aron3423 Opublikowano 22 Marca 2015 Zgłoś Udostępnij Opublikowano 22 Marca 2015 Witam od dłuższego czasu nękają mnie przekierowania na offers by contex itp. Korzystam z google chrome, dodam że wyskakuje masa reklam uniemożliwiająca przeglądanie stron WWW. Adblock nie pomaga, Widziałem identyczny problem na tym forum z tym że rozwiązanie jest indywidualne więc bardzo proszę o pomoc.EDIT: proszę, wszystko jest Addition.txt FRST.txt Shortcut.txt gemr.txt Odnośnik do komentarza
picasso Opublikowano 6 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2015 W Google Chrome jest adware SourceApp (prawdopodobnie też drugie niewidoczne w raporcie), ale to nie jedyny problem w tej przeglądarce. Adware przekonwertowało całą przeglądarkę z wersji stabilnej do developerskiej i wymagana reinstalacja od zera. Akcje do przeprowadzenia: 1. W Google Chrome zresetuj synchronizację (o ile włączona): KLIK. Następnie odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie instaluj jeszcze Google Chrome, to zrobisz na końcu, gdy dam sygnał. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Worms Armageddon 3.7.0.0 [WinXP-7-8] [cd version].lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S1 CSN5PDTS82; System32\Drivers\CSN5PDTS82.sys [X] S1 CSN5PDTS82x64; System32\Drivers\CSN5PDTS82x64.sys [X] C:\ProgramData\{c6a70dd7-bc59-aa1c-c6a7-70dd7bc5375e} C:\ProgramData\15227642091045121029 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Program Files (x86)\Google C:\Program Files (x86)\Image Hover C:\Program Files (x86)\LighterGeneration C:\Users\eafae\AppData\Local\Google C:\Users\eafae\AppData\Roaming\appdataFr3.bin C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Windows\system32\bdsandboxuiskin32.dll Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
aron3423 Opublikowano 13 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2015 Załączam po wszystkich zaleceniach te dwa pliki. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 Wprawdzie poprzednie rzeczy usunięte, ale w logu nowe bardzo niekorzystne zmiany i nowa masowa infekcja adware... W tej sytuacji potrzebne mi są teraz także logi FRST Addition + Shortcut. Zrób je i dołącz. Odnośnik do komentarza
aron3423 Opublikowano 14 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 Załączam. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2015 Adware nabyłeś pobierając cracki do gier. To wszystko co poniżej wyliczone to nie są poprawne instalatory tylko downloadery ładujące adware - pomijając to, że w ogóle te pliki nie powinny być uruchamiane (to szkodniki i jest nikłe prawdopodobieństwo pobrania poprawnej docelowej kopii), to przy ich uruchamianiu raczej były dialogi na których można było odznaczyć instalację adware. To nie zostało zrobione, w konsekwencji w systemie katastrofa, te downloadery ładują mnóstwo inwazyjnych obiektów. ==================== One Month Created Files and Folders ======== 2015-04-02 17:42 - 2015-04-02 17:42 - 00689232 _____ (Navigation Co., Ltd.) C:\Users\eafae\Downloads\Bnd_200_262_201533_1844.exe 2015-04-02 17:35 - 2015-04-02 17:35 - 08410016 _____ (Beijing Fantasy Game Network Technology Co., Ltd.) C:\Users\eafae\Downloads\somont.exe 2015-04-02 17:33 - 2015-04-02 17:33 - 00670816 _____ (HTabp.com) C:\Users\eafae\Downloads\ex.exe 2015-04-02 17:28 - 2015-04-02 17:28 - 00463560 _____ () C:\Users\eafae\Downloads\tasktr__7214_il109297.exe 2015-04-01 20:57 - 2015-04-01 20:58 - 01576464 _____ (Dummy, Ltd.) C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics]_10924_i48843529_il345.exe 2015-04-01 20:51 - 2015-04-01 20:51 - 00460800 _____ () C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics].exe 2015-03-28 15:44 - 2015-03-28 15:44 - 01484304 _____ (Dummy, Ltd.) C:\Users\eafae\Downloads\Fallout 3 PC full game DLC nosTEAM_10924_i47627008_il345.exe Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware: ContentMirror, CuoupEExteNosiuon, Faster Chrome Pro, MyPC Backup, NNewSaver, RandoomPPricce, TheAdBlock, youtubeadblocker. Od razu też starą zbędną wersję (to jest wersja dla Firefox i innych produktów Mozilla): Adobe Flash Player 16 NPAPI. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.luckysearches.com/web/?type=dspp&ts=1427988844&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.luckysearches.com/web/?type=dspp&ts=1427988844&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} SearchScopes: HKLM -> DefaultScope {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?type=ds&ts=1427988833&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} SearchScopes: HKLM -> {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKLM-x32 -> DefaultScope {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?type=dspp&ts=1427988844&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} SearchScopes: HKLM-x32 -> {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> DefaultScope {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.luckysearches.com/?type=sc&ts=1427988803&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179 BHO: CuoupEExteNosiuon -> {5c772b28-da63-44d0-b7cc-573ad8eda1b7} -> C:\Program Files (x86)\CuoupEExteNosiuon\lqBsXcvnwpcQTE.x64.dll [2015-04-09] () BHO: youtubeadblocker -> {9957d186-7af3-4b08-8c82-6e0c8d0bdcf8} -> C:\Program Files (x86)\youtubeadblocker\WaXJH7oEyTFcZB.x64.dll [2015-04-01] () BHO: NNewSaver -> {9a26cc8c-a13b-4be9-a36a-08bf087fb8fa} -> C:\Program Files (x86)\NNewSaver\4LrzUq6ZnIdi5F.x64.dll [2015-04-09] () BHO: SAlePluiss -> {e99ade3a-fb0b-42bd-9cde-1292e99c2e7d} -> C:\Program Files (x86)\SAlePluiss\HD9xIdQ6jgaAV5.x64.dll [2015-04-01] () BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-03-16] (Thinknice Co. Limited) BHO-x32: CuoupEExteNosiuon -> {5c772b28-da63-44d0-b7cc-573ad8eda1b7} -> C:\Program Files (x86)\CuoupEExteNosiuon\lqBsXcvnwpcQTE.dll [2015-04-09] () BHO-x32: youtubeadblocker -> {9957d186-7af3-4b08-8c82-6e0c8d0bdcf8} -> C:\Program Files (x86)\youtubeadblocker\WaXJH7oEyTFcZB.dll [2015-04-01] () BHO-x32: NNewSaver -> {9a26cc8c-a13b-4be9-a36a-08bf087fb8fa} -> C:\Program Files (x86)\NNewSaver\4LrzUq6ZnIdi5F.dll [2015-04-09] () BHO-x32: SAlePluiss -> {e99ade3a-fb0b-42bd-9cde-1292e99c2e7d} -> C:\Program Files (x86)\SAlePluiss\HD9xIdQ6jgaAV5.dll [2015-04-01] () ShellIconOverlayIdentifiers: [ExplorerEx] -> {E056AFDD-03E9-4D73-8D33-8FCCBCA73438} => C:\Users\eafae\AppData\Roaming\Macwebtoise\explorerEx64.dll () Startup: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk Startup: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tasktr__7214_il109297.lnk Startup: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Test Drive Unlimited Gold [R.G Mechanics].lnk HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters). Task: {FC273C64-5B20-4D74-9DAF-2836C7690E46} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe [2014-11-25] (MyPC Backup) R2 82379c5f; c:\Program Files (x86)\SoftwareAssist\SoftwareAssist.dll [1625088 2015-04-02] () [File not signed] R2 BackupStack; C:\Program Files (x86)\MyPC Backup\BackupStack.exe [53832 2014-11-25] (Just Develop It) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158816 2015-03-16] (XTab system) R2 Sed; C:\Users\eafae\AppData\Roaming\ntsvc\ntsvc.exe [944184 2015-04-10] (Navigation Co., Ltd.) C:\Program Files\Bitdefender C:\Program Files\Common Files\Bitdefender C:\Program Files (x86)\CuoupEExteNosiuon C:\Program Files (x86)\Faster Chrome Pro C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\NNewSaver C:\Program Files (x86)\Opera C:\Program Files (x86)\RandoomPPricce C:\Program Files (x86)\SAlePluiss c:\Program Files (x86)\SoftwareAssist C:\Program Files (x86)\SystemMuscle C:\Program Files (x86)\UPCleaner C:\Program Files (x86)\XTab C:\Program Files (x86)\youtubeadblocker C:\ProgramData\1427396291.bdinstall.bin C:\ProgramData\{539d1ce0-9635-66e0-539d-d1ce09637382} C:\ProgramData\{a1ea5d08-0bb3-7f0c-a1ea-a5d080bb7420} C:\ProgramData\{bd984814-05cc-fe2a-bd98-8481405c2050} C:\ProgramData\{c5210046-4efe-624a-c521-100464ef0119} C:\ProgramData\BDLogging C:\ProgramData\eopfohhlindknnblhjplpohnmlecckii C:\ProgramData\IHProtectUpDate C:\ProgramData\okclledcblofbigbcaahjbfpegbgbfda C:\ProgramData\TheAdBlock C:\ProgramData\WindowsMangerProtect C:\Users\eafae\AppData\Local\Temp-log.txt C:\Users\eafae\AppData\Local\macasoft C:\Users\eafae\AppData\Local\Opera Software C:\Users\eafae\AppData\Roaming\EZDownloader C:\Users\eafae\AppData\Roaming\Macwebtoise C:\Users\eafae\AppData\Roaming\ntsvc C:\Users\eafae\AppData\Roaming\Opera Software C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup C:\Users\eafae\AppData\Roaming\QuickScan C:\Users\eafae\Desktop\MiniGet Smart Downloader.lnk C:\Users\eafae\Desktop\MyPC Backup.lnk C:\Users\eafae\Desktop\Sync Folder.lnk C:\Users\eafae\Downloads\Bnd_200_262_201533_1844.exe C:\Users\eafae\Downloads\ex.exe C:\Users\eafae\Downloads\Fallout 3 PC full game DLC nosTEAM_10924_i47627008_il345.exe C:\Users\eafae\Downloads\kurulum.exe C:\Users\eafae\Downloads\somont.exe C:\Users\eafae\Downloads\tasktr__7214_il109297.exe C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics].exe C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics]_10924_i48843529_il345.exe C:\Users\eafae\Downloads\Test-Drive-Unlimited---crack.rar C:\Users\eafae\Downloads\test_drive_unlimited_pl_patch_vistapl.zip C:\Users\eafae\Downloads\test_drive_u.rar C:\Users\eafae\Downloads\TEST.DRIVE.UNLIMITED.V1.66A.ALL.HATRED.NOCD.ZIP C:\Windows\system32\bdsandboxuh.dll C:\Windows\system32\bdsandboxuiskin.dll C:\Windows\system32\Drivers\avchv.sys C:\Windows\system32\Drivers\bdelam.sys C:\Windows\system32\Drivers\bdsandbox.sys C:\Windows\system32\Drivers\bdvedisk.sys C:\Windows\system32\Drivers\Msft_Kernel_avchv_01009.Wdf C:\Windows\SysWOW64\bdsandboxuiskin32.dll Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicy Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Worms Armageddon 3.7.0.0 [WinXP-7-8] [cd version].lnk" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Odnośnik do komentarza
aron3423 Opublikowano 15 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2015 Zrobione. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Wszystko wykonane. Kolejny krok do przeprowadzenia: Uruchom AdwCleaner. Wstępnie wybierz tylko opcję Szukaj i nic nie usuwaj, dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
aron3423 Opublikowano 16 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Gotowe AdwCleanerR1.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Uruchom ponownie AdwCleaner, zastosu po kolei opcje Szukaj i Usuń, pokaż wynikowy log C:\Adwcleaner\AdwCleaner[s1].txt. Odnośnik do komentarza
aron3423 Opublikowano 16 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Dodaję. AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Wykonane. Teraz: 1. usuń narzędzia za pomocą DelFix. 2. Zrób skan za pomocą Hitman Pro, nic nie usuwaj i dostarcz wyniki. Odnośnik do komentarza
aron3423 Opublikowano 16 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Gotowe.Rozumiem, że to wszystko i mogę zainstalować chrome? HitmanPro_20150416_2054.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się