CinemaP - wirusy, przekierowania, reklamy

sebusdm · 14 Lipiec 2015 13:39

Witam,

syn próbował oglądać jakiś film online i zassał coś, co praktycznie uniemożliwia korzystanie z komputera. Wypluwa mnóstwo reklam, przekierowuje przeglądarki na jakieś strony sweet-page, inne reklamowe. Do tego Avast informuje co chwilę o zagrożeniach.

Wklejam raporty i proszę o pomoc.

http://www.wklej.org/id/1756813/

http://www.wklej.org/id/1756816/

http://www.wklej.org/id/1756817/

Acorus · 14 Lipiec 2015 14:19

Odinstaluj CinemaP-1.9cV08.07.Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.

Pokaż nowe logi z FRST.

sebusdm · 14 Lipiec 2015 17:04

Zrobione.nie ma już chyba CinemaP, ale nadal wyskakują reklamy - tym razem małe okienka Ads by SASA i nadal przy przejściu na stronę w przeglądarce wypluwa całostronicowe reklamy.

Nowe logi z FRST

http://www.wklej.org/id/1756941/

http://www.wklej.org/id/1756942/

http://www.wklej.org/id/1756943/

Acorus · 14 Lipiec 2015 18:07

Otwórz notatnik systemowy i wklej:

Task: {4AB51B77-895E-4E23-A36E-6E28FBC30092} - System32\Tasks\{94138950-5731-46F3-ACC1-B69104201B23} = pcalua.exe -a C:\ProgramData\EpicScale\0\EpicScale.exe -c EpicScale DoUninstall
Task: {A79C1155-2B99-44D3-B761-3E2051353C80} - System32\Tasks\{8485F907-3AE3-4ACE-885B-6EBC8A383FFD} = pcalua.exe -a C:\Users\sebusdm\AppData\Roaming\Gameo\uninstall.exe
HKLM-x32\...\Run: [mbot_pl_014010024] = [X]
ProxyEnable: [S-1-5-21-145721788-823716972-4119078694-1001] = Internet Explorer proxy is enabled
ProxyServer: [S-1-5-21-145721788-823716972-4119078694-1001] = http=127.0.0.1:9880
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF DefaultSearchEngine: sweet-page
FF Extension: jid058lecu6hJxQxqq7FSTmrn6W5eZYjetpack - C:\Users\sebusdm\AppData\Roaming\Mozilla\Firefox\Profiles\ttxd0xxf.default\Extensions\jid0-58lecu6hJxQxqq7FSTmrn6W5eZY@jetpack [2015-07-12]
R2 EwhalBuhr; C:\Program Files (x86)\EwhalBuhr\EwhalBuhr.exe [281088 2015-06-16] () [File not signed] ==== ATTENTION
S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X]
S3 andnetadb; \SystemRoot\System32\Drivers\lgandnetadb.sys [X]
S3 BRDriver64_1_3_3_E02B25FC; \\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]
S2 VBoxAswDrv; \\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X]
2015-07-14 18:27 - 2015-07-14 18:30 - 00000000 ____ D C:\AdwCleaner
2015-07-09 08:54 - 2015-07-09 08:54 - 00003130 _____ C:\Windows\System32\Tasks\{94138950-5731-46F3-ACC1-B69104201B23}
2015-07-09 08:53 - 2015-07-09 08:53 - 00000000 __SHD C:\Program Files (x86)\EwhalBuhr
2015-07-08 11:43 - 2015-07-08 11:43 - 00000000 ____ D C:\Program Files (x86)\8074a835-88c5-402f-822d-f06a5b542c14
2015-07-07 20:34 - 2015-07-07 20:34 - 00003104 _____ C:\Windows\System32\Tasks\{8485F907-3AE3-4ACE-885B-6EBC8A383FFD}
C:\ProgramData\SetStretch.VBS
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware http://www.malwarebytes.org/8/

sebusdm · 14 Lipiec 2015 21:50

Pomogło. Serdecznie dziękuję!

Acorus · 15 Lipiec 2015 07:59

Skasuj folder C:\FRST