] ()
R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-03-26] (StdLib)
U3 BcmSqlStartupSvc;
U2 CLKMSVC10_3A60B698;
U2 CLKMSVC10_C3B3B687;
U2 DriverService;
U2 iATAgentService;
U2 idealife Update Service;
U3 IGRS;
U2 IviRegMgr;
U2 Oasis2Service;
U2 PCCarerService;
U2 ReadyComm.DirectRouter;
U2 RichVideo;
U2 RtLedService;
U2 SeaPort;
U2 SoftwareService;
U3 SQLWriter;
C:\Users\Public\AlexaNSISPlugin.3652.dll
C:\Users\Ewa\AppData\Roaming\AVAST Software
C:\Users\Ewa\AppData\Roaming\SimilarSites
C:\Users\Ewa\Downloads\yet_another_cleaner_reh.exe
C:\Users\Ewa\Downloads\yet_another_cleaner_mar.exe
C:\Windows\system32\Drivers\WSTLIBG64.sys
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: rd /s /q C:\Users\Ewa\Downloads\FRST-OlderVersion
CMD: rd /s /q C:\Users\Ewa\Downloads\FRSTold
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Amazon Browser Bar, FindRight, SiteFinder. Następnie w Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj Amazon 1Button App for Chrome (o ile nadal będzie po w/w deinstalacji)
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Historia > wyczyść
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) i GMER. Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Jaki konkretnie widzisz błąd?

Aplikacja nie uruchamia się po dwukliku. Widać kółeczko ładowania przy kursorze, po sekundzie znika i nic się nie dzieje.

 

A co z Internetem Explorer? Nie trzeba go wyczyścić? OK, też go wyczyściłem.

A poza tym chciałbym się go pozbyć, bo nie jest w pełni sprawny. Uruchamia się długo i karty i strony długo się wczytują. Ale jest chyba za bardzo zżyty z systemem, żeby go usunąć i tylko tam można zobaczyć pliki tymczasowe. Problemy są z automatycznym aktualizowaniem IE i wyświetlaniem części zawartości stron. Zauważyłem w historii, że regularnie odwiedzana jest strona mc.yandex.ru mimo, ale żaden z użytkowników tego nie robi. EDIT: po resecie ustawień IE jest szybszy.

 

 

 

Tu nadal jest coś nie w porządku. Wprawdzie usunięcie antywirusów zredukowało liczbę zablokowanych obszarów w raporcie GMER, ale nadal jest ich strasznie dużo. 

Może przyczyną zablokowanych obszarów w raporcie GMER jest AdBlock albo avast! Online Security (Avast Browser Security and Web Reputation Plugin)?

 

 

 

Wszystkie kroki wykonane. Reklamy już nie wyskakują. Ale GMER dalej wykrywa rootkity.

FRST.txt

Fixlog.txt

gmerdyskCiD4.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Odnośnik do komentarza

A co z Internetem Explorer? Nie trzeba go wyczyścić? OK, też go wyczyściłem.

Czyszczenie Internet Explorer było prowadzone skryptem FRST, stąd reset przeglądarki nie był obligatoryjny. Wykonałeś go mimo to i OK.

 

 

Może przyczyną zablokowanych obszarów w raporcie GMER jest AdBlock albo avast! Online Security (Avast Browser Security and Web Reputation Plugin)?

Na pewno nie. To są drobne rozszerzenia w Google Chrome, nie ten zasięg. avast! Online Security zresztą możesz odinstalować, to odpadek po usuniętym Avast.

 

 

Aplikacja nie uruchamia się po dwukliku. Widać kółeczko ładowania przy kursorze, po sekundzie znika i nic się nie dzieje.

Ale GMER dalej wykrywa rootkity.

Folder C:\Program Files\Lenovo\Lenovo Solution Center także stoi w GMER jako zablokowany. Na razie jest wiadome, że blokada zachodzi tylko w Trybie normalnym, gdyż logi z GMER wykazują różnicę.

 

 

1. Przez SHIFT+DEL (omija Kosz) usuń kwarantanny C:\FRST\Quarantine i C:\AdwCleaner.

 

2. Wykonaj skanowanie za pomocą Malwarebytes Anti-Rootkit i przedstaw wynikowy raport.

 

 

 

.

Odnośnik do komentarza

Na razie wstrzymaj się z usuwaniem tego folderu C:\FRST. Jego powielenie jest kuriozalną anomalią o nieznanym podłożu. Ja zresztą widziałam powielenia innych katalogów wcześniej w raporcie FRST, tylko rozważałam ewentualne przekłamania skanu... Przykładowy wyciąg duplikatów:

 

2014-04-13 17:34 - 2014-04-13 17:34 - 00000000 _____ () C:\Windows\SysWOW64\config.nt

2014-04-13 17:34 - 2014-04-13 17:34 - 00000000 _____ () C:\Windows\SysWOW64\config.nt

2014-04-12 16:04 - 2014-04-12 19:09 - 00000000 ____D () C:\Users\Ewa\AppData\Local\CrashDumps

2014-04-12 16:04 - 2014-04-12 19:09 - 00000000 ____D () C:\Users\Ewa\AppData\Local\CrashDumps

2014-04-12 16:04 - 2014-04-12 16:04 - 00000000 ____D () C:\Users\Ewa\AppData\Local\Google

2014-04-12 16:04 - 2014-04-12 16:04 - 00000000 ____D () C:\Users\Ewa\AppData\Local\Google

2014-04-12 13:49 - 2014-04-12 13:49 - 00000000 ____D () C:\Users\Ewa\AppData\Local\LSC

2014-04-12 13:49 - 2014-04-12 13:49 - 00000000 ____D () C:\Users\Ewa\AppData\Local\LSC

2014-04-12 13:49 - 2014-04-12 13:49 - 00000000 ____D () C:\Users\Ewa\AppData\Local\Adobe

2014-04-12 13:49 - 2014-04-12 13:49 - 00000000 ____D () C:\Users\Ewa\AppData\Local\Adobe

2014-04-12 13:48 - 2014-04-12 13:48 - 00000000 ____D () C:\Users\Ewa\AppData\Roaming\Adobe

2014-04-12 13:48 - 2014-04-12 13:48 - 00000000 ____D () C:\Users\Ewa\AppData\Roaming\Adobe

 

Tu jest coś bardzo nie w porządku. Musisz mi dać czas na przemyślenie o co chodzi.

 

 

 

.

Odnośnik do komentarza

Może zrób na początek sprawdzanie dysku:

 

1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: chkdsk /f /r

 

2. Zresetuj system. Powinno zostać wykonane sprawdzanie dysku. Wyniki zostaną nagrane w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki.

 

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...

Dostarczone wyciągi z Dziennika zdarzeń są nieodpowiednie, skopiowałeś hurtem różne błędy z pominięciem zasadniczego rekordu ze sprawdzania dysku. Jeśli na pewno sprawdzenia dysku zostało wykonane przy restarcie systemu, masz dostarczyć wyniki konkretnego jednego rekordu:

 

Wyniki zostaną nagrane w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki.

Rekord ma wyglądać mniej więcej w taki sposób:

 

Nazwa dziennika:Application

Źródło: Microsoft-Windows-Wininit

Data: ....

Identyfikator zdarzenia:1001

(...)

 

Sprawdzanie systemu plików na C:

 

 

 

.

Odnośnik do komentarza

2. Niestety skanu nie udało się wykonać, wyskoczył jakiś komunikat, którego nie zdążyłem przeczytać, bo pokazał się pulpit. Załączam wszystkie zdarzenia z Aplikacja z ostatniego uruchomienia komputera, bo nie wiedziałem, o które chodzi. Dodaję jeszcze zdarzenia administracyjne.

Napisałem, że sprawdzanie dysku nie powiodło się... Przez 2 sekundy widniał jakiś komunikat, którego nie dało się przeczytać w tak krótkim czasie i system się uruchomił. Dlatego w skopiowanych danych nie ma rekordu ze sprawdzania dysku. Liczyłem jednak, że któryś z rekordów zawiera opis tego błędu, który spowodował, że sprawdzanie dysku nie zostało wykonane.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...