Wyskakujące reklamy


(Basiston) #1

Witam, jestem laikiem więc proszę łopatologicznie. Na innych wątkach przeczytałem więc wklejam. I co dalej?

OTL i Extras nbie chcą wejść.

http://wklej.org/id/1697455/

http://wklej.org/id/1697460/

http://wklej.org/id/1697462/

http://wklej.org/id/1697469/

http://wklej.org/id/1697470/

Tak jak w podobnych wątkach, tylko nie wolno się podłączać. Przy otwartej przeglądarce co chwila wyskakują reklamy w nowych oknach, okienkach, linkach, boczkach, paskach, itp, a komp korbi jakby nie korbił...

Addition.txt

FRST.txt

Addition.txt


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM-x32\...\Run: [mbot_pl_190] => [X]
HKU\S-1-5-21-3320401313-292135679-1673298299-1000\...\Run: [Google Update] => "C:\Users\Piotr\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-3320401313-292135679-1673298299-1000\...\Run: [StartNow Search Protect] => "C:\Program Files (x86)\StartNow Toolbar\search_protect.exe" /RELAY /REPORT /PROTECT
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-3320401313-292135679-1673298299-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF SelectedSearchEngine: luckysearches
FF Extension: Zoom It - C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\sl1k68f5.default\Extensions\{b8b2f6d0-a80c-31c6-0951-409525177cc8} [2015-04-17]
FF Extension: Zoom It - C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\sl1k68f5.default\Extensions\{efd609d3-00cd-b8cb-445c-f5e4a466d2f4} [2015-04-26]
FF SearchPlugin: C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\sl1k68f5.default\searchplugins\startnow.xml [2015-04-25]
FF Extension: McAfee Security Scan Plus - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
OPR Extension: (Wooden Seal) - C:\Users\Piotr\AppData\Roaming\Opera Software\Opera Stable\Extensions\kkmjbobfilemnhlmmfmmgbhlkiddlfcc [2015-04-20]
S2 poxuwyvy; C:\Users\Piotr\AppData\Roaming\4F694600-1429255759-11B2-8000-EEE4FF2F7670\jnsnF6FC.tmp [X]
S2 solomero; C:\Users\Piotr\AppData\Roaming\4F694600-1429255759-11B2-8000-EEE4FF2F7670\nsiC9BF.tmpfs [X]
S2 Update Wooden Seal; "C:\Program Files (x86)\Wooden Seal\updateWoodenSeal.exe" [X]
S2 Util Wooden Seal; "C:\Program Files (x86)\Wooden Seal\bin\utilWoodenSeal.exe" [X]
S3 cpuz134; \??\C:\Users\Piotr\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
2015-04-26 17:45 - 2015-04-26 18:01 - 00000000 ____ D () C:\AdwCleaner
2015-04-26 16:07 - 2015-04-26 16:07 - 00000000 __SHD () C:\found.000
2015-04-17 10:04 - 2015-04-25 10:54 - 00000000 ____ D () C:\Users\Piotr\AppData\Local\4F694600-1429265081-11B2-8000-EEE4FF2F7670
2015-04-17 09:59 - 2015-04-25 11:04 - 00000004 _____ () C:\windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2013-07-10 13:42 - 2013-07-10 13:42 - 4249600 _____ () C:\Program Files (x86)\GUT31F9.tmp
2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 _____ () C:\Users\Piotr\AppData\Roaming\5QPzVDonIIbWsbFlrdTR8yMd
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Piotr\AppData\Roaming\BNKAtYQu3
C:\ProgramData\*.log
C:\Users\Piotr\AppData\Roaming\*.exe
C:\Users\Piotr\xobglu16.dll
CustomCLSID: HKU\S-1-5-21-3320401313-292135679-1673298299-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3320401313-292135679-1673298299-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3320401313-292135679-1673298299-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3320401313-292135679-1673298299-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3320401313-292135679-1673298299-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3320401313-292135679-1673298299-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3320401313-292135679-1673298299-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {1D5A5823-BC9D-4E4C-8BD9-F842F4053346} - System32\Tasks\{622B84FC-2767-4A56-9CC9-0C279DFE163B} => Firefox.exe http://ui.skype.com/ui/0/5.8.0.158/pl/abandoninstall?page=tsMain
Task: {943AD4DC-D105-4281-A5E9-29753513EA2D} - System32\Tasks\{DFACAECC-84C9-4667-86FD-42C39D199C3A} => pcalua.exe -a C:\Users\Piotr\AppData\Roaming\luckysearches\UninstallManager.exe -c -ptid=cmi
Task: {A4B2BC1F-78F0-45B4-84AC-B3D05B10C4A2} - System32\Tasks\BNKAtYQu3 => C:\Users\Piotr\AppData\Roaming\BNKAtYQu3.exe [2015-04-20] () <==== ATTENTION
Task: {A70F3FE6-B7A6-4BC6-B8F0-3B8E1478A41C} - System32\Tasks\{6D1B0179-B1D6-4C2C-8A28-7DEB6175705F} => pcalua.exe -a C:\Users\Piotr\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=squadm
Task: C:\windows\Tasks\5QPzVDonIIbWsbFlrdTR8yMd.job => C:\Users\Piotr\AppData\Roaming\5QPzVDonIIbWsbFlrdTR8yMd.exe <==== ATTENTION
Task: C:\windows\Tasks\BNKAtYQu3.job => C:\Users\Piotr\AppData\Roaming\BNKAtYQu3.exe <==== ATTENTION
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Basiston) #3

Kurcze nie wiem jak wkleić ten raport bo wyskoczył na ekranie i zapisałem PrtSc w wordzie.

 

Napisane

Fix Completed. The “Fixlog.txt” is saved in the same directory FRST is located.

No i o restarcie.

http://wklej.org/id/1698221/

A to po skanie.

http://wklej.org/id/1698185/

 

 


(Atis) #4

Odinstaluj McAfee Security Scan.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2013-10-02]
Startup: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hqghumeaylnlf.lnk [2015-04-17]
C:\ProgramData\{94db1eb9-432e-3fe9-94db-b1eb94327ae5}
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll [2014-04-09] (McAfee, Inc.)
FF HKU\S-1-5-21-3320401313-292135679-1673298299-1000\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.)
S2 rubivifi; C:\Users\Piotr\AppData\Local\4F694600-1429265081-11B2-8000-EEE4FF2F7670\insg4F2B.tmp [X]
C:\Users\Piotr\AppData\Local\4F694600-1429265081-11B2-8000-EEE4FF2F7670
2015-04-27 19:45 - 2015-04-27 19:45 - 00000000 ____ D () C:\Users\Piotr\Downloads\FRST-OlderVersion
C:\Program Files\McAfee Security Scan
2015-04-25 10:51 - 2015-04-25 10:51 - 00004058 _____ () C:\windows\System32\Tasks\5QPzVDonIIbWsbFlrdTR8yMd
C:\Users\Piotr\xobglu32.dll
C:\Users\Piotr\AppData\Roaming\*.exe
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Basiston) #5

http://wklej.org/id/1698472/

http://wklej.org/id/1698470/


(Atis) #6

Nie wiem co Ty robisz, że znowu zainstalowałeś szkodliwe rozszerzenia które wcześniej zostały usunięte.

W pasek adresu wpisz: about:support Kliknij Odśwież program Firefox.

Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj Adobe Reader X i zainstaluj Adobe Reader XI 11.0.10


(Basiston) #7

Po kolei.

Nic nie robiłem, nie nadążałem wyłączać reklam jak z Kolegą Pisałem.

Lapek synka więc On załapał te syfy.

Co do pomocy to była tak od razu, wygląda, że pomogło tylko nie rozumiem wpisu “Język PL > Settings > General Settings > Language > Polish” resztę wykonałem zgodnie z instrukcją.

 

Pięknie dziękuję za pomoc i polecam się… gdyby coś się znowu zepsuło.


(Atis) #8

Język PL odnosił się do ustawień programu Malwarebytes.

Dodaj wszystko do kwarantanny i na tym koniec.