mlynek88
(Art Mlynarczyk)
11 Lipiec 2014 08:22
#1
Witam,
od jakiegoś czasu miałem problem z przekierowaniami na niechciane strony typu canadaalltax , sup i tym podobne. Probowalem na własną rękę z tym walczyć, czytałem wypowiedzi na forach i probowałem korzystac z polecanych programów, niestety bez wymiernego efektu, niby na kilka dni problemy ucichły, natomiast na tę chwile z moim komputerem dzieją się baaardzo dziwne rzeczy. Wyskakujące reklamy Hot Deals, przy kazdym otwartym oknie, samoczynne wylaczanie komputera oczywiscie nie musze dodawac jak dlugo mysli sam komputer. Uzylem programu SpyHunter, aby utwierdzic sie w przekonaniu, ze z komputerem dzieje sie cos zlego i po wyswietleniu ponad 7000 bledow zrozumialem, ze tocze walke z wiatrakami. W załączniku przesyłam log z OTL’a.
Pomożecie?
otl: http://wklej.to/ISFg7
extras: http://wklej.to/rEYxu
Acorus
(Acorus)
11 Lipiec 2014 08:31
#2
Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.
mlynek88
(Art Mlynarczyk)
11 Lipiec 2014 08:40
#3
Acorus
(Acorus)
11 Lipiec 2014 12:51
#4
Odinstaluj RegHunter.Otwórz Notatnik i wklej:
Task: {21A50FEB-4A67-4CF3-90E0-343599A75F7A} - System32\Tasks\RegHunterStartup = C:\Program Files\Enigma Software Group\RegHunter\RegHunter.exe [2013-08-13] (Enigma Software Group USA, LLC.)
Task: {4AEF4D0F-8F9C-4F92-9A3C-4AAAA496C83B} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3914018258-2838581493-2541457951-1000UA = C:\Users\MłyneK\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-05-13] (Facebook Inc.)
Task: {EAA9D439-74BB-4DFB-8C64-A33895986CEC} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3914018258-2838581493-2541457951-1000Core = C:\Users\MłyneK\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-05-13] (Facebook Inc.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job = C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\Software\Classes\.exe: exefile = ===== ATTENTION!
HKLM-x32\...\Run: [NPSStartup] = [X]
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\Run: [Facebook Update] = C:\Users\MłyneK\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-05-13] (Facebook Inc.)
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: G - G:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {03c1c5ce-bc9e-11e0-bbe0-806e6f6e6963} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {06e15c0e-0e20-11e1-90ce-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {06e15c13-0e20-11e1-90ce-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {169ac578-fc11-11e0-9e83-001377612664} - I:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {169ac5a4-fc11-11e0-9e83-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {1c05e5ed-d094-11e0-9c9c-010101010000} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {485749f0-7ccb-11e0-870e-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {61fb98ca-bf44-11df-9a1d-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {6c655bfe-7cc8-11e0-beed-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {6e880045-b2a1-11e0-acfb-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {6e88004a-b2a1-11e0-acfb-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {88252244-f046-11df-816e-001377612664} - H:\cdstart.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {a2d7b133-c612-11e3-a5e1-ead12c5beba6} - F:\Startme.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {d0625b3e-e742-11e3-940a-af33280bcfdb} - G:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {d0625b7f-e742-11e3-940a-af33280bcfdb} - G:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {eac1c74c-bb3c-11df-9b72-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {eac1c751-bb3c-11df-9b72-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {edffabce-c4c1-11df-8fa6-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {edffabd2-c4c1-11df-8fa6-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {f1941b77-9a93-11e0-9909-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {f1941b7c-9a93-11e0-9909-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {f9ff7f77-a744-11e0-800f-061b9eb09452} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {f9ff7f8a-a744-11e0-800f-061b9eb09452} - F:\AutoRun.exe
ShellIconOverlayIdentifiers: DropboxExt1 - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers: DropboxExt2 - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers: DropboxExt3 - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers: DropboxExt4 - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers-x32: DropboxExt1 - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers-x32: DropboxExt2 - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers-x32: DropboxExt3 - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers-x32: DropboxExt4 - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} = No File
SearchScopes: HKLM-x32 - DefaultScope value is missing.
BHO: No Name - {A1CB8F4C-36C7-67E9-862D-EF086B281436} - No File
BHO-x32: No Name - {14f95421-c981-4820-954e-d83c8537f54c} - No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
S3 ATICDSDr; \\C:\Users\MYNEK~1\AppData\Local\Temp\ATICDSDr.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2014-07-11 09:09 - 2014-07-11 09:09 - 00003358 _____ () C:\Windows\System32\Tasks\RegHunterStartup
2014-07-11 09:09 - 2014-07-11 09:09 - 00001163 _____ () C:\Users\Public\Desktop\RegHunter.lnk
2014-07-11 09:09 - 2014-07-11 09:09 - 00000000 ____ D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegHunter
2014-07-11 09:09 - 2014-07-11 09:09 - 00000000 ____ D () C:\Program Files\Enigma Software Group
2014-06-18 18:36 - 2014-05-21 01:34 - 00000000 ____ D () C:\AdwCleaner
C:\Users\MłyneK\DSETUP.dll
C:\Users\MłyneK\dsetup32.dll
C:\Users\MłyneK\DXSETUP.exe
C:\Users\MłyneK\mp3DirectCut.exe
C:\Users\MłyneK\AppData\Local\Temp\*.exe
C:\Users\MłyneK\AppData\Local\Temp\*.dll
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
mlynek88
(Art Mlynarczyk)
11 Lipiec 2014 15:18
#5
Zdaje się, że wszystko jest jak należy Wielkie dzięki za pomoc mission accomplished :P
wrzucam jeszcze tylko log’a po zrobionym fix’ie:) na wszelki wypadek
http://wklej.to/365a4
Acorus
(Acorus)
11 Lipiec 2014 15:28
#6
Skasuj folder C:\FRST
Użyj http://www.bleepingcomputer.com/download/tfc/ (uruchom TFC i kliknij Start).
mlynek88
(Art Mlynarczyk)
11 Lipiec 2014 16:08
#7
Moja radość była przedwczesna, przestały sie pojawiac Hot Deals’y, ale przekierowalo mnie znowu na canadaalltax. Ale to było zanim usunalem folder FRST i przed zrobieniem TFC. Usunelo mi ponad 12GB smieci, wiec bede obserwowal co sie bedzie dzialo dalej. Latam po przypadkowych stronach klikajac odnosniki i poki co mnie nigdzie nie przekierowuje, wiec odpukać, oby tak już zostało :)
Acorus
(Acorus)
11 Lipiec 2014 16:15
#8
mlynek88
(Art Mlynarczyk)
11 Lipiec 2014 16:32
#9
Powiedz mi tylko co mam zrobić kiedy skończy sie skanowanie Malwarebytes, czy z poziomu tego programu mam dalej coś zrobić czy od razu log FRST?
Bo na tym etapie skanowania mam już dwa obiekty.
Acorus
(Acorus)
11 Lipiec 2014 16:35
#10
Usuń co znajdzie Malwarebytes i wykonaj nowe logi z FRST.
mlynek88
(Art Mlynarczyk)
11 Lipiec 2014 17:03
#11
Mam 3 obiekty, nie mam tylko konkretnej opcji usuń. Do wyboru kwarantanna / dodaj wykluczenie / ignoruj raz. Które z poleceń powinienem zadać?
mlynek88
(Art Mlynarczyk)
11 Lipiec 2014 17:58
#13
mlynek88
(Art Mlynarczyk)
20 Lipiec 2014 23:00
#14
Cała zabawa od nowa…hot deals znowu zaczelo wyskakiwac:/
mlynek88
(Art Mlynarczyk)
21 Lipiec 2014 11:01
#16