Reklamy otwierające się w nowych kartach

[AvatarXs]

posiadam komputer z systemem win 8 . od kilku dni pojawiaja sie denerwujace reklamy w nowych kartach po kliknięciu na jakikolwiek element na stronie interenetowej , jak i na samych stronach . w menadzerze zadań pojawiło sie kilka dziwnych procesów . zmieniła mi sie też domyslna wyszukiwarka na "DealWifi" oraz "yeasearch" oraz "mystart" jak cos wyszukam wlaczaja i ładuja sie one po koleji . już kiedyś miałem podobne problemy , najwyrażniej mam pecha do złośliwych oprogramowań z góry dziękuje za pomoc.

FRST.txt

Gmer.txt

Shortcut.txt

Addition.txt

[picasso]

Jesteś już tu po raz drugi z podobnymi problemami. Do czytania na co uważać: KLIK.

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware thirteen degrees, yessearches Uninstall.

 

2. Wyczyść Google Chrome z adware:

• Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut.

[AvatarXs]

nie moge odinstalować thirteen degrees bo nie ma go tam.  yesssearches odinstalowałem . mógłbym zrobic nowe logi gdyż te zamieszczone powyżej maja ok dwa tygodnie.antywirus ciągle pokazuje komunikaty o wirusie artemis oraz generic.

FRST.txt

Addition.txt

[picasso]

Sytuacja się zmieniła, pojawiły się nowe (liczne) obiekty adware/PUP.... Kolejna porcja zadań do przeprowadzenia:

 

1. Deinstalacje:

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Amazon Assistant, CleanBrowser, comoBoss version 1.1, eBay Worldwide, Hostify version 1.1, KokoMoss version 1.1, SafeFinder, SpaceSoundPro, sunnyday version 1.1, WizzWifiHotspot version 1.0, YellowSend. Jeśli coś będzie niewidoczne lub zwróci błąd, nie szkodzi, kontynuuj.

- Wejdź do folderu C:\Program Files (x86)\MPC Cleaner, wyszukaj deinstalator, z prawokliku na plik "Uruchom jako Administrator".

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs,
HKLM-x32\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs, [X]
AppInit_DLLs: C:\ProgramData\xedmal\Qvoin.dll => C:\ProgramData\xedmal\Qvoin.dll [363520 2016-03-31] ()
AppInit_DLLs-x32: C:\ProgramData\xedmal\Aptax.dll => C:\ProgramData\xedmal\Aptax.dll [257536 2016-03-31] ()
HKLM\...\Run: [spaceSoundPro] => C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe [4203520 2015-08-03] (Space Sound Pro)
HKLM\...\Run: [WINCOMCDX] => C:\Program Files (x86)\sunnyday\wincom_CDX.exe [4050432 2016-03-31] ()
HKLM-x32\...\Run: [ic-0.89cd042281bce.exe -start] => C:\Users\jan\AppData\Local\Temp\349010750\ic-0.89cd042281bce.exe [2289664 2016-03-29] () 
HKLM-x32\...\Run: [comoBoss] => C:\Program Files (x86)\comoBoss\comowin.exe [4050432 2016-03-30] ()
HKLM-x32\...\Run: [KokoMoss] => C:\Program Files (x86)\KokoMoss\comowin.exe [4050432 2016-03-30] ()
HKLM-x32\...\Run: [WizzWifiHotspot] => C:\Program Files (x86)\WizzWifiHotspot\WizzWifiHotspot.exe [2814464 2016-03-31] (Wizzlabs)
HKLM\...\RunOnce: [WINDOWS_SCREEN_MANAGER_UPDATER_1] => C:\Program Files\Windows Screen Manager\Windows screen manage updater.exe [16896 2016-03-31] (Wizzservices)
Task: {54B821A7-135F-4B4F-9080-4D8944094DC3} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-29] ()
S2 ggbugreport; C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe [1609280 2016-03-29] ()
R2 ktip; C:\Program Files\ktip\ktip.exe [383488 2016-03-31] () [brak podpisu cyfrowego]
S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316472 2016-03-29] ()
R2 wucotusy; C:\Program Files (x86)\158ACBD8-1459263401-1520-0220-181505000000\hnsyDAE0.tmp [416256 2016-03-29] () [brak podpisu cyfrowego]
S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a
S2 gerocyni; C:\Program Files (x86)\158ACBD8-1459263401-1520-0220-181505000000\jnsuC468.tmp [X]
S2 Konksolex; C:\ProgramData\\Konksolex\\Konksolex.exe shuz -f "C:\ProgramData\\Konksolex\\Konksolex.dat" -l -a
S2 Update thirteen degrees; "C:\Program Files (x86)\thirteen degrees\updatethirteendegrees.exe" [X]
S2 xedmal; C:\ProgramData\\xedmal\\xedmal.exe -f "C:\ProgramData\\xedmal\\xedmal.dat" -l -a
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms}
HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms}
HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {3672D504-4E65-4A9B-8153-E40B027FA20E} URL =
SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {B3B3A6AC-74EC-BD56-BCDB-EFA4799FB9DF} URL = hxxps://www.amazon.com/gp/bit/amazonserp/ref=bit_bds-p17_serp_ie_us_display?ie=UTF8&tagbase=bds-p17&tbrId=v1_abb-channel-17_452e4d2b_1201_1403_20160403_PL_ie_ds_&tag=bds-p17-serp-us-ie-20&query={searchTerms}
SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1459263684&z=8615b469c448d63d1b3c355g3zdw7tco9q1c1q7b7z&from=cmi&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H
ShortcutWithArgument: C:\Users\jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Public\Desktop\Assassin's Creed IV - Black Flag.lnk -> C:\Games\Assassin's Creed IV - Black Flag\Launcher.exe () -> hxxp://www.istartpageing.com/?type=sc&ts=1459263684&z=8615b469c448d63d1b3c355g3zdw7tco9q1c1q7b7z&from=cmi&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H
CHR HomePage: Default -> amazon.com/websearch/?ie=UTF8__PARAM__
CHR StartupUrls: Default -> "search.mpc.am"
CHR HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ooebgdicanjhnamfmdlmlbcnkgehkkmf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam] - hxxps://clients2.google.com/service/update2/crx
C:\extensions
C:\Program Files\ktip
C:\Program Files\SpaceSoundPro
C:\Program Files\Windows Screen Manager
C:\Program Files (x86)\158ACBD8-1459263401-1520-0220-181505000000
C:\Program Files (x86)\CleanBrowser
C:\Program Files (x86)\Hostify
C:\Program Files (x86)\mpck_en_005030282
C:\Program Files (x86)\comoBoss
C:\Program Files (x86)\KokoMoss
C:\Program Files (x86)\sunnyday
C:\Program Files (x86)\WizzWifiHotspot
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\Konksolex
C:\ProgramData\Konksolexs
C:\ProgramData\CloudPrinter
C:\ProgramData\Tencent
C:\ProgramData\Thunder Network
C:\ProgramData\xedmal
C:\ProgramData\xedmals
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
C:\Program Files (x86)\SearchesToYesbnd
C:\Program Files (x86)\thirteen degrees
C:\Program Files (x86)\Winsere
C:\Program Files (x86)\WinTaske
C:\Users\jan\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
C:\Users\jan\AppData\Local\app
C:\Users\jan\AppData\Local\csdi_monetize_120160330
C:\Users\jan\AppData\Local\tuto_monetize_220160330
C:\Users\jan\AppData\Local\tuto_monetize_120160330
C:\Users\jan\AppData\Local\csdi_monetize_220160330
C:\Users\jan\AppData\Roaming\*.*
C:\Users\jan\AppData\Roaming\istartpageing
C:\Users\jan\AppData\Roaming\MCorp
C:\Users\jan\AppData\Roaming\Mozilla
C:\Users\jan\AppData\Roaming\Shortcut
C:\Users\jan\AppData\Roaming\YSPackage
C:\Users\jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0
C:\Users\jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YSPackage
C:\Users\Public\Thunder Network
Folder: C:\Users\Public\Documents\dmp
C:\Users\Public\Documents\dmp
C:\WINDOWS\run.vbs
C:\WINDOWS\system32\Drivers\etc\hp.bak
C:\WINDOWS\SysWOW64\findit.xml
Hosts:
CMD: netsh advfirewall reset
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

[AvatarXs]

cleanbrowser nie chce sie odinstalować . po włączeniu komputera juz sie NIE włączyły liczne dziwne procesy lecz w przeglądarce co jakiś czas ponownie włączają się reklamy w nowych kartach

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Po wstępnym czyszczeniu sytuacja wygląda o niebo lepiej. Nie włączyły się, gdyż usunęłam wpisy startowe. Było też spodziewane, że proces czyszczenia będzie wieloetapowy. Kolejna porcja działań:

 

1. W Google Chrome: Ustawienia > karta Ustawienia > Osoby > załóż nowy profil przeglądarki, zaloguj się na niego, a poprzednią Osobę usuń.

 

2. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> DefaultScope {3672D504-4E65-4A9B-8153-E40B027FA20E} URL =
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CleanBrowser
RemoveDirectory: C:\Program Files (x86)\MPC Cleaner
RemoveDirectory: C:\FRST\Quarantine
CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk"
CMD: del /q C:\Users\jan\Downloads\42wd5w3s.exe
CMD: del /q C:\Users\jan\Downloads\kbirh3qo.exe
CMD: del /q C:\Users\jan\Downloads\no0pol8z.exe
CMD: del /q C:\Users\jan\Downloads\uk50tbun.exe
CMD: del /q C:\Users\jan\Downloads\zsvprdjy.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

 

Opisz czy nadal w przeglądarce (i której) pojawiają się reklamy.

[AvatarXs]

pojawił sie jeden komunikat (po skopiowaniu i kliknięciu napraw w frst) o wirusie artemis.

Fixlog.txt

AdwCleanerS1.txt

[AvatarXs]

na razie nie zaobserwowałem reklam ( w chrome)

[picasso]

AdwCleaner znalazł jeszcze drobne szczątki adware. Uruchom go ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń, dostarcz wynikowy log z usuwania.

[AvatarXs]

mam jeden problem , od ostatniej naprawy nie mam ZADNYCH dźwięków w steam i wszystkich grach na tej platformie ORAZ NA DYSKU . zreinstalowałem i steama i gry na steamie i nic nie działa  

AdwCleanerC1.txt

[picasso]

AdwCleaner wykonał zadanie. Natomiast:

 

 

od ostatniej naprawy nie mam ZADNYCH dźwięków w steam i wszystkich grach na tej platformie ORAZ NA DYSKU . zreinstalowałem i steama i gry na steamie i nic nie działa

Naprawa nie grzebała w tym obszarze (a usuwane obiekty o nazwie "SpaceSoundPro" to adware, a nie komponenty dźwiękowe). Klawisz z flagą Windows + X > Menedżer urządzeń > odinstaluj urządzenia związane z dźwiękiem i zresetuj komputer. Windows powinien przebudować je od nowa. Podaj czy pojawiły się pożądane zmiany.

[AvatarXs]

zanim zobaczyłem powyższą odpowiedź odinstalowałem i zainstalowałem nowsze sterowniki realtec w prawie wszystko działa oprócz rozmowy na czacie na steamie . i jeszcze raz dziekuje za pomoc .

[picasso]

Jeśli chodzi o czyszczenie systemu, to standardowe kroki do wykonania:

 

Usuń z Pulpitu folder frst. Następnie użyj narzędzie DelFix, a po tym wyczyść foldery Przywracania systemu: KLIK.