Skocz do zawartości
PanTani

Mnóstwo reklam

Rekomendowane odpowiedzi

Brak trzeciego obowiązkowego raportu FRST Shortcut. Rozpocznij od poprawnych deinstalacji adware i programów, w drugiej fazie będą poprawki. Akcja:

 

1. Przez Panel sterowania odinstaluj:

- Adware: AppEnable, Search App by Ask, Yahoo! Search.

- Zbędniki i stare wersje: Adobe Shockwave Player 12.1, Akamai NetSession Interface, Google Toolbar for Internet Explorer, Java 8 Update 25.

 

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis McAfee Shared C Run-time for x64 > Dalej.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, by powstały trzy logi.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64; C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys [48776 2014-11-23] (StdLib)
R1 {150ca330-afd5-4527-99bc-b3ce918cea60}Gw64; C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys [48784 2014-11-26] (StdLib)
R1 {2fb2b93a-d824-4963-962b-e98da201096d}Gw64; C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys [48784 2014-11-26] (StdLib)
R1 {748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64; C:\Windows\System32\drivers\{748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64.sys [48784 2014-11-26] (StdLib)
R1 {d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64; C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys [48784 2014-11-28] (StdLib)
R1 {e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64; C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys [48784 2014-12-01] (StdLib)
R1 {efe93952-e041-4e49-a1cc-461436cf69d0}Gw64; C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys [48776 2014-11-23] (StdLib)
S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X]
S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X]
HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe
HKLM\...\Run: [Persistence] => C:\Windows\system32\igfxpers.exe
HKLM-x32\...\Run: [LManager] => [X]
HKU\S-1-5-21-730475293-231205452-1474613943-1005\...\Run: [Akamai NetSession Interface] => "C:\Users\Grzegorz\AppData\Local\Akamai\netsession_win.exe"
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b"
CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b"
CHR DefaultNewTabURL: Default -> http://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123
HKU\S-1-5-21-730475293-231205452-1474613943-1005\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na
SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> {193DCD88-88AA-484E-9293-6F5E0901F68F} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=432
SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> {F454C8FA-B4D2-43A0-BE74-37D7C3DAAA68} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=D47D5712-DF7A-4027-A0C1-BF20CB5E4010&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17344&doi=2014-11-02&trgb=IE&q={searchTerms}&psv=&pt=tb
Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
C:\Users\Grzegorz\WRInstallerEU.exe
C:\Users\Grzegorz\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Przemek\AppData\Local\Pay-By-Ads
C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys
C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys
C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys
C:\Windows\System32\drivers\{748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64.sys
C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys
C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys
C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome:

  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Są tu aż trzy konta:

 

==================== Accounts: =============================

 

Grzegorz (S-1-5-21-730475293-231205452-1474613943-1005 - Administrator - Enabled) => C:\Users\Grzegorz

Krzysztof (S-1-5-21-730475293-231205452-1474613943-1002 - Administrator - Enabled) => C:\Users\Krzysztof

Przemek (S-1-5-21-730475293-231205452-1474613943-1004 - Limited - Enabled) => C:\Users\Przemek

 

Dotychczas były sprawdzane raporty tylko z konta Grzegorz. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie Wyloguj czy Przełącz) i zrób nowy log FRST z opcji Scan. Na Grzegorzu bez Addition i Shortcut. Na reszcie z Addition, lecz bez Shortcut. Dołącz też plik fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Poprawki:

 

 

NA KONCIE GRZEGORZ:

 

Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

 

 

NA KONCIE PRZEMEK:

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-730475293-231205452-1474613943-1004\...\Run: [Yahoo! Search] => C:\Users\Przemek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe
HKU\S-1-5-21-730475293-231205452-1474613943-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com
SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> {40120E4C-A783-4A89-A0B2-F6AF237C7CBE} URL = http://rts.dsrlte.com/?q={searchTerms}&r=287
SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> {E3ED097E-F7FB-49C5-A7EB-B7341729A0AE} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=D47D5712-DF7A-4027-A0C1-BF20CB5E4010&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17344&doi=2014-11-02&trgb=IE&q={searchTerms}&psv=&pt=tb
Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} - No File
Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com"
CHR DefaultSearchKeyword: Default -> yahoo.com
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt.

 

2. W Google Chrome:

  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę adware Yahoo kierującą na adres rts.dsrlte.com oraz inne niedomyślne śmieci (o ile będą).
3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

Od Krzysztofa nie dodałem bo nie mam hasła do konta.

Na tym koncie prawdopodobnie też jest adware "Yahoo Search", a może i dodatkowe śmieci. Rozumiem, że to konto innego użytkownika. Czy jest szansa, że ta osoba dostarczy logi z tego konta?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ale Krzysztof to Twoje czy cudze konto? Na koncie Przemek już skończyliśmy, skasuj stamtąd FRST. Na koncie Grzegorz:

 

1. Miałeś wykonać:

 

Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).

AdwCleaner wskazuje, że to się nie stało. Skasuj z listy wyszukiwarkę adware Yahoo kierującą na adres rts.dsrlte.com.

 

2. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. Po czyszczeniu:

 

3. Do Notatnika wklej:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Krzysiek to mój szwagier a Grzesiek I Przemek to jego dzieci na feriach u wujka czyli u mnie :) Chce im trochę podreperować komputer za Twoim pośrednictwem :)

Czuję że mogłabyś dostać się do jego konta więc jak coś to śmiało przecież nic złego nie robimy.

 

To polecenie z usunięciem przeglądarki Yahoo wykonałem na obu kontach - http://screenshooter.net/101740371/hjrmcyj zaraz zrobię resztę i dokleje.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Czuję że mogłabyś dostać się do jego konta więc jak coś to śmiało przecież nic złego nie robimy.

To się wprawdzie da zrobić przez reset hasła z poziomu bootowalnej płyty, ale uważam, że operacja jest zbyt radykalna w kontekście zadania i to przy całkowitej niewiedzy co jest na tym koncie (może wcale nie być tam adware), narusza też prywatność cudzego konta. Lepiej byłoby gdyby to on samodzielnie się zalogował i dostarczył skany.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

http://wklej.org/id/1648607/ - FixLog

 

 

2. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. (...)

Z tej akcji program nie generuje żadnego loga ? Bo nie mogę go znaleźć.

 

Co do konta Krzyśka to musimy to odpuścić bo nie mamy z nim kontaktu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Raportu AdwCleaner brak, bo nie prosiłam już o niego i w skrypcie FRST zadałam usuwanie całego katalogu C:\AdwCleaner z logami i kwarantanną. Coś tu się jednak nie zgadza, FRST nie znalazł tego folderu, więc on musiał zostać usunięty w inny sposób - czy przypadkiem nie pomyliłeś się i użyłeś w AdwCleaner opcję Odinstaluj zamiast Usuń?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Tak, zgadza się pomieszałem coś w tym programem AdwCleaner. Na początku wcinęłem "guzik" Scan ( pierwszy lewy przycisk) a ja zakończył to wcisnęłem przycisk ostatni skrajny po prawej i to chyba był własnie uninstall. Między nimi były jeszcze jakieś "guziki" ale nie pamiętam ich z nazwy.Teraz jestem już u siebie w domu wiec nie mam dostępu do tego laptopa. Jutro poprawie jak coś zlecisz. 

 

Ponowić te działania:

 

2. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. Po czyszczeniu:

 

3. Do Notatnika wklej:

(...)

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

 

??

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W tej sytuacji ponów działania, ale skrypt do FRST ma mieć już inną postać:

 

RemoveDirectory: C:\AdwCleaner
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

MBAM wykrył drobny szczątek adware. Usunięty i OK.

 

Skasuj folder "FRST" z Pobranych. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

DelFix oraz przywracanie systemu zostało wykonane. Myślę że temat możemy zamykać bo logów z DelFixa nie uzyskam ponieważ chłopaki nie wiedzą gdzie są a ja już nie mam do ich laptopa dostępu. Jutro lub najpóźniej w poniedziałek dorzucę się skromnie do skarbonki - na konto bankowe.

Dziękuję za pomoc i Wszystkiego Dobrego ! 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...