sylkt
(Sylkt)
6 Kwiecień 2015 15:47
#1
Dzień dobry, mam problem. Przy ściąganiu musiałam załapać jakiegoś wirusa, który po klikaniu przekierowuje mnie na reklamy. Proszę o pomoc, sama się na tym tak dobrze nie znam żeby to naprawić. Zainstalowałam AdwCleanera, usunęłam to co mi zeskanowało, ale problem nie zniknął
raporty FRST:
FRST
http://wklej.org/id/1681160/
Addition
http://wklej.org/id/1681164/
Acorus
(Acorus)
6 Kwiecień 2015 16:11
#2
Otwórz notatnik systemowy i wklej:
Task: {05A8DB1A-E187-490B-8E2A-3BB711269A17} - System32\Tasks\4936 = Wscript.exe C:\Users\Sylwiaz\AppData\Local\Temp\launchie.vbs //B ==== ATTENTION
Task: {0C6A787F-579C-4A05-A611-BECA6B99CF7E} - System32\Tasks\dress4u_updating_service = C:\Program Files (x86)\dress4u\dress4u_updating_service.exe [2015-04-04] ()
Task: {3266ED7A-4684-4899-A844-10E838541817} - System32\Tasks\0 = Iexplore.exe ==== ATTENTION
Task: {370E793D-C511-4129-AD2A-5723BA13545A} - System32\Tasks\dress4u_notification_service = C:\Program Files (x86)\dress4u\dress4u_notification_service.exe [2015-04-04] (FileProperties_CompanyName)
Task: {3C6E0803-4F77-4BFD-B977-956F21D185C1} - System32\Tasks\{2F02EE1E-6445-4FA1-B5EE-1DA7F7060251} = pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" -d "C:\Program Files (x86)\YouTube Accelerator"
Task: C:\windows\Tasks\dress4u_notification_service.job = C:\Program Files (x86)\dress4u\dress4u_notification_service.exeă/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='dress4u' /appid='73143' /srcid='2913' /bic='5cb7c9ea62ee7a824c578cae28c322f2' /verifier='61a2df96f5010f1835ae9c72a92c41ac' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif
Task: C:\windows\Tasks\dress4u_updating_service.job = C:\Program Files (x86)\dress4u\dress4u_updating_service.exe¨ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=dress4u_updating_service /funurl=http:/stats.buildomserv.com
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] = C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe [37960 2013-05-10] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [RemoteControl10] = C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe [97392 2012-08-15] (CyberLink Corp.)
HKLM-x32\...\Run: [CLMLServer_For_P2G8] = C:\Program Files (x86)\CyberLink\Power2Go8\CLMLSvc_P2G8.exe [111120 2012-06-08] (CyberLink)
HKLM-x32\...\Run: [CLVirtualDrive] = C:\Program Files (x86)\CyberLink\Power2Go8\VirtualDrive.exe [491120 2012-07-12] (CyberLink Corp.)
HKLM-x32\...\Run: [GrooveMonitor] = C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [NPSStartup] = [X]
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=dsts=1402573697from=coruid=HitachiXHTS547575A9E384_J2190020DRLM5CDRLM5CXq={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=dsts=1402573697from=coruid=HitachiXHTS547575A9E384_J2190020DRLM5CDRLM5CXq={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=dsts=1402573697from=coruid=HitachiXHTS547575A9E384_J2190020DRLM5CDRLM5CXq={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=dsts=1402573697from=coruid=HitachiXHTS547575A9E384_J2190020DRLM5CDRLM5CXq={searchTerms}
HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\.DEFAULT - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
SearchScopes: HKU\.DEFAULT - {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=dsts=1422560231from=zbd1uid=hitachixhts547575a9e384_j2190020drlm5cdrlm5cxq={searchTerms}
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 - {1838EEB7-D790-4C38-977B-7610FC411ABC} URL =
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
FF SearchEngineOrder.1: V9
FF SelectedSearchEngine: V9
CHR HKLM-x32\...\Chrome\Extension: [cfcbmgbfdbijmjgjihagbomfbjfjmgon] - C:\Users\Sylwiaz\AppData\Roaming\SpeedanAlysis\speedanalysis.crx [Not Found]
U3 acnsvi5g; C:\Windows\System32\Drivers\acnsvi5g.sys [0] (Intel Corporation) ==== ATTENTION (zero size file/folder)
S3 CrystalSysInfo; \\C:\Program Files (x86)\MediaCoder\SysInfoX64.sys [X]
U4 Messenger; No ImagePath
U3 pwloypob; \\C:\Users\Sylwiaz\AppData\Local\Temp\pwloypob.sys [X]
2015-04-05 22:28 - 2015-04-05 23:43 - 00000000 ____ D () C:\AdwCleaner
2015-04-04 21:04 - 2015-04-06 16:27 - 00000004 _____ () C:\windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-04-04 20:04 - 2015-04-06 16:27 - 00001314 _____ () C:\windows\Tasks\dress4u_notification_service.job
2015-04-04 20:04 - 2015-04-06 16:27 - 00000676 _____ () C:\windows\Tasks\dress4u_updating_service.job
2015-04-04 20:04 - 2015-04-04 20:04 - 00004312 _____ () C:\windows\System32\Tasks\dress4u_notification_service
2015-04-04 20:04 - 2015-04-04 20:04 - 00003674 _____ () C:\windows\System32\Tasks\dress4u_updating_service
2015-04-04 20:04 - 2015-04-04 20:04 - 00000000 ____ D () C:\Program Files (x86)\dress4u
2015-03-31 10:14 - 2015-03-31 10:14 - 00004387 _____ () C:\Users\Sylwiaz\AppData\Roaming\vzk1mGqsy4jJdcsipZUutQlpq0d
2015-03-31 10:14 - 2015-03-31 10:14 - 00004387 _____ () C:\Users\Sylwiaz\AppData\Roaming\VelAP6l4WqocagSb3BnZS
015-01-02 14:59 - 2015-01-02 14:59 - 1363944 _____ (Object Browser) C:\Users\Sylwiaz\AppData\Roaming\RBA.exe
2015-03-31 10:14 - 2015-03-31 10:14 - 0004387 _____ () C:\Users\Sylwiaz\AppData\Roaming\VelAP6l4WqocagSb3BnZS
2015-01-02 14:58 - 2015-01-02 14:58 - 1843688 _____ (Object Browser) C:\Users\Sylwiaz\AppData\Roaming\VNUN.exe
2015-03-31 10:14 - 2015-03-31 10:14 - 0004387 _____ () C:\Users\Sylwiaz\AppData\Roaming\vzk1mGqsy4jJdcsipZUutQlpq0d
C:\ProgramData\MakeMarkerFile.exe
C:\Users\EasySurvey\EasySurvey.exe
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
sylkt
(Sylkt)
6 Kwiecień 2015 16:33
#3
Niestety, zrobiłam tak, ale nie pomogło te reklamy ciągle nie dają mi spokoju. Może pomocna będzie informacja, że avast mi wyświetla czasem zagrożoną stronę, która się samoczynnie chce włączyć (http://clickater.com/view/hM4hfFplyZXa3nd6Fgn8Kc5Xd2NP3hw8v7LTHCwhSalSSpU?tid=JMC1145_clBRJ5Qo6j-PZjUBTZ4HJy&c=3120&pid=15 ),
ale mimo tego dalej mnie przekierowuje na inne strony “krzaki”.
Acorus
(Acorus)
6 Kwiecień 2015 17:24
#4
Reset Chrome: https://support.google.com/chrome/answer/3296214?hl=pl
W pasek adresu wpisz: about:support Kliknij Odśwież program Firefox.
sylkt
(Sylkt)
6 Kwiecień 2015 18:18
#5
Co prawda mniej mi się tego wyświetla, ale wciąż co jakiś czas pojawia się nowa niechciana strona kiedy przeglądam strony w Internecie.
sylkt
(Sylkt)
7 Kwiecień 2015 22:35
#7
Mozilla firefox, odinstalowałam ją i ściągnęłam chrome, mam nadzieję, że problem się nie pojawi. Czy możliwe że dany wirus zainfekował tylko przeglądarkę, jeśli tak, czy samo odinstalowanie jej wystarczy?
sylkt
(Sylkt)
8 Kwiecień 2015 13:34
#9
OK, dziękuję bardzo za pomoc