Niechciane reklamy

[Pikor]

Objawy zainfekowania: Co chwila wyskakują reklamy w nowych kartach a także na stronie po bokach i na dole.W przypadku wejścia na niektóre strony muszę najpierwprzepisać kod z obrazka aby na nią wejść. Mam także problem z pingiem w grach typu League Of Legends , Counter Strike tak jakby internet gubił pakiety [dostawca zapewnia , że jest ok] Jeżeli da się to jakoś naprawić to prosiłbym o jakieś wskazówki
Napisz czym objawia się infekcja

Wykonywane działania: Brak
Opisz czym był skanowany komputer, jakie posiada oprogramowanie ochronne Był avast ale usunąłem bo mnie wkur...

Logi:
Tutaj umieść linki do logów z FRST i OTL
FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

ADDITION:

[Aby zobaczyć linki, zarejestruj się tutaj]

SHORTCUT:

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Pikor]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Następna mądrość,wykonanie adw po wcześniejszym zapodaniu logów.

Tak więc zrób logi jeszcze raz + Extras.txt

[Pikor]

Nie mogę dodać nic na wklej org bo jakiś erro 500 coś tam wyskakuje ;C Mogę wrzucić logi w załącznikach ?

[Pikor]

Shortcut:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS:

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

CloseProcesses:
HKLM-x32\...\Run: [gmsd_pl_14] => [X]
HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\Run: [SoftonicAssistant] => C:\Users\Krzysztof\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe [1829832 2014-11-11] ()
HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: {6cdb048e-643e-11e4-b6b3-90a4dee0025c} - C:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Start.hta
Startup: C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rejestracja FIFA 09.lnk
ShortcutTarget: Rejestracja FIFA 09.lnk -> C:\Program Files (x86)\EA Sports\FIFA 09\Support\EAregister.exe (Leader Technologies)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>No File
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3103525249-1077354125-3941522485-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms}
BHO-x32: Symantec NCO BHO -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> C:\Program Files (x86)\Norton Internet Security\Engine\18.7.2.3\coIEPlg.dll No File
BHO-x32: Symantec Intrusion Prevention -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton Internet Security\Engine\18.7.2.3\IPS\IPSBHO.DLL No File
S2 NIS; "C:\Program Files (x86)\Norton Internet Security\Engine\18.7.2.3\ccSvcHst.exe" /s "NIS" /m "C:\Program Files (x86)\Norton Internet Security\Engine\18.7.2.3\diMaster.dll" /prefetch:1
S2 Update Faster Light; "C:\Program Files (x86)\Faster Light\updateFasterLight.exe" [X]
S2 Util Faster Light; "C:\Program Files (x86)\Faster Light\bin\utilFasterLight.exe" [X]
() C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka
C:\Program Files (x86)\Buka
C:\ProgramData\Orbit
C:\Program Files (x86)\youtubeadblocker
C:\Program Files (x86)\unisAles
C:\ProgramData\iaobjlnlcbohfmhalgjiielcljnffehh
C:\Users\Krzysztof\AppData\Local\SoftonicAssistant
C:\Users\Krzysztof\AppData\Local\{56BAA05B-A143-43DC-8CE9-B55C676A96EA}
C:\Users\Krzysztof\AppData\Local\nskC4AE.tmp
C:\windows\system32\2014-12-30-09-49-23.079-AvastVBoxSVC.exe-4328.log
C:\Users\Krzysztof\AppData\Local\nsh3410.tmp
C:\windows\patsearch.bin
C:\windows\system32\2014-12-30-06-53-02.056-AvastVBoxSVC.exe-2864.log
C:\Users\Krzysztof\Documents\Default.sfvidcap
C:\Users\Krzysztof\AppData\Local\nsrAF84.tmp
C:\Users\Krzysztof\AppData\Local\{3FED7513-8324-4F2F-B0FD-B9D9D44C310B}
C:\windows\system32\--traceoff
C:\windows\system32\--debugoff
C:\windows\system32\2014-12-29-09-27-28.031-AvastVBoxSVC.exe-3456.log
C:\windows\system32\2014-12-29-08-54-23.053-AvastVBoxSVC.exe-3816.log
C:\Users\Krzysztof\AppData\Local\{57493C01-5B7D-40A9-9FB6-257CBDCFE941}
C:\Program Files (x86)\MC2
C:\windows\System32\Tasks\{7593D202-578F-423D-BF64-A791786BF1A7}
C:\windows\System32\Tasks\{C6DC5B1B-0605-45CD-819F-C36F645AB558}
C:\windows\system32\2014-12-27-09-06-42.058-AvastVBoxSVC.exe-5632.log
C:\windows\system32\2014-12-27-07-18-50.027-AvastVBoxSVC.exe-4416.log
C:\windows\system32\2014-12-26-18-11-58.048-AvastVBoxSVC.exe-4080.log
C:\windows\system32\2014-12-26-10-20-31.093-AvastVBoxSVC.exe-1944.log
C:\windows\system32\2014-12-26-09-36-14.036-AvastVBoxSVC.exe-4196.log
C:\Users\Krzysztof\eee
C:\windows\system32\2014-12-25-14-11-37.047-AvastVBoxSVC.exe-2872.log
C:\windows\system32\2014-12-25-09-20-57.052-AvastVBoxSVC.exe-3420.log
C:\windows\system32\2014-12-25-07-55-09.034-AvastVBoxSVC.exe-2512.log
C:\windows\system32\2014-12-24-20-23-45.082-AvastVBoxSVC.exe-3688.log
C:\windows\system32\2014-12-24-09-24-12.069-AvastVBoxSVC.exe-2188.log
C:\windows\system32\2014-12-24-08-35-25.065-AvastVBoxSVC.exe-3064.log
C:\windows\system32\2014-12-24-07-03-58.081-AvastVBoxSVC.exe-3592.log
C:\windows\system32\2014-12-23-13-16-36.046-AvastVBoxSVC.exe-5748.log
C:\windows\SysWOW64\shoA6FC.tmp
C:\windows\system32\2014-12-23-13-16-36.046-AvastVBoxSVC.exe-5748.log
C:\windows\SysWOW64\vbox
C:\windows\system32\vbox
C:\ProgramData\AVAST Software
C:\windows\SysWOW64\AI_RecycleBin
C:\Users\Krzysztof\AppData\Roaming\Origin\update.vbe
C:\Users\Krzysztof\AppData\Roaming\Mozilla
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
CustomCLSID: HKU\S-1-5-21-3103525249-1077354125-3941522485-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Krzysztof\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
Task: {03BD8DAB-F887-4E6C-B00E-1A9720AEC662} - System32\Tasks\{5755A697-8FAE-4F7C-8AC4-1A3D2BC95F4F} => pcalua.exe -a C:\Users\Krzysztof\Desktop\mizyka\DirectX\dxsetup.exe -d C:\Users\Krzysztof\Desktop\mizyka\DirectX
Task: {1F8A9431-9EEC-4156-8263-12EC8EE094AE} - System32\Tasks\Origin => C:\Users\Krzysztof\AppData\Roaming\Origin\update.vbe [2014-12-31] () <==== ATTENTION
Task: {37603F3F-18C9-4787-8266-6D97F5981D5E} - System32\Tasks\{BD4D2DAF-BAE6-4ACD-8DC7-05956EAEB498} => pcalua.exe -a C:\Users\Krzysztof\AppData\Roaming\sweet-page\UninstallManager.exe -c-ptid=cor
Task: {53862418-F4C5-44CD-B48C-3325BCC921E1} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2014-12-19] (Adobe Systems Incorporated)
Task: {5A366687-9046-4A63-AD63-7A1094B2A34D} - System32\Tasks\Voo Update => C:\Users\KRZYSZ~1\AppData\Roaming\VOOUPD~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {5CAE888C-026E-4E54-9C4A-C453FCDCA775} - System32\Tasks\{79E197B1-0D6F-460B-ADBB-2B273AB2B615} => pcalua.exe -a C:\WINDOWS\st6unst.exe -c -n "C:\Program Files (x86)\HLTooLz\ST6UNST.LOG"
Task: {66A2C62E-6D88-417B-89D9-E00C9FA21D76} - System32\Tasks\{9D4864D5-384C-431E-B06E-275766EEC030} => pcalua.exe -a C:\windows\IsUninst.exe -c -f"C:\Program Files (x86)\Play.com.pl\Paintball Shooter\Uninst.isu"
Task: {90B4BED3-7D8B-4513-8C7B-CD646BBBE01F} - System32\Tasks\{D29FF866-1D9C-4042-8CA0-5704FD092A36} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe"
Task: {983335BB-E5FF-4629-B85D-B8B6AFB8FF36} - System32\Tasks\{7593D202-578F-423D-BF64-A791786BF1A7} => pcalua.exe -a C:\Users\Krzysztof\Downloads\battlefield2demo.exe -d C:\Users\Krzysztof\Downloads
Task: {A1A5F60E-F6BD-4D16-801F-C29F9EAF1B23} - System32\Tasks\{C56CE317-410A-49AA-8550-D62C898CD829} => pcalua.exe -a "C:\Program Files (x86)\Symulator Jazdy Samochodem 2006 PL\unins000.exe"
Task: {B73DB029-93DF-46E7-8D72-17A6CCA3A39F} - System32\Tasks\SamsungSupportCenter => C:\Program Files (x86)\Samsung\Samsung Support Center\SSCKbdHk.exe [2011-09-04] (SAMSUNG Electronics)
Task: {BCE9F9EF-202A-4941-9D38-F27FA697D5DF} - System32\Tasks\SvcDelay => C:\Windows\temp\SvcDelay.exe
Task: {D0EF75E4-7747-4416-9762-122937E455E4} - System32\Tasks\{C6DC5B1B-0605-45CD-819F-C36F645AB558} => pcalua.exe -a C:\windows\IsUn0415.exe -c -fC:\SIERRA\SWAT3\Uninst.isu
Task: C:\windows\Tasks\Voo Update.job => C:\Users\KRZYSZ~1\AppData\Roaming\VOOUPD~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh advfirewall reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Krzysztof\AppData\Local
CMD: dir /a C:\Users\Krzysztof\AppData\LocalLow
CMD: dir /a C:\Users\Krzysztof\AppData\Roaming
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj Google Chrome i zainstaluj jeszcze raz

[Aby zobaczyć linki, zarejestruj się tutaj]

Odinstaluj:

Adobe Flash Player 11 Plugin
Adobe Download Assistan
Java 7 Update 67
JavaFX 2.1.0
Softonic Assistant
Mozilla Maintenance Service

Użyj narzędzia Norton_Removal_Tool

[Aby zobaczyć linki, zarejestruj się tutaj]

Użyj adwcleaner jeszcze i pokaż log z niego.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt+OTL ale bez extras

[Pikor]

adwcleaner :

[Aby zobaczyć linki, zarejestruj się tutaj]

addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

frst:

[Aby zobaczyć linki, zarejestruj się tutaj]

fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
FF StartMenuInternet: FIREFOX.EXE - firefox.exe
C:\windows\system32\2014-12-28-09-49-43.012-AvastVBoxSVC.exe-2428.log
C:\windows\system32\2014-12-28-07-37-02.066-AvastVBoxSVC.exe-1496.log
C:\Program Files\Symantec
C:\Program Files (x86)\Java
C:\Program Files (x86)\AVS4YOU
C:\Program Files (x86)\Oracle
C:\Program Files (x86)\Pando Networks
C:\Program Files (x86)\v9Soft
C:\Program Files (x86)\Common Files\Java
C:\Program Files (x86)\Common Files\Symantec Shared
C:\Program Files (x86)\Common Files\YDP
C:\ProgramData\Gadu-Gadu 10
C:\ProgramData\GG
C:\ProgramData\AVS4YOU
C:\ProgramData\McAfee
C:\ProgramData\Mozilla
C:\ProgramData\TuneUp Software
C:\ProgramData\VirtualizedApplications
C:\ProgramData\WinClon
C:\Users\Krzysztof\AppData\Local\avgchrome
C:\Users\Krzysztof\AppData\Local\Comodo
C:\Users\Krzysztof\AppData\Local\DM
C:\Users\Krzysztof\AppData\Local\Downloaded Installations
C:\Users\Krzysztof\AppData\Local\ESET
C:\Users\Krzysztof\AppData\Local\Mozilla
C:\Users\Krzysztof\AppData\Local\SSScan
C:\Users\Krzysztof\AppData\Local\GG
C:\Users\Krzysztof\AppData\LocalLow\Oracle
C:\Users\Krzysztof\AppData\Roaming\AVS4YOU
C:\Users\Krzysztof\AppData\Roaming\com.adobe.downloadassistant.AdobeDownloadAssistant
C:\Users\Krzysztof\AppData\Roaming\Mipony
C:\Users\Krzysztof\AppData\Roaming\TuneUp Software
C:\Users\Krzysztof\AppData\Roaming\VooUpdate
C:\Users\Krzysztof\AppData\Roaming\WorldofTanks
C:\Users\Krzysztof\AppData\Roaming\FileZilla
C:\Users\Krzysztof\AppData\Roaming\FloodLightGames
C:\Users\Krzysztof\AppData\Roaming\GG
C:\Users\Krzysztof\AppData\Roaming\Gadu-Gadu 10
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
CMD: del /q C:\Users\Krzysztof\AppData\Local\Temp\sqlite3.dll
RemoveDirectory: C:\AdwCleaner
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

[Pikor]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

To by było na tyle.

Zainstaluj:

jre-8u25-windows-i586.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

Adobe Flash Player

[Aby zobaczyć linki, zarejestruj się tutaj]

Ofertę opcjonalną McAfee odhacz i klik zainstaluj.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Pomyśl coś nad jakimś zabezpieczeniem AV.