Reklamy w przeglądarce oraz na Steam :(

LepszyOdCiebie · 26 Marca 2016

Cześć!

Mój problem dotyczy reklam, które włączają się w przeglądarce oraz w aplikacji Steam. Nie mam pojęcia skąd to pobrałem. Bardzo są one irytujące skanowałem ADWcleanerem i nic. Proszę o pomoc!

#EDIT: logi zrobiłem, ale tylko FRST, ponieważ w GMER pojawia się błąd: "C:\WINDOWS\system32\config\system: proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces.

Addition.txt

FRST.txt

Shortcut.txt

picasso · 4 Kwietnia 2016

W systemie liczne infekcje adware, w tym modyfikacja systemowych plików dnsapi.dll oraz przejęte serwery DNS. Widać też, że pobierałeś z serwisu dobreprogramy "Asystent pobierania" a nie właściwe instalatory. Więcej na ten temat: KLIK.

Działania do przeprowadzenia:

1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie log RepairDNS.txt.

2. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

3. Deinstalacje:

- Wejdź do folderu C:\Program Files (x86)\MPC Cleaner, wyszukaj plik deinstalatora i z prawokliku "Uruchom jako Administrator".

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Adobe AIR, Java 8 Update 65, Java 8 Update 71 (64-bit).

4. Wyłącz COMODO, gdyż może zablokować FRST. Otwórz Notatnik i wklej w nim:

CloseProcesses:
R2 lhgu; C:\ProgramData\\lhgu\\lhgu.exe [529408 2016-03-20] () [File not signed]
R2 Lhtao; C:\Users\Oskar_2\AppData\Roaming\Kyiadare\Kyiadare.exe [174464 2016-03-18] ()
R2 Mofovoil; C:\Users\Oskar_2\AppData\Roaming\Bouriwy\Bouriwy.exe [174448 2016-03-19] ()
R2 Ruvsi; C:\Users\Oskar_2\AppData\Roaming\PiptoEtane\Ciwfof.exe [125808 2016-03-19] ()
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [89840 2016-03-08] (Huorong Borui (Beijing) Technology Co., Ltd.)
S2 ktip; "C:\Program Files\ktip\ktip.exe" /s iid=5674489 did=APSFTuto4PC sid=11 ref=98755442-2698-501e-053b-7d3f77cf59dc-PolicyMac id=32f6c6f0c472cf4f71174deecc12a0aebea8c248a4b5ed713c26dfee92989cf6 [X]
S2 Lemxatxi; "C:\Users\Oskar_2\AppData\Roaming\ZafdygCanr\Tomorhuy.exe" -cms [X]
S4 sptd2; System32\Drivers\sptd2.sys [X]
Task: {1338BD96-7DC0-4FCD-B734-BEBF1FCF8380} - System32\Tasks\AdobeoaUpdate Ver 2015910 => C:\Users\Oskar\AppData\Roaming\wenguanjia\ElTaces.exe
Task: {2F6DEDA1-BC2B-4480-AB42-9F83B8A66A4B} - System32\Tasks\Cyelma => C:\PROGRA~1\SHOPPE~1\Elipj.bat
Task: {3ABBBCB2-B52E-4753-9E61-5DCF5C66DDCE} - System32\Tasks\{A471D989-5CC2-45A1-9B36-3AD188795DE9} => pcalua.exe -a C:\Users\Oskar\Downloads\GTA_V_Launcher_1_0_440_2.exe -d C:\WINDOWS\system32
Task: {557461C8-1F3F-4860-BCD4-D4506725333E} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
Task: {5E8C5490-65BC-428A-B596-673603171790} - System32\Tasks\Ukarb => C:\PROGRA~1\GROOVE~1\Kukavawn.bat
Task: {7424C173-330E-473D-921A-D44936CCCE44} - \CCleanerSkipUAC -> No File 
Task: {A5AEF42F-B379-4841-ACA4-1355946E08A2} - System32\Tasks\{EB07B9E7-AFE2-43EE-A6FD-93C458AD5ABF} => pcalua.exe -a "D:\Program Files (x86)\Need for Speed Carbon\setup.exe" -d "D:\Program Files (x86)\Need for Speed Carbon"
Task: {ACA025F9-B575-4EA2-A38A-13DC2A2D446D} - System32\Tasks\{4225B075-748C-467E-9E2B-06CADF3910B9} => pcalua.exe -a "C:\Program Files (x86)\Object Browser\Uninstall.exe" -c /fcp=1
Task: {BCF1DA28-99A7-425E-8987-E4C58E390079} - System32\Tasks\{FB8EA1CD-C771-4154-8256-CC96C1E0006C} => pcalua.exe -a "C:\Program Files (x86)\AnyProtectEx\uninstall.exe" 
Task: {BE9679E9-066F-4FA0-958A-E688B9042A2C} - System32\Tasks\{46FF4027-3BA4-40F5-8B84-CE55AC2AC132} => pcalua.exe -a "C:\Program Files (x86)\MyBrowser\MyBrowser\Application\39.5.2171.95\Installer\setup.exe" -c --uninstall --system-level
Task: {C9BEE582-9DAF-47E7-AC69-92A9C607F4FB} - System32\Tasks\A5C721D-BE7C-45DE-BDAB-F2A072F86353 => C:\Users\Oskar\AppData\Local\A5C721D-BE7C-45DE-BDAB-F2A072F86353\A5C721D-BE7C-45DE-BDAB-F2A072F86353.exe 
Task: {EED17BB3-68BF-4718-9B87-CB8861035BA6} - System32\Tasks\{4A42DEF0-6D88-4ABD-979B-CD6DC8A0CA2F} => launchwinapp.exe hxxp://ui.skype.com/ui/0/7.18.0.112/pl/abandoninstall?source=lightinstaller&page=tsInstall
Task: C:\WINDOWS\Tasks\AdobeoaUpdate Ver 2015910.job => C:\Users\Oskar\AppData\Roaming\wenguanjia\ElTaces.exe/check_update C:\Users\Oskar\AppData\Roaming\wenguanjia\OSKAR-PC\Oskar(This task detect has update.Ver
HKLM-x32\...\Run: [ProductUpdater] => C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe
HKLM-x32\...\Run: [mpck_en_005030271] => [X]
HKLM-x32\...\Run: [win_en_77] => [X]
HKLM-x32\...\Run: [sun21] => [X]
HKLM-x32\...\Run: [rec_pl_229] => [X]
HKLM-x32\...\Run: [systemClose] => D:\Documents\systemfile.exe
HKU\S-1-5-21-4005860982-2939158325-716014447-1008\...\Run: [svchost0] => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe
HKU\S-1-5-21-4005860982-2939158325-716014447-1008\...\MountPoints2: {e4d41890-7243-11e5-8334-d027884e6a45} - "J:\setup.exe"
AppInit_DLLs: C:\ProgramData\lhgu\S-cof.dll => C:\ProgramData\lhgu\S-cof.dll [363520 2016-03-20] ()
AppInit_DLLs-x32: C:\ProgramData\lhgu\Zentrax.dll => C:\ProgramData\lhgu\Zentrax.dll [257536 2016-03-20] ()
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicyScripts: Restriction 
HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms}
HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1PbwLsaaO-xNshFawgFOQAP4TTSaLHscHiwO2U5tXBIw0Ypnrxpj_fRvywPXzdVPN15iY-ULpTEx6WpnHpLoB0OFfmJTBsuO
HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms}
HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4005860982-2939158325-716014447-1008 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4005860982-2939158325-716014447-1008 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1458386141&z=39a616c052261f8a4110452gfz9wfb7c2b9q6e1t9z&from=cmi&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursearching.com/?type=sc&ts=1458472476&z=092799a4db54c4842fe7258g8z0w6bfz0m8o0z9o2q&from=face&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3
ShortcutWithArgument: C:\Users\Oskar_2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursearching.com/?type=sc&ts=1458472476&z=092799a4db54c4842fe7258g8z0w6bfz0m8o0z9o2q&from=face&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursearching.com/?type=sc&ts=1458472476&z=092799a4db54c4842fe7258g8z0w6bfz0m8o0z9o2q&from=face&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
C:\Program Files (x86)\AdwCleaner
C:\Program Files (x86)\badu
C:\Program Files (x86)\Lenovo
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\UCBrowser
C:\ProgramData\Konksolexs
C:\ProgramData\lhgu
C:\ProgramData\lhgus
C:\ProgramData\Mozilla
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2013
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
C:\uninst
C:\Users\Oskar_2\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦
C:\Users\Oskar_2\AppData\Local\Tempunpacker.exe
C:\Users\Oskar_2\AppData\Local\app
C:\Users\Oskar_2\AppData\Local\Lenovo
C:\Users\Oskar_2\AppData\Local\Mozilla
C:\Users\Oskar_2\AppData\Local\Steam\htmlcache
C:\Users\Oskar_2\AppData\Local\Tempfolder
C:\Users\Oskar_2\AppData\Local\UCBrowser
C:\Users\Oskar_2\AppData\LocalLow\Company
C:\Users\Oskar_2\AppData\Roaming\*.*
C:\Users\Oskar_2\AppData\Roaming\Bouriwy
C:\Users\Oskar_2\AppData\Roaming\Kyiadare
C:\Users\Oskar_2\AppData\Roaming\MCorp
C:\Users\Oskar_2\AppData\Roaming\Mozilla
C:\Users\Oskar_2\AppData\Roaming\PiptoEtane
C:\Users\Oskar_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Oskar_2\Downloads\*-dp*.exe
C:\Users\Oskar_2\Downloads\Torrentex
C:\Users\Public\Documents\dmp
C:\WINDOWS\system32\eden
C:\WINDOWS\system32\hiir
C:\WINDOWS\system32\iesa
C:\WINDOWS\system32\Drivers\bsdriver.sys
C:\WINDOWS\system32\Drivers\cherimoya.sys
C:\WINDOWS\system32\Drivers\ucguard.sys
C:\WINDOWS\System32\Tasks\Lenovo
C:\WINDOWS\SysWOW64\findit.xml
C:\WINDOWS\SysWOW64\Number of results
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\8B140DE3-3691-474C-bF79-96E348EBD612
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BrsHelper
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dipubibu
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Disc Soft Lite Bus Service
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Freemake Improver
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gyvixodu
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\lehicewu
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\lulonuji
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\QQPCRTP
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Service KMSELDI
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\shopperz100920151159 Updater
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SPBIUpd
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TAOFrame
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CCleaner Monitoring" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v svchost0 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v shopperz100920151159 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v shopperz10092015115964 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCPRODUCT /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpaceSoundPro /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ProductUpdater /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v wenguanjia /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SPDriver /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SmartWeb /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v " QQPCTray" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvastUI.exe /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v pcmgr /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v apphide /f
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt. Wypowiedz się czy występują jeszcze jakieś problemy.

LepszyOdCiebie · 4 Kwietnia 2016

Bardzo dziękuję!!!!! . żadnych problemów oprócz tego, że jak włączam przeglądarkę (operę) to automatycznie włącza się storna yoursearching.com.

Fixlog.txt

RepairDNS.txt

picasso · 4 Kwietnia 2016

Brakuje nowych skanów FRST:

Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Reklamy w przeglądarce oraz na Steam :(

Rekomendowane odpowiedzi

LepszyOdCiebie

Odnośnik do komentarza

picasso

Odnośnik do komentarza

LepszyOdCiebie

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność