Problem z wirusem Advertising Support

lukasz0332 (F W Michalski) 2014-02-05 18:08:08 UTC #1

Witam mam problem z wirusem Advertising Support wyswietla reklamy.

Proszę o pomoc.

W załączniku logi z OTL, przy okazji prosiłbym o analizę ogólną tych logów.

OTL:

http://www.wklej.org/id/1263261/

Extras:

http://www.wklej.org/id/1263285/

Acorus (Acorus) 2014-02-05 19:12:22 UTC #2

Odinstaluj ASUS WebStorage,LiveVDO plugin 1.3,SpyHunter4 wersja 4.16.5.4290.Użyj AdwCleaner http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Pokaż nowy OTL.txt

lukasz0332 (F W Michalski) 2014-02-05 19:44:50 UTC #3

OTL:

http://www.wklej.org/id/1263439/

Acorus (Acorus) 2014-02-06 08:34:07 UTC #4

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe -- (Amsp)
DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
[2014-02-01 11:20:45 | 000,000,000 | ---D | M] (UTUbeNoAds) -- C:\Users\ŁukaszM\AppData\Roaming\mozilla\Firefox\Profiles\9tu4unbk.default-1371946415772\extensions\j209qu-hawg@ee-kdskxq.net
[2013-12-30 10:12:31 | 000,000,000 | ---D | M] (EexstiraSoavings) -- C:\Users\ŁukaszM\AppData\Roaming\mozilla\Firefox\Profiles\9tu4unbk.default-1371946415772\extensions\jyow@wcol.co.uk
[2013-12-30 10:12:31 | 000,000,000 | ---D | M] (SaveNeewAAoppz) -- C:\Users\ŁukaszM\AppData\Roaming\mozilla\Firefox\Profiles\9tu4unbk.default-1371946415772\extensions\oioa9t133me@inhohkoq.net
O2:64bit: - BHO: (UTUbeNoAds) - {399A23A8-7847-5B68-6220-FFA296FC63DB} - C:\ProgramData\UTUbeNoAds\2Am.x64.dll ()
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O4 - HKU\S-1-5-21-1441660394-738513553-3567225404-1001..\Run: [Facebook Update] C:\Users\ŁukaszM\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\S-1-5-21-1441660394-738513553-3567225404-1001..\Run: [NextLive] C:\Users\ŁukaszM\AppData\Roaming\newnext.me\nengine.dll (NewNextDotMe)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-1441660394-738513553-3567225404-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~3\KEEPNB~1\KEEPNB~2.DLL) - C:\ProgramData\KeepnBrowse\KeepnBrowse_x64.dll ()
O20 - AppInit_DLLs: (c:\progra~3\keepnb~1\keepnb~1.dll) - c:\ProgramData\KeepnBrowse\KeepnBrowse.dll ()
[2014-02-05 20:17:49 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-02-03 22:23:18 | 000,000,000 | ---D | C] -- C:\Users\ŁukaszM\.android
[2014-02-03 22:23:15 | 000,000,000 | ---D | C] -- C:\Users\ŁukaszM\AppData\Roaming\newnext.me
[2014-02-03 22:23:15 | 000,000,000 | ---D | C] -- C:\Users\ŁukaszM\Documents\Mobogenie
[2014-02-03 22:23:15 | 000,000,000 | ---D | C] -- C:\Users\ŁukaszM\AppData\Local\Mobogenie
[2014-02-03 22:23:15 | 000,000,000 | ---D | C] -- C:\Users\ŁukaszM\AppData\Local\genienext
[2014-02-03 22:23:15 | 000,000,000 | ---D | C] -- C:\Users\ŁukaszM\AppData\Local\cache
[2014-02-03 22:22:24 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mobogenie
[2014-02-02 17:20:45 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2014-02-02 17:19:44 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Wise Installation Wizard
[2014-02-01 11:20:34 | 000,000,000 | ---D | C] -- C:\ProgramData\UTUbeNoAds
[2014-02-01 11:20:21 | 000,000,000 | ---D | C] -- C:\ProgramData\mnlglnfofgaogabcjkgboekgeokiofeh
[2014-02-05 19:39:01 | 000,000,936 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1441660394-738513553-3567225404-1001UA.job
[2014-02-05 19:39:01 | 000,000,914 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1441660394-738513553-3567225404-1001Core.job
[2014-02-04 12:41:05 | 000,047,395 | ---- | M] () -- C:\spyhunter.fix
[2014-02-03 23:25:00 | 000,014,232 | ---- | C] () -- C:\Windows\SysWow64\sh4native.exe
[2012-04-05 10:19:22 | 000,000,000 | ---D | M] -- C:\Users\ŁukaszM\AppData\Roaming\ASUS WebStorage

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.

lukasz0332 (F W Michalski) 2014-02-06 09:06:35 UTC #5

Dziękuje bardzo.

W chwili obecnej wszystko śmiga jak należy.

Mam jeszcze jeden mały problem przy włączaniu komputera wyskakuje mi komunikat błąd skryptu.

W załączniku zdjęcie tego komunikatu.

Jak się tego pozbyć.

Z góry bardzo dziękuje.

Pozdrawiam.

http://www.fotosik.pl/pokaz_obrazek/38539b899a52cb68.html

Acorus (Acorus) 2014-02-06 09:13:19 UTC #6

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa "Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje."

lukasz0332 (F W Michalski) 2014-02-06 09:39:03 UTC #7

Zrobiłem skanowanie. Znalazło 9 zarażonych.

Zostały usunięte a błąd skryptu dalej się pojawia.

Logi z malware:

http://www.wklej.org/id/1263840/

Acorus (Acorus) 2014-02-06 11:08:10 UTC #8

Zaznacz wszystko-usuń zaznaczone.

lukasz0332 (F W Michalski) 2014-02-06 11:20:32 UTC #9

Tak wlasnie zrobilem i dalej to samo.

http://www.wklej.org/id/1263902/

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem