Problem z Hot Deals i Canadaalltax. Pomocy


(Art Mlynarczyk) #1

Witam,

od jakiegoś czasu miałem problem z przekierowaniami na niechciane strony typu canadaalltax , sup i tym podobne. Probowalem na własną rękę z tym walczyć, czytałem wypowiedzi na forach i probowałem korzystac z polecanych programów, niestety bez wymiernego efektu, niby na kilka dni problemy ucichły, natomiast na tę chwile z moim komputerem dzieją się baaardzo dziwne rzeczy. Wyskakujące reklamy Hot Deals, przy kazdym otwartym oknie, samoczynne wylaczanie komputera oczywiscie nie musze dodawac jak dlugo mysli sam komputer. Uzylem programu SpyHunter, aby utwierdzic sie w przekonaniu, ze z komputerem dzieje sie cos zlego i po wyswietleniu ponad 7000 bledow zrozumialem, ze tocze walke z wiatrakami. W załączniku przesyłam log z OTL'a. 

 

Pomożecie?

 

otl: http://wklej.to/ISFg7

extras: http://wklej.to/rEYxu


(Acorus) #2

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.


(Art Mlynarczyk) #3

frst: http://wklej.to/fbGS4

add: http://wklej.to/9KhkM

 

proszę:)


(Acorus) #4

Odinstaluj RegHunter.Otwórz Notatnik i wklej:

Task: {21A50FEB-4A67-4CF3-90E0-343599A75F7A} - System32\Tasks\RegHunterStartup = C:\Program Files\Enigma Software Group\RegHunter\RegHunter.exe [2013-08-13] (Enigma Software Group USA, LLC.)
Task: {4AEF4D0F-8F9C-4F92-9A3C-4AAAA496C83B} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3914018258-2838581493-2541457951-1000UA = C:\Users\MłyneK\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-05-13] (Facebook Inc.)
Task: {EAA9D439-74BB-4DFB-8C64-A33895986CEC} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3914018258-2838581493-2541457951-1000Core = C:\Users\MłyneK\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-05-13] (Facebook Inc.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job = C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\Software\Classes\.exe: exefile = ===== ATTENTION!
HKLM-x32\...\Run: [NPSStartup] = [X]
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\Run: [Facebook Update] = C:\Users\MłyneK\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-05-13] (Facebook Inc.)
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: G - G:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {03c1c5ce-bc9e-11e0-bbe0-806e6f6e6963} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {06e15c0e-0e20-11e1-90ce-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {06e15c13-0e20-11e1-90ce-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {169ac578-fc11-11e0-9e83-001377612664} - I:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {169ac5a4-fc11-11e0-9e83-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {1c05e5ed-d094-11e0-9c9c-010101010000} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {485749f0-7ccb-11e0-870e-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {61fb98ca-bf44-11df-9a1d-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {6c655bfe-7cc8-11e0-beed-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {6e880045-b2a1-11e0-acfb-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {6e88004a-b2a1-11e0-acfb-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {88252244-f046-11df-816e-001377612664} - H:\cdstart.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {a2d7b133-c612-11e3-a5e1-ead12c5beba6} - F:\Startme.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {d0625b3e-e742-11e3-940a-af33280bcfdb} - G:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {d0625b7f-e742-11e3-940a-af33280bcfdb} - G:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {eac1c74c-bb3c-11df-9b72-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {eac1c751-bb3c-11df-9b72-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {edffabce-c4c1-11df-8fa6-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {edffabd2-c4c1-11df-8fa6-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {f1941b77-9a93-11e0-9909-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {f1941b7c-9a93-11e0-9909-001377612664} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {f9ff7f77-a744-11e0-800f-061b9eb09452} - F:\AutoRun.exe
HKU\S-1-5-21-3914018258-2838581493-2541457951-1000\...\MountPoints2: {f9ff7f8a-a744-11e0-800f-061b9eb09452} - F:\AutoRun.exe
ShellIconOverlayIdentifiers: DropboxExt1 - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers: DropboxExt2 - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers: DropboxExt3 - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers: DropboxExt4 - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers-x32: DropboxExt1 - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers-x32: DropboxExt2 - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers-x32: DropboxExt3 - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} = No File
ShellIconOverlayIdentifiers-x32: DropboxExt4 - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} = No File
SearchScopes: HKLM-x32 - DefaultScope value is missing.
BHO: No Name - {A1CB8F4C-36C7-67E9-862D-EF086B281436} - No File
BHO-x32: No Name - {14f95421-c981-4820-954e-d83c8537f54c} - No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
S3 ATICDSDr; \\C:\Users\MYNEK~1\AppData\Local\Temp\ATICDSDr.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2014-07-11 09:09 - 2014-07-11 09:09 - 00003358 _____ () C:\Windows\System32\Tasks\RegHunterStartup
2014-07-11 09:09 - 2014-07-11 09:09 - 00001163 _____ () C:\Users\Public\Desktop\RegHunter.lnk
2014-07-11 09:09 - 2014-07-11 09:09 - 00000000 ____ D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegHunter
2014-07-11 09:09 - 2014-07-11 09:09 - 00000000 ____ D () C:\Program Files\Enigma Software Group
2014-06-18 18:36 - 2014-05-21 01:34 - 00000000 ____ D () C:\AdwCleaner
C:\Users\MłyneK\DSETUP.dll
C:\Users\MłyneK\dsetup32.dll
C:\Users\MłyneK\DXSETUP.exe
C:\Users\MłyneK\mp3DirectCut.exe
C:\Users\MłyneK\AppData\Local\Temp\*.exe
C:\Users\MłyneK\AppData\Local\Temp\*.dll

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Art Mlynarczyk) #5

Zdaje się, że wszystko jest jak należy :slight_smile: Wielkie dzięki za pomoc :slight_smile: mission accomplished :P 

 

wrzucam jeszcze tylko log’a po zrobionym fix’ie:) na wszelki wypadek

 

http://wklej.to/365a4


(Acorus) #6

Skasuj folder C:\FRST

Użyj http://www.bleepingcomputer.com/download/tfc/ (uruchom TFC i kliknij Start).


(Art Mlynarczyk) #7

Moja radość była przedwczesna, przestały sie pojawiac Hot Deals’y, ale przekierowalo mnie znowu na canadaalltax. Ale to było zanim usunalem folder FRST i przed zrobieniem TFC. Usunelo mi ponad 12GB smieci, wiec bede obserwowal co sie bedzie dzialo dalej. Latam po przypadkowych stronach klikajac odnosniki i poki co mnie nigdzie nie przekierowuje, wiec odpukać, oby tak już zostało :) 


(Acorus) #8

Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.2.1012.exe


(Art Mlynarczyk) #9

Powiedz mi tylko co mam zrobić kiedy skończy sie skanowanie Malwarebytes, czy z poziomu tego programu mam dalej coś zrobić czy od razu log FRST?

Bo na tym etapie skanowania mam już dwa obiekty.


(Acorus) #10

Usuń co znajdzie Malwarebytes i wykonaj nowe logi z FRST.


(Art Mlynarczyk) #11

Mam 3 obiekty, nie mam tylko konkretnej opcji usuń. Do wyboru kwarantanna / dodaj wykluczenie / ignoruj raz. Które z poleceń powinienem zadać?


(Dawus04) #12

Kwarantanna.


(Art Mlynarczyk) #13

FRST: http://wklej.to/dyXFy

Add: http://wklej.to/hFi7Y


(Art Mlynarczyk) #14

Cała zabawa od nowa…hot deals znowu zaczelo wyskakiwac:/


(Acorus) #15

Pokaż nowe logi z FRST.


(Art Mlynarczyk) #16

http://textuploader.com/kzf8  <---- FRST