Wyskakujące reklamy

krismen1 · 19 Grudnia 2014

Witam, od jakiegoś czasu w przeglądarce firefox samoczynnie otwierają mi się niepożądane strony z reklamami, avast co chwilę krzyczy że strona jest niebezpieczna i blokuje je. W google chrome zmieniła mi się strona startowa. Proszę o pomoc.

Extras.Txt

Shortcut.txt

Addition.txt

FRST.txt

OTL.Txt

Rucek · 19 Grudnia 2014

sprobuj jeszcze zrobic log GMER. Może sie przydac. Tutaj masz instrukcje: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?do=findComment&comment=318

picasso · 20 Grudnia 2014

Problem powoduje adware Click Caption 1.10.0.4. I użyłeś jakiś podejrzany pseudo-instalator TreeSize Free 2.7.0.168.exe bez opisu producenta - ten plik wcale nie wygląda na oryginalny instalator tylko na jakiś "downloader" pobrany z któregoś portalu lub innego nieautoryzowanego źródła. Ze strony domowej programu jest pobierany całkiem inny plik TreeSizeFreeSetup.exe sygnowany przez "JAM Software", a wersja programu nowsza.

2014-12-13 20:30 - 2014-12-13 20:30 - 00000000 ____D () C:\Program Files\ClickCaption_1.10.0.4

2014-12-12 16:38 - 2014-12-12 16:40 - 00705872 _____ ( ) C:\Documents and Settings\Krzysztof\Pulpit\TreeSize Free 2.7.0.168.exe

Są też w systemie inne problemy, np.:

- Znaki uszkodzenia systemowego WMI obrazowane poniższymi błędami w Dzienniku zdarzeń:

Error: (12/19/2014 06:57:07 PM) (Source: SecurityCenter) (EventID: 1802) (User: )
Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy.
 

Error: (12/19/2014 06:57:07 PM) (Source: WinMgmt) (EventID: 28) (User: )

Description: Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci.

- Nie widać w ogóle zainstalowanego Acronis, a jego sterowniki pracują pełną parą. Sterowniki filtrują dysk twardy i nie można ich usunąć "z biegu" bez zdjęcia filtrów, gdyż w przeciwnym wypadku Windows się już nie uruchomi.

Przeprowadź następujące działania:

1. Przez Dodaj/Usuń programy odinstaluj:

- Adware: Click Caption 1.10.0.4, Reputation Advisor.

- Stare wersje Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 51, OpenOffice.org 2.4 i problematyczny firewall NVIDIA ForceWare Network Access Manager.

Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis sysTPL > Dalej.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1418499046&from=cor&uid=ST3160815AS_5RA2LWHWXXXX5RA2LWHW
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418499046&from=cor&uid=ST3160815AS_5RA2LWHWXXXX5RA2LWHW"
CHR DefaultSearchKeyword: Default -> omiga-plus
CHR HKLM\...\Chrome\Extension: [bjfjckelkjhfgamlmipgdaklofacegaa] - C:\Program Files\maucampo\bjfjckelkjhfgamlmipgdaklofacegaa.crx [Not Found]
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\omiga-plus.xml
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files\RelevantKnowledge\firefox
ProxyServer: [s-1-5-21-796845957-1677128483-725345543-1003] => http=127.0.0.1:8877
HKU\S-1-5-21-796845957-1677128483-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-796845957-1677128483-725345543-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-796845957-1677128483-725345543-1003 -> {AE70BAA0-210B-41B8-BA25-FB8E96305663} URL = http://szukaj.gazeta.pl/portalSearch.do?s.si(navigation).navigationEnabled=true&s.sm.query={searchTerms}
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll No File
BHO: AcroIEToolbarHelper Class -> {AE7CD045-E861-484f-8273-0445EE161910} -> C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll No File
Toolbar: HKLM - Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File
Toolbar: HKU\.DEFAULT -> Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File
Toolbar: HKU\S-1-5-21-796845957-1677128483-725345543-1003 -> Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File
CustomCLSID: HKU\S-1-5-21-796845957-1677128483-725345543-1003_Classes\CLSID\{33370786-2876-5ab2-8da1-2c63f8dadfc1}\InprocServer32 -> C:\Program Files\VDownloader\Addons\npVDownloader.dll No File
HKLM\...\Run: [] => [X]
HKLM\...\Run: [WebEasyMail] => C:\WINWEB~1\easymail.exe -src
HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u
HKLM\...\Run: [unlockerAssistant] => "C:\Program Files\Unlocker\UnlockerAssistant.exe"
HKU\S-1-5-21-796845957-1677128483-725345543-1003\...\Run: [NetLimiter] => C:\Program Files\NetLimiter 3\NLClientApp.exe /tray
S3 Bcim; system32\DRIVERS\bcim.sys [X]
S4 InCDFs; system32\drivers\InCDFs.sys [X]
S1 InCDPass; system32\drivers\InCDPass.sys [X]
S1 InCDRm; system32\drivers\InCDRm.sys [X]
S3 LVUSBSta; system32\drivers\lvusbsta.sys [X]
S3 NLNdisMP; system32\DRIVERS\nlndis.sys [X]
S3 NLNdisPT; system32\DRIVERS\nlndis.sys [X]
S3 pepifilter; system32\DRIVERS\lv302af.sys [X]
S3 PID_08A0; system32\DRIVERS\LV302AV.SYS [X]
S3 WFLR6654; system32\drivers\wfeaglxt.sys [X]
C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Lite
C:\Documents and Settings\All Users\Dane aplikacji\DBC2F6FD-3140-41E0-A2A1-D6BAB77D5E21__F893F7CA-8278-41DF-A76F-CAF0437A90CD__
C:\Documents and Settings\All Users\Dane aplikacji\Temp
C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software
C:\Documents and Settings\Krzysztof\Dane aplikacji\avidemux
C:\Documents and Settings\Krzysztof\Dane aplikacji\BITS
C:\Documents and Settings\Krzysztof\Dane aplikacji\DAEMON Tools Lite
C:\Documents and Settings\Krzysztof\Dane aplikacji\DBC2F6FD-3140-41E0-A2A1-D6BAB77D5E21__F893F7CA-8278-41DF-A76F-CAF0437A90CD__
C:\Documents and Settings\Krzysztof\Dane aplikacji\DVDVideoSoft
C:\Documents and Settings\Krzysztof\Dane aplikacji\EurekaLog
C:\Documents and Settings\Krzysztof\Dane aplikacji\FlashgetSetup
C:\Documents and Settings\Krzysztof\Dane aplikacji\PowerCinema
C:\Documents and Settings\Krzysztof\Dane aplikacji\TeamViewer
C:\Documents and Settings\Krzysztof\Dane aplikacji\TuneUp Software
C:\Documents and Settings\Krzysztof\Dane aplikacji\XMedia Recode
C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences
C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\Documents and Settings\Krzysztof\Pulpit\TreeSize Free 2.7.0.168.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{540D60F3-67BD-4C49-A199-B1775CC39844}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{900906EF-3D34-4D7D-8870-8B62C49DA2A8}" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} /s
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /s
CMD: netsh firewall reset
CMD: net stop WinMgmt
C:\WINDOWS\system32\wbem\Repository
CMD: dir /a "C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji"
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Specjalny skrót Internet Explorer jest uszkodzony (pewnie AdwCleaner go niepoprawnie czyścił):

Shortcut: C:\Documents and Settings\Krzysztof\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Krzysztof\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

4. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie SeoQuake trzeba będzie przeinstalować.

5. W Google Chrome:

Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączne (ręcznie aktywuj).
Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy isearch.omiga-plus.com (o ile nadal będzie widoczne).
Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

krismen1 · 20 Grudnia 2014

Wszystko zrobiłem i chyba jest OK ale jest problem z MicrosoftFixit. Otrzymuję komunikat: Narzędzie do rozwiązywania problemów wykryło nieoczekiwany błąd i nie może kontynuować. Nowe logi w załączeniu.