Aktualizacje na programosy.pl: GetFLVJ. River Media CenterQ-Dir PortableQ-DirWashAndGoGameSave ManagerBandicutFontCreatorNTLite Free Portable  

  • Ogłoszenie:

"atakujące" reklamy

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: trzy z FRST + Gmer.
Wyślij odpowiedź

"atakujące" reklamy

Postprzez zimnodzis 11 Lis 2016, 20:18

reklama
Panowie,

Gorąca prośba, instalowałem program i trafiłem na jakieś badziewie.
W skutego na pulpicie pojawiają mi się ikony z reklamami, otwierają się chińskie strony etc. (nie wspomnie z jaką tematyką;D) zaraz zaczną mnie ścigać odpowiednie organy...
Przeskanowałem wszystko wzdłuż i wszerz, bez większych rezultatów.

Z góry dziękuje za pomoc!
Załączniki
Gmer log.txt
(4.73 KiB) Ściągnięto 42 razy
Addition.txt
(35.09 KiB) Ściągnięto 41 razy
FRST.txt
(71.94 KiB) Ściągnięto 47 razy
Shortcut.txt
(40.65 KiB) Ściągnięto 45 razy
zimnodzis
~user
 
Posty: 19
Dołączenie: 11 Lut 2010, 01:18


Góra

"atakujące" reklamy

Postprzez ordynat 11 Lis 2016, 22:05

1) Spróbuj odinstalować ten program:
Smart File Advisor 1.1.8 (HKLM-x32\...\Smart File Advisor_is1) (Version: 1.1.8 - Filefacts.net) <==== UWAGA

2) zaraz ...
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866


Góra

"atakujące" reklamy

Postprzez zimnodzis 11 Lis 2016, 22:10

to jest dodatek do alcohol 52%.
zimnodzis
~user
 
Posty: 19
Dołączenie: 11 Lut 2010, 01:18


Góra

"atakujące" reklamy

Postprzez ordynat 11 Lis 2016, 22:19

jeśli uważasz, że FRST się pomylił, to zostaw ten program

....
przygotowanie skryptu zajmie mi trochę czasu ..
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866


Góra

"atakujące" reklamy

Postprzez zimnodzis 11 Lis 2016, 22:28

nie uważam, napisałem co wiem:)

dzięki!
zimnodzis
~user
 
Posty: 19
Dołączenie: 11 Lut 2010, 01:18


Góra

"atakujące" reklamy

Postprzez ordynat 11 Lis 2016, 22:43

1) Otwórz Notatnik i wklej w nim:
RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\Program Files\WinThruster
RemoveDirectory: C:\Program Files (x86)\Coajucult
RemoveDirectory: C:\Users\user\AppData\Roaming\HPReyos
RemoveDirectory: C:\Program Files (x86)\CleanBrowser
RemoveDirectory: c:\program files (x86)\ludashi
RemoveDirectory: C:\Program Files (x86)\GreatMaker
RemoveDirectory: C:\Program Files (x86)\wanttoxiamen
RemoveDirectory: C:\Users\user\AppData\Roaming\Njetyhefos
RemoveDirectory: C:\Program Files\My Web Shield
RemoveDirectory: C:\Users\user\AppData\Roaming\lockhomepage
RemoveDirectory: C:\Users\user\AppData\Roaming\Ludashi
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
RemoveDirectory: C:\Program Files (x86)\LDSGameCenter
RemoveDirectory: C:\Users\user\AppData\Local\app
RemoveDirectory: C:\Users\user\AppData\Local\UCBrowser
RemoveDirectory: C:\Users\user\AppData\Roaming\Njetyhefos
RemoveDirectory: C:\Users\user\AppData\Local\1E007420-1478885711-4F00-4CD0-F46D046E9034
RemoveDirectory: C:\Program Files (x86)\mpck
RemoveDirectory: C:\Users\user\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
RemoveDirectory: C:\Users\user\AppData\Local\Chersakarefat
RemoveDirectory: C:\Users\Public\Thunder Network
RemoveDirectory: C:\ProgramData\Thunder Network
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\wanttoxiamen
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi
RemoveDirectory: C:\ProgramData\Avira
RemoveDirectory: C:\ProgramData\Avg
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\Program Files (x86)\WebShield
RemoveDirectory: C:\Program Files (x86)\1E007420-1478882069-4F00-4CD0-F46D046E9034
RemoveDirectory: C:\Users\user\AppData\Roaming\AkelPadApp
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
ShortcutWithArgument: C:\Users\Public\Desktop\鲁大师游戏库.lnk -> C:\Program Files (x86)\LDSGameCenter\LDSGameCenter.exe () -> -from=ludashi_dsk
C:\Users\Public\Desktop\鲁大师游戏库.lnk
R1 mwescontroller; C:\Windows\system32\drivers\mwescontroller.sys [56656 2016-11-09] (Windows (R) Win 7 DDK provider)
C:\Windows\system32\Drivers\mwescontroller.sys
C:\TOSTACK
C:\Windows\system32\chtbrkg.dll
C:\Windows\SysWOW64\chtbrkg.dll
C:\Users\Public\Desktop\鲁大师游戏库.lnk
Task: {04E0F923-A827-452F-8544-EF84E954535F} - System32\Tasks\9d470b3dd78d4c6b787b00c1b9711280 => Rundll32.exe "C:\Program Files (x86)\Microsoft Silverlight\yry70b.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA
Task: {0A23CB3F-CE57-4F69-A44B-20E2798A6B1A} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe [2016-11-11] (UC Web Inc.) <==== UWAGA
Task: {46AD6525-A353-4146-8139-8E300FD64EF8} - System32\Tasks\WinThruster64-user-Notification => C:\Program Files\WinThruster\Sync.exe <==== UWAGA
Task: {4B7854DE-FAA7-4E3C-B71F-2C343EF4F540} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-09] (UCWeb Inc) <==== UWAGA
Task: {4E1AA9CE-343E-414D-97B7-033E5C2C3CEF} - System32\Tasks\Weruysterjuy Engine => C:\Program Files (x86)\Coajucult\reisese.exe [2016-11-11] (Glarysoft Ltd)
Task: {5E883D53-977F-4B0C-A74C-20BB4C81C524} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-09] (UCWeb Inc) <==== UWAGA
Task: {A1AB1B0D-965E-430C-B672-312468DEBFE5} - System32\Tasks\WinThruster64-user-Startup => C:\Program Files\WinThruster\WinThruster64.exe <==== UWAGA
C:\Program Files (x86)\Microsoft Silverlight\yry70b.dll
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: C:\Windows\Tasks\WinThruster64-user-Notification.job => C:\Program Files\WinThruster\Sync.exe <==== UWAGA
Task: C:\Windows\Tasks\WinThruster64-user-Startup.job => C:\Program Files\WinThruster\WinThruster64.exe <==== UWAGA
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\user\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://9o0gle.com/
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [360536]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1156450]
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\app
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\svchost0
FirewallRules: [{D098C63F-5A83-4CE1-9E0D-EF3ED8C452D1}] => (Allow) C:\Users\user\AppData\Local\Temp\is-9NGLQ.tmp\download\MiniThunderPlatform.exe
FirewallRules: [{E4727FA1-FA76-4257-A992-C4DBDA1BCC49}] => (Allow) C:\Users\user\AppData\Local\Temp\00026234\inst_buychannel_07.exe
FirewallRules: [{4C1A435F-76B3-4BF4-97CB-670B7EC490E4}] => (Allow) C:\Users\user\AppData\Local\Temp\00026234\inst_buychannel_07.exe
FirewallRules: [{A8B2387C-A26E-4800-BC39-3FA911E5BEAD}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{2E20C41B-F8A8-47D0-B9BC-B67FC09270D1}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{B1F350D3-4EF6-4F42-8405-49ADB1321ED6}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{27F70AD9-B2BE-4AEE-8574-7A18E1B77925}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{07C31EB4-2ED4-4B0B-8F5C-073590ABE59A}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe
HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
HKLM-x32\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs, [X]
C:\Windows\run.vbs
ShellExecuteHooks: - {13C6EBDE-A5A7-11E6-86A7-64006A5CFC23} - C:\Users\user\AppData\Roaming\Njetyhefos\Sikither.dll Brak pliku [ ]
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
Tcpip\..\Interfaces\{311B8105-53CC-4580-B5B3-51B740B8BAEB}: [NameServer] 188.120.241.135,8.8.8.8
CHR DefaultProfile: ChromeDefaultData
CHR HomePage: ChromeDefaultData -> hxxp://www.trotux.com/?z=09108c2e904ac2de762819eg0z8mebbb4b7o1gdg5z&from=ftp&uid=SPCCXSolidXStateXDisk_15022293000004310057&type=hp
CHR StartupUrls: ChromeDefaultData -> "hxxp://www.trotux.com/?z=09108c2e904ac2de762819eg0z8mebbb4b7o1gdg5z&from=ftp&uid=SPCCXSolidXStateXDisk_15022293000004310057&type=hp"

CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.trotux.com/search/?q={searchTerms}&z=09108c2e904ac2de762819eg0z8mebbb4b7o1gdg5z&from=ftp&uid=SPCCXSolidXStateXDisk_15022293000004310057&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData -> trotux
CHR Profile: C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-11-11] <==== UWAGA
C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
R2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] () <==== UWAGA
R2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有)
R2 mweshield; C:\Program Files\My Web Shield\mweshield.exe [931640 2016-08-31] ("My Web Shield") <==== UWAGA
R2 mweshieldup; C:\Program Files\My Web Shield\mweshieldup.exe [348472 2016-08-31] ("My Web Shield") <==== UWAGA
R2 ComputerZLock; C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [44480 2016-09-13] (www.ludashi.com) <==== UWAGA
R1 MaohaWifiNetPro; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [871152 2015-10-27] ()
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.) <==== UWAGA
C:\Windows\System32\Tasks\SecureUpdater
C:\Windows\Tasks\UCBrowserUpdaterCore.job
C:\Windows\System32\Tasks\UCBrowserUpdaterCore
C:\Windows\Tasks\UCBrowserUpdater.job
C:\Windows\System32\Tasks\UCBrowserUpdater
C:\Users\user\Desktop\AutoTime.lnk
HOSTS:
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: Unicode
>>Zapisz
Plik umieść w folderze C:\Users\user\Desktop
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: OSOBY
>zaznacz (wybierz): user0
kliknij znaczek X znajdujący się po prawej stronie

3) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

4) Zrób nowe logi FRST.
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"
.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866


Góra

"atakujące" reklamy

Postprzez zimnodzis 11 Lis 2016, 23:20

Zrobiłem wedle Twoich instrukcji.

Adw Cleaner przy pierwszym czyszczeniu przestał odpowiadać i się wyłączył. włączyłem ponownie i pozostało tylko parę zagrożeń z 81.
C2 to log z drugiego. C0 chyba z pierwszego.
Załączniki
AdwCleaner[C0].txt
(7.42 KiB) Ściągnięto 39 razy
AdwCleaner[C2].txt
(1.17 KiB) Ściągnięto 39 razy
Shortcut.txt
(39.72 KiB) Ściągnięto 35 razy
Addition.txt
(30.63 KiB) Ściągnięto 40 razy
FRST.txt
(64.5 KiB) Ściągnięto 40 razy
zimnodzis
~user
 
Posty: 19
Dołączenie: 11 Lut 2010, 01:18


Góra

"atakujące" reklamy

Postprzez ordynat 11 Lis 2016, 23:22

Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) <===== Cyrillic

Te skróty dam do usunięcia, potem zrobisz nowe skróty w tych samych lokalizacjach.

Otwórz Notatnik i wklej w nim:
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Users\user\AppData\Roaming\HPReyos\ReyosStarter3.exe (Brak pliku) <===== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk -> C:\Users\user\AppData\Roaming\HPReyos\ReyosStarter3.exe (Brak pliku) <===== Cyrillic
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
C:\Users\user\AppData\Roaming\HPReyos
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk
CHR Profile: C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-11-11] <==== UWAGA
C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF-8
>>Zapisz
Plik umieść w folderze C:\Users\user\Desktop
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Zrób nowy log FRST - już bez Shortcut.

.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866


Góra

"atakujące" reklamy

Postprzez zimnodzis 11 Lis 2016, 23:45

done.
Załączniki
Addition.txt
(30.05 KiB) Ściągnięto 37 razy
FRST.txt
(64.71 KiB) Ściągnięto 39 razy
zimnodzis
~user
 
Posty: 19
Dołączenie: 11 Lut 2010, 01:18


Góra

"atakujące" reklamy

Postprzez ordynat 11 Lis 2016, 23:51

jeszcze nie wszystko usunięte

Otwórz Notatnik i wklej w nim:
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\user\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://9o0gle.com/
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2016-11-11 17:25 - 2016-11-11 17:36 - 00000000 ____D C:\Users\user\AppData\Local\IIIQF

Znasz to?
Jeśli nie znasz, to usuniesz ręcznie.

Potem możemy chyba kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na PLIK, potem na ODINSTALUJ.
.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866


Góra
Wyślij odpowiedź

Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 17 gości

Powered by phpBB © Group
Forum Programosy.pl