Reklamy przekierowujące m.in. smartnewtab, onclickads

[kaam]

Witam,

 

Mam problem z jakże powszechnymi reklamami przekierowującymi.

Do usunięcia próbowałem różnych programów. Nic nie podziałało.

Nie wiem czy to ten sam wirus ale Malwarebytes Anti Malware nie instaluje się... "Could not call proc."

 

Z góry dziękuję.

 

EDIT: Update'owałem logi. (2016-01-30 09:35)

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Raport FRST nie został skonfigurowany wg wytycznych - opcje "List BCD" + "Drivers MD5" nie miały być zaznaczone.

Wiele problemów. Po pierwsze ustawione proxy. Po drugie cała przeglądarka Google Chrome jest zmodyfikowana, przekształcona w wersję typu "development" i konieczna reinstalacja przeglądarki od zera. Próbując rozwiązć problem posługiwałeś się wątpliwymi skanerami SpyHunter i YAC.

Działania do przeprowadzenia:

1. Odinstaluj:
- Adware/PUP: MyBestOffersToday 005.014010221, Registry Reviver, Setup, WarThunder.
- Stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 18 NPAPI, Adobe Flash Player 20 PPAPI, Adobe Reader 9.5.0 - Polish, Akamai NetSession Interface, Java 8 Update 25 (64-bit), Java 8 Update 25, Java 8 Update 31 (64-bit), Java 8 Update 31, Spybot - Search & Destroy, SUPERAntiSpyware.

2. Akcje tyczące Google Chrome:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.

Na razie nie instaluj Google Chrome, gdyż skrypt poniżej doczyści elementy przeglądarki.

3. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
Task: {2F0A17E4-7353-4EBE-8B2F-39977FAEB8A5} - System32\Tasks\{84DE5E78-64CC-4A0D-92B7-88D961F5C156} => pcalua.exe -a F:\Setup.now.exe -d F:\
Task: {406C6749-7890-4CC4-9DB1-353B06E95C66} - System32\Tasks\WarThunder24 => Chrome.exe hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy?click_id=zytDtB0BtAyE0A0EtB0E0BzytA0FtB0C2RtBtDtCyCtDtCtBzytCtBtCzzyEyCtDyEyD Task: {43FA161D-F091-4096-A03E-DAC574D8402C} - System32\Tasks\{467EDC5A-3E11-463C-B245-C79B5C9F97AA} => pcalua.exe -a C:\Users\KAAM\Desktop\RTLTOOL\WIN7\64\EXE\RtlStartInstall.exe -d C:\Users\KAAM\Desktop\RTLTOOL\WIN7\64\EXE
Task: {5A686041-99BA-457F-932C-933623B753DB} - System32\Tasks\{BEE96EE5-2A4D-4132-9013-52A9A02C10E8} => pcalua.exe -a "D:\Program Files (x86)\Raggot\wormsarm\RegSetup.exe" -d "D:\Program Files (x86)\Raggot\wormsarm"
Task: {62448B39-897E-4B62-A52E-26D9E879064E} - System32\Tasks\{1488BBFF-48DE-470A-9A0C-09CC17C389C2} => pcalua.exe -a "D:\Program Files (x86)\IxGxI\IGI 2 PL[ExtremeB14]\Project IGI 2-CovertStrike.exe" -d "D:\Program Files (x86)\IxGxI\IGI 2 PL[ExtremeB14]"
Task: {8D50850F-5A7C-4F88-A104-7E7C221CAFCF} - System32\Tasks\WarThunder sat => Chrome.exe hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy?click_id=zytDtB0BtAyE0A0EtB0E0BzytA0FtB0C2RtBtDtCyCtDtCtBzytCtBtCzzyEyCtDyEyD Task: {BCAB20DE-C253-490E-A08F-C9C63B2EE8E9} - System32\Tasks\WarThunder sun => Chrome.exe hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy?click_id=zytDtB0BtAyE0A0EtB0E0BzytA0FtB0C2RtBtDtCyCtDtCtBzytCtBtCzzyEyCtDyEyD Task: {BFA8EEAE-86B3-4A65-B030-6C46FD839053} - System32\Tasks\{E9768EB2-1BEC-4648-9E72-6992B17621BF} => pcalua.exe -a F:\DOW_DC\directx\dxsetup.exe -d F:\DOW_DC\directx
Task: {CADC321B-FCB3-43C9-B0D0-545209BF438A} - System32\Tasks\{932B773E-958E-4F65-8308-9FCDB155739A} => pcalua.exe -a "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen\Spellforce 2_1.2a-1.2_poprawka.exe" -d "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen"
Task: {E6E9DC69-AB39-4708-8129-B7EE309B59BA} - System32\Tasks\{A7887154-DFE0-4FFC-8E1A-EE7427B7F116} => pcalua.exe -a "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen\base\data\Spellforce 2_1.2a-1.2_poprawka.exe" -d "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen\base\data"
HKLM-x32\...\RunOnce: [upmbot_be_014010221.exe] => C:\Users\KAAM\AppData\Local\mbot_be_014010221\upmbot_be_014010221.exe [3278000 2016-01-28] ()
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
BootExecute: autocheck autochk * BootDefrag.exesdnclean64.exe
R1 DMProtect; C:\Windows\System32\DRIVERS\DMProtect64.sys [28416 2015-07-10] ()
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-21] ()
U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [24688 2016-01-25] ()
U2 ADSafeSvc; no ImagePath
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 TEAM; system32\DRIVERS\RtTeam60.sys [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\TsNetHlpX64.sys [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = google.pl
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = google.pl
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = google.pl
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-4156027226-2253448997-1576552463-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-4156027226-2253448997-1576552463-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Google.pl
HKU\S-1-5-21-4156027226-2253448997-1576552463-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL =
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4156027226-2253448997-1576552463-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-4156027226-2253448997-1576552463-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Google\Chrome
DeleteKey: HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}
DeleteKey: HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mbot_be_014010221
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upmbot_be_014010221.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
RemoveDirectory: C:\AdwCleaner
C:\Program Files (x86)\Enigma Software Group
C:\Program Files (x86)\Google\Chrome
C:\Program Files (x86)\mbot_be_014010221
C:\Program Files\Common Files\AV\Spybot - Search and Destroy
C:\ProgramData\Malwarebytes
C:\ProgramData\RogueKiller
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\GameExplorer\{E3D0E901-E875-44B1-A0F7-52A589F0160C}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MYBESTOFFERSTODAY
C:\Users\KAAM\AppData\Local\Chromium
C:\Users\KAAM\AppData\Local\Google\Chrome
C:\Users\KAAM\AppData\Local\mbot_be_014010221
C:\Users\KAAM\AppData\Roaming\DiskDefrag
C:\Users\KAAM\AppData\Roaming\Mozilla
C:\Users\KAAM\AppData\Roaming\WarThunder
C:\Users\KAAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\.lnk
C:\Users\KAAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk
C:\Users\KAAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\WarThunder.lnk
C:\Users\KAAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk
C:\Users\KAAM\Desktop\Non-important Content\Adobe Reader 9.lnk
C:\Users\KAAM\Desktop\Non-important Content\Kaam - Chrome.lnk
C:\Users\KAAM\Desktop\Non-important Content\Osoba 1 - Chrome.lnk
C:\Users\KAAM\Desktop\Non-important Content\* (*).lnk
C:\Users\KAAM\Downloads\adwcleaner*.exe
C:\Users\KAAM\Downloads\ExecutionGuard.zip
C:\Users\KAAM\Downloads\Malwarebytes Anti-Malware Premium 2.0.2.1012   Key.rar
C:\Users\KAAM\Downloads\Spy*.*
C:\Users\KAAM\Links\Desktop (2).lnk
C:\Users\KAAM\Links\Desktop (3).lnk
C:\Users\Public\Desktop\Post Win10 Spybot-install.exe
C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
C:\Windows\system32\ExecutionGuard.dll
C:\Windows\system32\log
C:\Windows\system32\drivers\DMProtect64.sys
C:\Windows\system32\drivers\EsgScanner.sys
C:\Windows\system32\drivers\iSafeKrnlBoot.sys
C:\Windows\system32\drivers\TrueSight.sys
C:\Windows\system32\drivers\etc\hosts*.backup
CMD: netsh advfirewall reset
Hosts:
RemoveProxy:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

C:\Users\KAAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[kaam]

Dzięki za odpowiedź picasso. Niestety podczas wykonywania fix'a dostaje bluescreen'a.

[picasso]

Wejdź w Tryb awaryjny Windows i ponów zadanie ze skryptem FRST.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso