Nękające reklamy w przeglądarce, zawirusowany komputer


(Tomiwisnia2015) #1

Avast znalazł jakieś wirusy i je przeniósł do kwarantanny, również jakiś plik z katalogu Windows/system32/drivers. Mimo to wyskakują reklamy i do stron ładują się inne. Avast zgłasza też że blokuje cały czas jakąś stronę:

 

http://adsdelivery1.com/ads-api?v=1&key=e10a60847ebd310075024aa5de35d456&cp.pubid=11

logi:

Addition:http://wklej.org/id/1750591/

First: http://wklej.org/id/1750593/

Shortcut: http://wklej.org/id/1750594/


(Acorus) #2

Odinstaluj BitSaver,Bundled software uninstaller,FilesFrog Update Checker,FreeSoftToday 008.211,nationzoom Browser Protecter,PriceLess,RandomPrice,SaveSense,Supporter 1.80,sweet-page uninstall,WindowsProtectManger20.0.0.401,WordShark 1.10.0.19,WPM17.8.0.3325.Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.

Pokaż nowe logi z FRST.


(Tomiwisnia2015) #3

Wszystko odinstalowane.

log FIRST:

http://wklej.org/id/1750636/


(Acorus) #4

Brak loga Addition.txt

Zaznacz okienko Addition.


(Tomiwisnia2015) #5

http://wklej.org/id/1750638/


(Atis) #6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Run: [fst_pl_211] => [X]
HKU\S-1-5-18\...\RunOnce: [panda4_0dn] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_0dn" /f
HKU\S-1-5-18\...\RunOnce: [panda4_0dn_XP] => reg.exe delete "HKCU\Software\panda4_0dn" /f
HKU\S-1-5-18\...\RunOnce: [Del165515] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== ATTENTION
HKU\S-1-5-18\...\RunOnce: [Del459484] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== ATTENTION
HKU\S-1-5-21-1292428093-1801674531-839522115-1003\...\Run: [Facebook Update] => C:\Documents and Settings\Anna Nowakowska\Ustawienia lokalne\Dane aplikacji\Facebook\Update\FacebookUpdate.exe [138096 2012-07-12] (Facebook Inc.)
HKU\S-1-5-21-1292428093-1801674531-839522115-1003\...\Run: [SlimDrivers] => C:\Program Files\SlimDrivers\SlimDrivers.exe [29731096 2015-02-27] (SlimWare Utilities, Inc.)
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.dalesearch.com/?babsrc=HP_ss&mntrId=F4E690E6BAD0820D&affID=124446&tl=gpn65235&tsp=5034
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.google.com" <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-1292428093-1801674531-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Extension: Widget context - C:\Documents and Settings\Anna Nowakowska\Dane aplikacji\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\{140A2D0E-85CC-4ed3-9BA5-8FA35DA7FABA}.xpi [2014-01-26]
FF Extension: Speed Test (4350) - C:\Documents and Settings\Anna Nowakowska\Dane aplikacji\Mozilla\Extensions\speedtest4350@BestOffers [2013-10-24]
FF HKLM\...\Firefox\Extensions: [speedtest4350@BestOffers] - C:\Documents and Settings\Anna Nowakowska\Dane aplikacji\Mozilla\Extensions\speedtest4350@BestOffers
FF HKU\S-1-5-21-1292428093-1801674531-839522115-1003\...\Firefox\Extensions: [speedtest4350@BestOffers] - C:\Documents and Settings\Anna Nowakowska\Dane aplikacji\Mozilla\Extensions\speedtest4350@BestOffers
CHR Extension: (Speed Test (4350)) - C:\Documents and Settings\Anna Nowakowska\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\fmlaoamoekadnddhbmhilnkbbcencgna [2013-11-14]
CHR HKLM\...\Chrome\Extension: [fmlaoamoekadnddhbmhilnkbbcencgna] - C:\Documents and Settings\Anna Nowakowska\Dane aplikacji\speedtest4350\speedtest4350.crx [2013-10-15]
S2 wssvc_1.10.0.19; "C:\Program Files\WordShark_1.10.0.19\Service\wssvc.exe" [X]
S3 AIDA32Driver; C:\Documents and Settings\Anna Nowakowska\Moje dokumenty\Downloads\aida3942(dobreprogramy.pl)\aida32.sys [3584 2004-02-26] () [File not signed]
S3 cpuz130; \??\C:\DOCUME~1\ANNANO~1\USTAWI~1\Temp\cpuz130\cpuz_x32.sys [X]
U5 ewusbnet; C:\Windows\System32\Drivers\ewusbnet.sys [235392 2010-12-24] (Huawei Technologies Co., Ltd.)
S4 IntelIde; No ImagePath
S3 OlyCamComm; system32\DRIVERS\OlyCamComm.sys [X]
2015-07-02 19:25 - 2015-07-02 19:29 - 00000000 ____ D C:\AdwCleaner
2012-11-04 18:33 - 2012-11-04 21:33 - 0000081 _____ () C:\Documents and Settings\Anna Nowakowska\Ustawienia lokalne\Dane aplikacji\FASTWiz.log
2012-01-15 14:05 - 2012-01-15 14:05 - 0000000 _____ () C:\Documents and Settings\Anna Nowakowska\Ustawienia lokalne\Dane aplikacji\{32BAFBA4-43D1-47C2-8CBA-3B5D87441501}
2012-01-15 11:47 - 2012-01-15 11:49 - 0000000 _____ () C:\Documents and Settings\Anna Nowakowska\Ustawienia lokalne\Dane aplikacji\{F12E230C-9432-4F7A-A4E4-6D7BDBD0F23B}
C:\Documents and Settings\Anna Nowakowska\TempWmicBatchFile.bat
CustomCLSID: HKU\S-1-5-21-1292428093-1801674531-839522115-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1292428093-1801674531-839522115-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1292428093-1801674531-839522115-1003_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1292428093-1801674531-839522115-1003_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1292428093-1801674531-839522115-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1292428093-1801674531-839522115-1003_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
Task: C:\WINDOWS\Tasks\AppleSoftwareUpdate.job => C:\Program Files\Apple Software Update\SoftwareUpdate.exe
Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\ANNANO~1\DANEAP~1\METACR~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\WINDOWS\Tasks\At4.job => C:\DOCUME~1\NETWOR~1\DANEAP~1\METACR~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-1292428093-1801674531-839522115-1003Core.job => C:\Documents and Settings\Anna Nowakowska\Ustawienia lokalne\Dane aplikacji\Facebook\Update\FacebookUpdate.exe
Task: C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-1292428093-1801674531-839522115-1003UA.job => C:\Documents and Settings\Anna Nowakowska\Ustawienia lokalne\Dane aplikacji\Facebook\Update\FacebookUpdate.exe
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\WordShark Auto Updater 1.10.0.19 Core.job => C:\Program Files\WordShark_1.10.0.19\Update\WordSharkAutoUpdateClient.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\WordShark Auto Updater 1.10.0.19 Pending Update.job => C:\Program Files\WordShark_1.10.0.19\Update\WordSharkAutoUpdateClient.exe <==== ATTENTION
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Tomiwisnia2015) #7

Fixlog:

http://wklejto.org/w/b37421cc

FRST:

http://wklejto.org/w/f6067b66


(Atis) #8

Przestań instalować szkodliwe programy.

Pobierz i uruchom AdwCleaner Kliknij Skanuj i później Usuń.

Kliknij Scan i pokaż nowy raport FRST i Addition.


(Dimatheus) #9

tomiwis , na forum używamy polskich liter diakrytycznych (ą, ć, ę, ń i tak dalej). Proszę - korzystając z przycisku Edytuj (na dole pierwszego posta po prawej stronie) - wyedytować wszystkie swoje posty w tym temacie. Zignorowanie tej prośby będzie skutkować przeniesieniem tematu do kosza.

Pozdrawiam,

Dimatheus