Problem z Malware

Superplus · 17 Sierpień 2017 18:36

Witam, mam problem z uciążliwymi reklamami, które ciągle mi wyskakują, przeczyściłem adwcleanerem i tutaj są raporty z frst, byłby wdzięczny jesli ktoś by mi pomógł

FRST.txt (75,2 KB)

Atis · 17 Sierpień 2017 22:41

Wymagane są trzy logi.
Raport obowiązkowy - Farbar Recovery Scan Tool

Superplus · 18 Sierpień 2017 06:16

logi:
http://www.wklej.org/id/3238756/
http://www.wklej.org/id/3238755/
http://www.wklej.org/id/3238754/

Atis · 18 Sierpień 2017 07:32

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKU\S-1-5-21-3405550956-3789769750-2016625458-1001\...\Run: [World of Tanks (1)] => "E:\wot test\WargamingGameUpdater.exe"
HKU\S-1-5-21-3405550956-3789769750-2016625458-1001\...\Run: [World of Tanks (2)] => "C:\Games\World_of_Tanks\WargamingGameUpdater.exe"
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://rts.dsrlte.com?affID=pr_4bd8d58e-1b93-42b8-a301-96143c88de94","hxxp://isearch.omiga-plus.com/?type=hp&ts=1422291659&from=obw&uid=ST1000LM024XHN-M101MBB_S2U5J9GCB08447","hxxp://isearch.omiga-plus.com/?type=hppp&ts=1422291676&from=obw&uid=ST1000LM024XHN-M101MBB_S2U5J9GCB08447","hxxp://us.yhs4.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_18&param1=1&param2=f%3D7%26b%3DChrome%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtAzy0B0D0FtBtC0AyE0EtBtN0D0Tzu0StCtBtCzztN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StBtA0EtCtA0EtD0BtGyEyBzztDtGyC0EyB0CtG0ByE0AyDtGyEtByE0ByB0EyCtDyC0FyD0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StD0DyByEtAyE0CtDtGzytB0EyCtGyEzzzy0CtG0AzztCtBtG0FtB0CtByC0EyEzy0E0B0EyB2QtN0A0LzuyE%26cr%3D715119035%26a%3Dwny_ir_15_18%26os%3DWindows 7 Home Premium","hxxps://encrypted.google.com"
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
S1 wfcre; C:\windows\System32\drivers\wfcre.sys [124288 2017-07-04] ()
C:\windows\System32\drivers\wfcre.sys
2017-08-17 17:15 - 2017-08-17 20:24 - 000000000 ____D C:\AdwCleaner
2017-08-17 15:24 - 2017-08-17 15:24 - 000000000 ____D C:\Program Files (x86)\aqv9lRCAPnsD Updater
2017-08-17 15:24 - 2017-08-17 15:24 - 000000000 ____D C:\Program Files (x86)\aqv9lRCAPnsD
2017-08-17 15:22 - 2017-08-17 15:22 - 001847296 _____ C:\Users\jkkom\AppData\Local\po.db
2017-08-17 15:22 - 2017-08-17 15:22 - 000140800 _____ C:\Users\jkkom\AppData\Local\installer.dat
2017-07-09 22:41 - 2017-07-09 22:41 - 000004865 _____ () C:\ProgramData\czchsjpj.srw
2017-07-09 22:41 - 2017-07-09 22:41 - 000000016 _____ () C:\ProgramData\mntemp
C:\Users\Public\VOIP.dat
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {195B263C-AB23-4A8D-8D0C-B722BFA3B63B} - System32\Tasks\{9D06F076-637E-49B4-A4FD-3588E7656DBF} => C:\windows\system32\pcalua.exe -a "E:\NASCAR 15\NASCAR 15\bin\NASCAR15.exe" -d "E:\NASCAR 15\NASCAR 15\bin"
Task: {21221567-92D2-4420-B483-B2D2B6619446} - System32\Tasks\{BBEC851A-7C48-416B-9A1E-394693F6615B} => C:\windows\system32\pcalua.exe -a "E:\Battlefield 2\BF2.exe" -d "E:\Battlefield 2" -c +menu 1 +fullscreen 1
Task: {57ACC711-AB46-48E0-9FAE-8B33A7C0D589} - System32\Tasks\aqv9lRCAPnsD => aqv9lrcapnsd.exe
Task: {EE382F37-DE67-4308-9E38-C73E5649E5BD} - System32\Tasks\{BDFD5867-4860-414E-96AD-AC3D5EDEE625} => C:\windows\system32\pcalua.exe -a "C:\Program Files (x86)\Mr DJ\Grand Theft Auto San Andreas\gta_sa.exe" -d "C:\Program Files (x86)\Mr DJ\Grand Theft Auto San Andreas"
ShortcutWithArgument: C:\Users\jkkom\Music\Jay-Z\Vol. 3 ~ The Life & Times Of S. Carter (1999)\Download Blog.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://hiddenthoughts.blog.pl/
ShortcutWithArgument: C:\Users\jkkom\Music\Jay-Z\Vol. 2 ~ Hard Knock Life (1998)\Download Blog.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://hiddenthoughts.blog.pl/
ShortcutWithArgument: C:\Users\jkkom\Music\Jay-Z\The Blueprint 3 (2009)\Download Blog.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://hiddenthoughts.blog.pl/
ShortcutWithArgument: C:\Users\jkkom\Music\Jay-Z\The Blueprint 2 ~ The Gift & The Curse (2002)\Download Blog.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://hiddenthoughts.blog.pl/
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

Superplus · 18 Sierpień 2017 07:51

Fixlog : http://wklej.org/id/3238768/
reszta: http://wklej.org/id/3238769/
http://wklej.org/id/3238770/
http://wklej.org/id/3238771/

Atis · 18 Sierpień 2017 08:21

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

S2 aqv9lRCAPnsD Updater; C:\Program Files (x86)\aqv9lRCAPnsD Updater\aqv9lRCAPnsD Updater.exe [X]
2017-08-18 09:45 - 2017-08-18 09:45 - 001388448 _____ C:\Users\Public\VOIP.dat
2017-08-18 09:45 - 2017-08-18 09:45 - 001388448 _____ C:\Users\Public\ASR.dat
2017-08-18 08:03 - 2017-08-18 08:03 - 000000000 ____D C:\Users\jkkom\Downloads\FRST-OlderVersion
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu

Resetowanie synchronizacji Chrome
Przywracanie ustawień domyślnych Chrome
Zainstaluj uBlock: Firefox - Chrome - Opera

Superplus · 18 Sierpień 2017 18:11

Podziałało chyba głównie za sprawą tego ublocka, a czy wiesz może jak pozbyć się z komputera takiego dziadostwa jak Vidsquare?

Atis · 18 Sierpień 2017 19:32

Tego nie było w logach, więc musiałeś zainstalować po zakończeniu czyszczenia.

Superplus · 18 Sierpień 2017 19:35

Bo chodzi o to że na chrome faktycznie nic sie nie pokazuje, ale np już na Edge tak, nie wiem gdzie to może siedzieć mam już dosyć tych upierdliwych programów, które nie wiem skąd się u mnie biorą…

Atis · 18 Sierpień 2017 19:53

Jak to skąd? Samodzielnie instalujesz adware klikając bezmyślnie Next.
Napisałem, że tego nie widać, a skoro nie raczysz dokładnie opisać kiedy pojawiają się reklamy, to nie wiem na jaką liczysz pomoc.

Superplus · 18 Sierpień 2017 20:42

Nie rozumiem skąd ta nieuprzejmość, ale przemilczę. Nie klikam bezmyślnie next nie jestem tak głupi za jakiego Pan mnie ma, ale cóż widocznie eksperci z tej branży tak mają, nieważne. Reklamy pojawiają się jak np wejdę dajmy na to na allegro i kliknę gdziekolwiek na stronie np na wyszukiwarkę i otwiera się nowa strona, klinę po raz kolejny znowu (otwiera sie reimage lub coś takiego z różnymi reklamami) i tak co jakiś czas, reklamy które sie otwierają sa różne od gier np world of tank po jakieś erotyczne śmieci, czy coś jeszcze jest wymagane do prawidłowej diagnozy?

Atis · 19 Sierpień 2017 10:43

Ktoś mający dostęp do tego komputera zainstalował, bo tego typu adware wymaga działania użytkownika.

Tcpip\..\Interfaces\{ca98cade-1fd4-4986-b2c0-4e98aacc6a1f}: [NameServer] 82.163.142.8,95.211.158.136

W właściwościach połączenia sieciowego usuń szkodliwy DNS:
https://support.opendns.com/hc/en-us/articles/228007207-Windows-10-Configuration
Ustaw Uzyskaj adres IP automatycznie lub wpisz DNS od dostawcy internetu.