Wirusy, szkodliwe oprogramowanie

arkt · 4 Lipiec 2015 21:27

Witam,

Mam problem z reklamami w przeglądarkach, pojawiają się wszędzie w każdej przeglądarce.

Poniżej informacje z FRST

http://www.wklej.org/id/1751631/

http://www.wklej.org/id/1751632/

http://www.wklej.org/id/1751633/

Używałam już ADWCleaner`a jednak po czyszczeniu reklamy pozostały w chrome, a uruchamianie folderów zajmuje ok 30 sekund. Komputer zwolnił po czyszczeniu ADW.

Dlatego też proszę o pomoc.

Atis · 4 Lipiec 2015 22:07

W panelu sterowania odinstaluj:

Akamai NetSession Interface

McAfee Security Scan Plus

Norton Internet Security i użyj Norton Removal Tool

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe [35736 2012-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [843712 2012-01-03] (Adobe Systems Incorporated)
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-2022989157-1159606025-1341074724-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Aster\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.)
HKU\S-1-5-21-2022989157-1159606025-1341074724-1001\...\Run: [Xvid] => C:\Program Files (x86)\Xvid\CheckUpdate.exe [8192 2011-01-17] ()
BootExecute:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2022989157-1159606025-1341074724-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {EC25EA9A-63F7-42F6-A76C-29C817088386} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link_code=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {EC25EA9A-63F7-42F6-A76C-29C817088386} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link_code=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
Toolbar: HKU\S-1-5-21-2022989157-1159606025-1341074724-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF HKU\S-1-5-21-2022989157-1159606025-1341074724-1001\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
CHR Extension: (browse pulse) - C:\Users\Aster\AppData\Local\Google\Chrome\User Data\Default\Extensions\fkebppifaacpcobacbmappoffccoockj [2015-05-30]
CHR Extension: (Bookmark Manager) - C:\Users\Aster\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-31]
S2 mks_services; "C:\Program Files (x86)\mks_vir_9\bin\mks_services.exe" [X]
R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50976 2014-03-02] (AVG Technologies)
C:\Windows\system32\drivers\avgtpx64.sys
R3 ALSysIO; \??\C:\Users\Aster\AppData\Local\Temp\ALSysIO64.sys [X]
S3 BT; system32\DRIVERS\btnetdrv.sys [X]
S3 BTCOM; system32\DRIVERS\btcomport.sys [X]
S3 Btcsrusb; System32\Drivers\btcusb.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X]
2013-09-21 16:25 - 2013-09-21 16:25 - 0361117 _____ () C:\Users\Aster\AppData\Local\newhb2.crx
2014-08-07 18:51 - 2014-08-24 09:56 - 0000004 _____ () C:\Users\Aster\AppData\Roaming\appdataFr2.bin
2013-05-25 15:55 - 2014-03-02 19:17 - 0003738 _____ () C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml
CustomCLSID: HKU\S-1-5-21-2022989157-1159606025-1341074724-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Aster\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File
Task: {0940188A-8E1B-482B-AAA0-0587714327CC} - System32\Tasks\{EA748345-D03F-45ED-B276-CDBEF024F870} => pcalua.exe -a F:\autorun.exe -d F:\
Task: {0F8309DF-49E7-4F14-83AE-F50CD8E61450} - System32\Tasks\{52695056-A5F1-4669-9FE6-8F8DCCE5E8A4} => pcalua.exe -a C:\Users\Aster\Downloads\sp55104.exe -d C:\Users\Aster\Downloads
Task: {0FCA972B-1F68-4FEF-B8AC-CD187FDF264C} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.)
Task: {5F31E61B-0716-41C3-AAF7-23122E42D1D9} - System32\Tasks\{88356A14-AEEE-44BE-B394-15E178AAA499} => pcalua.exe -a C:\Users\Aster\Downloads\sp55102.exe -d C:\Users\Aster\Downloads
Task: {B66C84F4-BEA6-4A99-B3CA-A74CE3605228} - System32\Tasks\{173DCF4E-5A31-4C7C-9EC4-290A40683752} => pcalua.exe -a E:\install.exe -d E:\
Task: {BB4EBB75-B4E0-464D-828D-652713F67BFA} - System32\Tasks\Symantec\Norton Error Analyzer 18.7.2.3 => C:\Program Files (x86)\Norton Internet Security\Engine\18.7.2.3\SymErr.exe [2012-06-08] (Symantec Corporation)
Task: {C93A9FC4-E145-4875-8BF0-2EF516E8B8F4} - System32\Tasks\Symantec\Norton Error Processor 18.7.2.3 => C:\Program Files (x86)\Norton Internet Security\Engine\18.7.2.3\SymErr.exe [2012-06-08] (Symantec Corporation)
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

arkt · 4 Lipiec 2015 22:34

Program niestety nie był w stanie dotrzeć do końca komunikat o konieczności zamknięcia programu i przerwał działanie to co powstało w linku poniżej.

http://www.wklej.org/id/1751659/

i scan po http://www.wklej.org/id/1751663/

Atis · 5 Lipiec 2015 09:38

Nie możesz sprawdzić jakie raporty wkleiłaś zanim wyślesz post?

arkt · 5 Lipiec 2015 20:16

Wkleiłam to co wyszło z programu wg wskazówek powyżej…

Chyba nie rozumiem Twojego pytania? Co zrobiłam źle?

Atis · 5 Lipiec 2015 20:32

Po co wkleiłaś dwa razy ten sam raport Fixlog?

Miał być Fixlog i nowy raport z opcji Scan.

arkt · 6 Lipiec 2015 19:09

Ok, faktycznie pomyliłam się, poniżej poprawne dane.

http://www.wklej.org/id/1752553/

Atis · 6 Lipiec 2015 22:31

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

2015-07-05 00:19 - 2011-09-27 17:15 - 00000000 ____ D C:\ProgramData\Norton
2015-07-04 17:18 - 2015-04-19 09:17 - 00000000 ____ D C:\ProgramData\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15
Hosts:
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK

Odinstaluj:

Adobe Flash Player 17 ActiveX

Adobe Flash Player 18 NPAPI

Adobe Reader X

Adobe Shockwave Player 11.5