Problemy z wyskakującymi kartami z reklamami


(Jakubweclawek11) #1

Witam, piszę w imieniu znajomego. Przytrafił mu się najprawdopodobniej problem z adware. Co chwila otwierają mu się nowe, niechciane karty. Zrobiłem mu skan adwcleanerem, ale problem nie został rozwiązany. Niżej przedstawiam linki do raportów FRST i Addition:

Z góry dziękuję za pomoc i pozdrawiam. :slight_smile:

 

ps. Jeśli coś jest nie w porządku z tematem/postem to proszę o sugestię.


(Atis) #2

Podłączasz pod USB urządzenie zainfekowane wirusem Sality - E:\nhcyx.pif

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-1004336348-861567501-1177238915-1003\...\MountPoints2: {e323f160-7e29-11e4-a639-001422a02e9b} - E:\nhcyx.pif
AlternateShell:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" <======= ATTENTION
HKU\S-1-5-21-1004336348-861567501-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: HomeTab -> {56e32636-e2b8-4b04-9a97-60581dd90f51} -> C:\Program Files\HomeTab\IE\HomeTab.dll No File
Toolbar: HKLM - HomeTab - {56e32636-e2b8-4b04-9a97-60581dd90f51} - C:\Program Files\HomeTab\IE\HomeTab.dll No File
FF Extension: HomeTab - C:\Documents and Settings\UŻYTKOWNIK\Dane aplikacji\Mozilla\Firefox\Profiles\y4ymcrdj.default\Extensions\{cd60c08e-a217-4670-b192-ad6b19f49748} [2015-02-14]
S3 amsint32; \??\C:\WINDOWS\system32\drivers\kqhokn.sys [X]
S3 cpuz134; \??\C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X]
2015-02-14 17:35 - 2015-02-14 17:39 - 00000000 ____ D () C:\AdwCleaner
C:\Documents and Settings\UŻYTKOWNIK\Dane aplikacji\*.exe
2015-01-25 17:12 - 2015-01-25 17:12 - 0002086 _____ () C:\Documents and Settings\UŻYTKOWNIK\Dane aplikacji\GQSQ
2015-01-25 17:12 - 2015-01-25 17:12 - 0001248 _____ () C:\Documents and Settings\UŻYTKOWNIK\Dane aplikacji\JFYFF
Task: C:\WINDOWS\Tasks\GQSQ.job => C:\Documents and Settings\UYTKOWNIK\Dane aplikacji\GQSQ.exe
Task: C:\WINDOWS\Tasks\JFYFF.job => C:\Documents and Settings\UYTKOWNIK\Dane aplikacji\JFYFF.exe
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Jakubweclawek11) #3

Nie rozumiem, mam ściągnąć ten plik Sality, zrzucić go na urządzenie przenośne i podłączyć do komputera?


(Atis) #4

Nie potrafisz czytać?

Było podłączone urządzenie zainfekowane Sality.

Podłączając to urządzenie do komputera infekujesz Windows.


(Jakubweclawek11) #5

Dobra, już wszystko ogarnąłem. Dwukrotnie wyskoczył mi błąd przy naprawianiu (choć pojawił się fixlog), dopiero po podłączeniu urządzenia wszystko poszło w porządku i przesyłam ostatecznego fixloga. Przesyłam także raport FRST:

BTW, znajomy mówi, że był podłączany tylko modem i myszka. Czy myszka też może być zainfekowana tym wirusem? Czy po wysłaniu plików z raportami FRST i Addition mailem na inny komputer też dojdzie do infekcji, czy raczej nie ma się czym obawiać? Ja to jestem zielony w tej materii, więc proszę o wyrozumiałość. Pozdrawiam.


(Atis) #6

Jeżeli podłączyłeś urządzenie to napisz jaką literą oznaczone jest w Mój Komputer.

To musi być urządzenia na którym można zapisywać pliki.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

2015-02-14 08:25 - 2015-02-14 08:25 - 00000000 ____ D () C:\Program Files\Google
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Usuń stare punkty przywracania: http://support.microsoft.com/kb/310405/pl

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj Adobe Flash Player 11 ActiveX i Java 8 Update 25.

Zainstaluj Flash Player 16.0.0.305 ActiveX i Java 8 Update 31

Przeskanuj dysk za pomocą Dr.Web CureIt i napisz czy wykrył wirusy.


(Jakubweclawek11) #7

Ok, dzięki za pomoc. Jak coś dalej będzie nie w porządku to się odezwiemy.