Skocz do zawartości
VVigor

URL:MAL, AVG oraz wyskakujące reklamy

Rekomendowane odpowiedzi

Cześć. Ostatnimi czasy na moim laptopie zaczyna się dziać coś niedobrego, a mianowicie; przy wchodzeniu na nowe karty, otwieraniu, klikaniu na stronie w puste miejsca, otwiera automatycznie reklamy (chrome). Czasem do tego dodaje powiadomienie od AVG o znalezieniu malware/adware (?), ścieżki przeróżne, czasem w chromie, czasem w system32, nie ma reguły.  Przenosi automatycznie do kwarantanny, ale problem dalej występuje. AVG diagnozuje problem jako URL:mal, chociaż nie wiem czy jest to false positive czy też nie.

Wykonałem następujące czynności:

- pełny skan avg, wykryte kilka problemów, naprawione

- dodatkowo skan jakimś programem do adware, znaleziono kilka problemów, naprawione

- mikro program od Eset, skan, naprawione

- przeczyszczony rejestr ccleanerem

- ciacha i inne pozostałości wyczyszczone

Dokopałem się w internecie do błędów które pokazywał mi AVG i doszedłem do artykułu mówiącego o jakimś adware o nazwie Python.exe. Rzeczywiście siedział on w appdacie, jak również widniał jako proces oraz jako aplikacja zainstalowana. Odinstalowane, proces już się nie odpala, ale problem dalej występuje. 

Jedyne co się zmieniło, że avg już nie wyrzuca błędów, ale problem wyskakujących reklam w randomowych momentach dalej aktualny. Podrzucam logi, może uda wam się coś znaleźć. Bardzo dziękuję za pomoc.

 

Addition.txt

FRST.txt

Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1) Odinstaluj te programy:

App Explorer (HKU\S-1-5-19\...\Host App Service) (Version: 0.272.1.295 - SweetLabs) <==== UWAGA
App Explorer (HKU\S-1-5-20\...\Host App Service) (Version: 0.272.1.295 - SweetLabs) <==== UWAGA
App Explorer (HKU\S-1-5-21-3733891013-2092065610-2391107726-1001\...\Host App Service) (Version: 0.273.2.904 - SweetLabs) <==== UWAGA

 

2) Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== UWAGA

Ten program jest ukryty, więc odinstalujesz go dopiero po wykonaniu punktu 3 ), czyli

 

3) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== UWAGA
Task: {09234766-A641-4A0F-8177-39421443A22E} - System32\Tasks\SVC Update => C:\WINDOWS\explorer.exe "hxxp://lktoday.ru" <==== UWAGA
Task: {629E20C8-D9F5-43F7-89E0-0B08E1622D3A} - System32\Tasks\YoutubeDownloader => C:\Users\Karolina\AppData\Roaming\YoutubeDownloader\python\pythonw.exe <==== UWAGA
Task: {6650C80D-882F-4F6B-A901-EF9949B6C686} - System32\Tasks\psv_Light-Trax => cmd.exe /c regedit.exe /s "C:\ProgramData\Quoteex\InchIs.reg" & del "C:\ProgramData\Quoteex\InchIs.reg" & SCHTASKS /Delete /TN "psv_Light-Trax" /F <==== UWAGA
Task: {6BBFBA56-A8CB-4441-92A2-60B288C3CB6E} - System32\Tasks\psv_Strongdex => cmd.exe /c regedit.exe /s "C:\ProgramData\Quoteex\Finex.reg" & del "C:\ProgramData\Quoteex\Finex.reg" & SCHTASKS /Delete /TN "psv_Strongdex" /F <==== UWAGA
Task: {7A9FEB57-CCF8-45C0-828B-D1593CFABAD2} - System32\Tasks\psv_Zoom-Tone => cmd.exe /c regedit.exe /s "C:\ProgramData\Quoteex\NewIs.reg" & del "C:\ProgramData\Quoteex\NewIs.reg" & SCHTASKS /Delete /TN "psv_Zoom-Tone" /F <==== UWAGA
Task: {9C1EC249-D596-4B75-BCC3-3EB62E03B484} - System32\Tasks\psv_Ranking => cmd.exe /c regedit.exe /s "C:\ProgramData\Quoteex\Stronghottax.reg" & del "C:\ProgramData\Quoteex\Stronghottax.reg" & SCHTASKS /Delete /TN "psv_Ranking" /F <==== UWAGA
Task: {BAF31C7B-13EE-432B-A1C9-022D5073F422} - System32\Tasks\App Explorer => C:\Users\Karolina\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [2018-09-17] (SweetLabs, Inc) <==== UWAGA
Task: {C466030F-486B-4334-A1BC-E19EF2AC9574} - System32\Tasks\psv_Tree-Tip => cmd.exe /c regedit.exe /s "C:\ProgramData\Quoteex\Coftex.reg" & del "C:\ProgramData\Quoteex\Coftex.reg" & SCHTASKS /Delete /TN "psv_Tree-Tip" /F <==== UWAGA
Task: {C6416172-7485-4EAD-940D-E595F259FD2D} - System32\Tasks\YoutubeDownloader_upd => C:\Users\Karolina\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe <==== UWAGA
Task: C:\WINDOWS\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA
RemoveDirectory: C:\Users\Karolina\AppData\Roaming\YoutubeDownloader\python
RemoveDirectory: C:\ProgramData\Quoteex
RemoveDirectory: C:\ProgramData\Quoteexs
RemoveDirectory: C:\Users\Karolina\AppData\Local\Host App Service
HKU\S-1-5-21-3733891013-2092065610-2391107726-1001\...\Run: [YoutubeDownloader_upd] => "C:\Users\Karolina\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe" "start.pyc" ml3 <==== UWAGA
HKU\S-1-5-21-3733891013-2092065610-2391107726-1001\...\Run: [YoutubeDownloader] => "C:\Users\Karolina\AppData\Roaming\YoutubeDownloader\python\pythonw.exe" "start.pyc" ml3 <==== UWAGA
Tcpip\..\Interfaces\{90d6705e-2c6c-4da9-b75f-19819a99a38b}: [NameServer] 82.163.143.178,82.163.142.180
HKU\S-1-5-21-3733891013-2092065610-2391107726-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpEF7dbXUfBTJvgz1FIBSPko4evWSeF-q3lZV6DA2T15EjCSECaUsj-nQq85owMzjnXPTLHn5S5wrqVcxkrBFxBNRjKo1qpppYiR4p440i-RwADhEPjhp83nBaXKVSIaQ6hhfi61JkIeuW32Pdl5E7RRSUb3Q0
S2 gfrsfdqd; C:\WINDOWS\SysWOW64\gfrsfdqd\zlmgbxyv.exe [X]
C:\WINDOWS\SysWOW64\gfrsfdqd
R2 WinDivert1.2; C:\WINDOWS\system32\drivers\WinDivert64.sys [37552 2018-09-11] (Basil)
C:\WINDOWS\system32\drivers\WinDivert64.sys
2018-09-11 20:11 - 2018-09-11 20:11 - 007781888 _____ C:\Users\Karolina\AppData\Local\agent.dat
2018-09-11 20:11 - 2018-09-11 20:11 - 002018183 _____ C:\Users\Karolina\AppData\Local\IndigoDontop.tst
2018-09-11 20:11 - 2018-09-11 20:11 - 001413120 _____ C:\Users\Karolina\AppData\Local\sham.db
2018-09-11 20:11 - 2018-09-11 20:11 - 000140800 _____ C:\Users\Karolina\AppData\Local\installer.dat
2018-09-11 20:11 - 2018-09-11 20:11 - 000126464 _____ C:\Users\Karolina\AppData\Local\noah.dat
2018-09-11 20:11 - 2018-09-11 20:11 - 000070896 _____ C:\Users\Karolina\AppData\Local\Config.xml
2018-09-11 20:11 - 2018-09-11 20:11 - 000018432 _____ C:\Users\Karolina\AppData\Local\Main.dat
2018-09-11 20:11 - 2018-09-11 20:11 - 000016416 _____ C:\Users\Karolina\AppData\Local\InstallationConfiguration.xml
2018-09-11 20:11 - 2018-09-11 20:11 - 000005568 _____ C:\Users\Karolina\AppData\Local\md.xml
C:\Users\Karolina\AppData\Local\AdvinstAnalytics
HOSTS:
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

(teraz wykonaj punkt nr 2)

 

4) Użyj > https://www.fixitpc.pl/topic/8-dezynfekcja-zbiór-narzędzi-usuwających/?tab=comments#comment-172741Adw-cleaner
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

 

 

5) Zrób nowe logi FRST

 

jessi

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W nowych logach FRST jest prawie OK - do usunięcia jest jeszcze jeden obiekt:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\Users\Karolina\AppData\Local\uninstall_temp.ico

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Powinno być OK.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...