Denerwujący atak reklam Quick shop

[kliszka]

Witam , kiedy dzisiaj włączyłem komputer byłem w ...szoku .Każda przeglądarka została zasypana złośliwymi reklamami .Pomimo zainstalowanej wtyczki AdBlock-a i programu Malwarebytes Anti-Malware Premium jestem bezsilny..Podejrzewam ingerencję moich córek które musiały coś przywlec z internetu...Mój system to Windows 7 Home Premium 64 bit.

Dodaję logi :

 

Online Advertising Support - to strona która otwiera się na najechaniu kursorem myszy na wymienianą reklamę . W dodatkach/rozszerzeniach przeglądarek które posiadam( Google Chrome , Firefox) nie posiadam wymienionego śmiecia...byłbym wdzięczny za okazaną pomoc.

Shortcut.txt

FRST.txt

Addition.txt

[kliszka]

Temat do zamknięcia - jakoś od biedy dałem sobie radę  choć liczyłem na Waszą pomoc..

[picasso]

kliszka, do wglądu zasady działu na temat oczekiwania na odpowiedź. Jestem jedyną osobą autoryzowaną do prowadzenia pomocy, a gdy mnie nie ma lub nie jestem w stanie zająć się tematem, temat jest przetwarzany nie natychmiastowo.

 

Proszę opisz co dokładnie zrobiłeś oraz zrób nowe logi FRST (wszystkie trzy) mające przedstawić zaistniałe zmiany.

[kliszka]

Wiem, nie chciałem nikogo urazić ...po oczyszczeniu komputera AdwCleaner-em  i wstawieniu logów FIRST na forum dobreprogramy.pl otrzymałem pomoc. Ponieważ darzę Twoją osobę szacunkiem zamieszczam logi:

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Na przyszłość podawaj link do alternatywnego tematu, bym nie musiała wyszukiwać. Temat jest tu: KLIK.

 

Widzę, że posługiwałeś się wątpliwym skanerem SpyHunter - z daleka od tego reklamiarza. Czyszczenie na tamtym forum było niedokładne (nie sprawdzono też wyników Fixlog). Po pierwsze metoda usuwania rozszerzeń adware z przeglądarek nie gwarantująca ich pełnego usunięcia (kasowanie folderu Chrome z dysku NIE usuwa w pełni rozszerzenia). Po drugie nie zostały zlikwidowane wszystkie skutki infekcji adware - zostałeś z przeglądarką Google Chrome przekonwertowaną przez adware z wersji stabilnej do developerskiej. To oznacza otwarcie na adware w przyszłości, Chrome nie zablokuje niepożądanych operacji (blokada jest tylko w wersji stabilnej). Konieczna całkowita reinstalacja przeglądarki.

 

Chrome:

=======

CHR dev: Chrome dev build detected!

 

Przy okazji, była tam próba usuwania poniższego nieszkodliwego elementu DAEMON Tools, próba się nie udała tylko nie było Fixlog to dowodującego. To produkt aktywności sterownika SPTD emulacji. Sterownik (mający jako "producenta" zawsze nazwę związaną z kontrolerem dysku = tu AMD) jest losowy i zmienia nazwy przy każdym restarcie systemu. Nie da się go "usunąć" - on zniknie w pełni po całkowitym ubiciu emulatora SPTD. I nic z tym nie trzeba robić, dopóki działa DAEMON Tools.

 

U3 aot7jlil; C:\Windows\System32\Drivers\aot7jlil.sys [0 ] (Advanced Micro Devices)

 

Obecnie w systemie już inna nazwa:

 

U3 a6grwy0i; C:\Windows\System32\Drivers\a6grwy0i.sys [0 ] (Advanced Micro Devices)

 

 

---

Działania poprawkowe pod kątem Google oraz wpisów odpadkowych / po odinstalowanych programach:

 

1. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {04B578FB-6C1C-4A41-B1C9-6DCAB5DF1AB0} - System32\Tasks\{024B06CC-9D95-449F-87E7-E9EB4C4D8F7D} => msiexec.exe /package "C:\Users\Piotrek\Downloads\Windows Defender 1.1.1593.0 PL .msi"
Task: {29094F0F-38A3-49DA-BC19-FA79E38CC45B} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe
Task: {2F175C2D-0D98-46EC-B3ED-50EAD4E3A286} - System32\Tasks\{A3205480-6B17-4F84-B31F-66365B9C92EA} => msiexec.exe /package "C:\Users\Piotrek\Downloads\Windows Defender 1.1.1593.0 PL .msi"
Task: {536E7D1A-89B8-49D6-BD25-4A5BC37BE198} - System32\Tasks\{5E2A602B-0F31-4961-AFAE-A029D4FD2DFA} => msiexec.exe /package "C:\Users\Piotrek\Downloads\WindowsDefender(dobreprogramy.pl).msi"
Task: {5516E73D-E346-4FAB-93F9-2739A2B5F09C} - System32\Tasks\Driver Booster SkipUAC (Piotrek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {6DA73A18-D9B6-485C-AD21-BDC19157EE46} - System32\Tasks\{5C676BB8-A143-4A65-8D47-F92CD6FD8EC5} => msiexec.exe /package "C:\Users\Piotrek\Downloads\WindowsDefender(dobreprogramy.pl).msi"
Task: {E9AA4610-4FD4-4045-AC0D-E6EDA0039ACD} - System32\Tasks\{1C89FACA-BF17-4C90-8389-872C16B8D186} => msiexec.exe /package "C:\Users\Piotrek\Desktop\Windows Defender 1.1.1593.0 PL .msi"
Task: {EE521B9C-6E14-4EF2-89E6-D3A4584BBA7F} - System32\Tasks\{64EB8821-2CF0-4307-BEB4-6F8A26CD8960} => pcalua.exe -a C:\Users\Piotrek\Downloads\DC3Setup_33(dobreprogramy.pl)\setup.exe -d C:\Users\Piotrek\Downloads\DC3Setup_33(dobreprogramy.pl)
BootExecute:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
C:\Program Files (x86)\Google
C:\ProgramData\Freemake
C:\ProgramData\install_clap
C:\ProgramData\IObit
C:\ProgramData\Temp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HTC Home
C:\Users\Piotrek\AppData\Local\Google
C:\Users\Piotrek\AppData\Local\WorldofTanks
C:\Users\Piotrek\AppData\Local\Zemana
C:\Users\Piotrek\AppData\Roaming\snotebook 2.0.exe
C:\Users\Piotrek\AppData\Roaming\16487
C:\Users\Piotrek\AppData\Roaming\Foxmail7
C:\Users\Piotrek\AppData\Roaming\gBurner
C:\Users\Piotrek\AppData\Roaming\IObit
C:\Users\Piotrek\AppData\Roaming\Tencent
C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Bat!.LNK
C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam
C:\Users\Piotrek\Start Menu\Programs\SpyHunter
C:\Windows\SysWOW64\ZALSDKCore.dll
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: dir /a C:\Users\Piotrek
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony specjalny skrót Internet Explorer:

 

Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK (wersję 32-bit lub 64-bit, do wyboru).

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[kliszka]

Wielkie THX za wskazówki ,co do programu SpyHunter - podczas instalacji usunąłem to ścierwo...tonący brzytwy się chwyta. Przeglądając różne strony (polskie ,anglojęzyczne itp.) natrafiłem na to cudeńko ,lecz już podczas instalacji wiedziałem ,że to POMYŁKA. Już się biorę do pracy ,za momencik będą logi

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[picasso]

Zadania pomyślnie wykonane. Google Chrome wygląda już poprawnie. Małe poprawki. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Users\Piotrek\Start Menu
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[kliszka]

Proszę ..

Fixlog.txt

[picasso]

Nowy skan FRST nie był mi potrzebny (usuwam), tylko plik fixlog.txt. Końcowe kroki:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Users\Piotrek\Start Menu

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nie muszę sprawdzać już wyników.

 

2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz w konfiguracji Google Chrome wyłącz wtyczkę Adobe Flash NPAPI Firefoxa: KLIK.

[kliszka]

co do  folderów Przywracania systemu - mógłbym prosić o łopatologiczne  instrukcje..bo mogę tego nie ogarnąć a nie chcę nic s...yć

[picasso]

Masz przecież w podanym linku cały opis z obrazkami: KLIK.

[kliszka]

Przepraszam..już się biorę do pracy