Skocz do zawartości


tablety.pl
Zdjęcie
- - - - -

Wyskakujące reklamy, Niepożądane programy wykryte przez MBAM, pomoc w




  • Zamknięty Temat jest zamknięty
6 odpowiedzi w tym temacie

#1 forysiuk111

forysiuk111

    Second Rank

  • Użytkownicy +
  • 117 postów
  • Płeć:Mężczyzna
  • Lokalizacja:kevelaer

Napisano 31 01 2017 - 22:19

Witam.
Proszę o pomoc w wyczyszczeniu laptopa znajomej z infekcji.
ADWCleaner na starcie wykrył i usunął ponad 100 różnego rodzaju adware. Log poniżej:
 
Skan MBAMem pokazał taki raport:
 
Skanowanie FIRST logi:
 
Z góry dziękuję za pomoc.
Pozdrawiam serdecznie
forysiuk111


#2 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5776 postów
  • Płeć:Mężczyzna

Napisano 01 02 2017 - 11:44

C:\Program Files (x86)\Hipbear\Application\chrome.exe

Działa fałszywa przeglądarka, która wygląda jak Google Chrome, ale w rzeczywistości jest Trojanem.

 

1)

C:\Users\Jadwiga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

Dam do usunięcia ten skrót, bo przekierowuje do tej fałszywej przeglądarki.

Potem zrobisz nowy skrót Chrome, w tej samej lokalizacji, czyli na pasku Szybkiego Uruchamiania..

 

2) Otwórz Notatnik i wklej w nim:

 

Task: {C5938596-33A3-41D4-83A2-E8A0F9279DDA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {A4177511-4CDA-4B46-ABB4-1273C80D4808} - \WPD\SqmUpload_S-1-5-21-365846669-4194548096-2659683666-1001 -> No File <==== ATTENTION
Task: {AC820BA5-903E-41F5-A685-A8171B9476F0} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {8B312DDE-20D7-4DF4-937E-F70AB8738BA5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {6B165C40-8B60-482F-9035-C555744535C1} - System32\Tasks\{BD355D1D-D351-4ED1-A191-900158E8E305} => pcalua.exe -a "\\SEBASTIAN-PC\Need for Speed Most Wanted\eauninstall.exe" -d "\\SEBASTIAN-PC\Need for Speed Most Wanted"
Task: {5560088A-0736-4107-A747-529FCD8852B5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {25927892-23AA-4AB9-B5FD-BFB08B930231} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe
HKU\S-1-5-21-365846669-4194548096-2659683666-1001\...\ChromeHTML: -> "C:\Program Files (x86)\Hipbear\Application\chrome.exe" "%1" <==== ATTENTION
FirewallRules: [{939B4597-EB2E-4D12-8973-371D8F8AE968}] => C:\ProgramData\Hipbear\Hipbear.exe
FirewallRules: [{B3EC40BA-18C7-4B65-ACC5-F599B5913C54}] => C:\Program Files (x86)\Hipbear\Application\chrome.exe
FirewallRules: [{9A49A20E-C958-4092-B10E-F1FD46FD57B8}] => C:\Program Files (x86)\Hipbear\Update\HipbearUpdate.exe
RemoveDirectory: C:\Program Files (x86)\Hipbear
RemoveDirectory: C:\ProgramData\Hipbear
RemoveDirectory: C:\Program Files (x86)\qksee
C:\Users\Jadwiga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk
C:\Users\Jadwiga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk
C:\Users\Jadwiga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk
C:\Users\Jadwiga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mahjong.lnk
S3 dbx; system32\DRIVERS\dbx.sys [X]
HKU\S-1-5-21-365846669-4194548096-2659683666-1001\...\Run: [GoogleChromeAutoLaunch_0A4B62FC58174845C92BA8CEC8CB60FE] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [921192 2016-11-08] (Google Inc.)
HKU\S-1-5-21-365846669-4194548096-2659683666-1001\...\Run: [BingSvc] => C:\Users\Jadwiga\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-13] (© 2015 Microsoft Corporation)
C:\Users\Jadwiga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij u góry po lewej na PLIK, potem na ODINSTALUJ.

.



#3 forysiuk111

forysiuk111

    Second Rank

  • Użytkownicy +
  • 117 postów
  • Płeć:Mężczyzna
  • Lokalizacja:kevelaer

Napisano 01 02 2017 - 21:39

Witam.

Fix zrobiony. Log ponizej:

 

fixlog.txt

 

Kwarantanna wyczyszczona, ADWCleaner odinstalowany według instrukcji.

Jest lepiej, ale w dalszym ciągu Laptop pracuje bardzo powoli. Większość programów typu Edge, panel sterowania itp. po kliknięciu reaguje z dużym opóźnieniem.

 

Powtorka skanu z FRSTa, Logi poniżej:

 

 
Jeszcze dzisiaj przeskanuje laptop MBAMem oraz ADWCleanerem. Logi dodam po skończeniu.
 
 
MBAM ciagle znajduje szkodliwe programy.
 
 
Przy kazdym rozruchu pojawia sie teraz error:
 
Przechwytywanie2.png
 
Z góry dziękuję za pomoc.
Pozdrawiam serdecznie
forysiuk111


#4 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5776 postów
  • Płeć:Mężczyzna

Napisano 01 02 2017 - 22:44

Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f

S3 dbx; system32\DRIVERS\dbx.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

--------------------------------

 

Dane rejestru: 3 PUP.Optional.YourSites123.ShrtCln, HKU\S-1-5-21-365846669-4194548096-2659683666-1001_Classes\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APPCONTAINER\STORAGE\MICROSOFT.MICROSOFTEDGE_8WEKYB3D8BBWE\MICROSOFTEDGE\MAIN|HOMEBUTTONPAGE, Brak akcji, [11190], [293404],1.0.1153 PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DEFAULTSCOPE, Brak akcji, [16458], [292819],1.0.1153 PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DEFAULTSCOPE, Brak akcji, [16458], [292819],1.0.1153

Wprawdzie przy tych kluczach widzę adnotacje "Brak akcji", ale mam nadzieję, że pozwoliłeś MBAM na ich usunięcie.

 

---------------------------------------------

 

Przy kazdym rozruchu pojawia sie teraz error:

 

"Dolby Audio" w ogóle nie było usuwane.

Po wrzuceniu do GOOGLE frazy "Dolby Advanced Audio v2" widzę, że nie tylko Ty masz z tym problem,; inni też, na WIN 10.

 

-----------------------------------

w dalszym ciągu Laptop pracuje bardzo powoli

 

.Na takie problemy to ja nie pomogę.

I chyba nikt na świecie nie zna lekarstwa na te problemy.

.



#5 forysiuk111

forysiuk111

    Second Rank

  • Użytkownicy +
  • 117 postów
  • Płeć:Mężczyzna
  • Lokalizacja:kevelaer

Napisano 02 02 2017 - 02:54

Ponizej log z fixa.

 

fixlog.txt

 

 

 

 

Quote

Dane rejestru: 3 PUP.Optional.YourSites123.ShrtCln, HKU\S-1-5-21-365846669-4194548096-2659683666-1001_Classes\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APPCONTAINER\STORAGE\MICROSOFT.MICROSOFTEDGE_8WEKYB3D8BBWE\MICROSOFTEDGE\MAIN|HOMEBUTTONPAGE, Brak akcji, [11190], [293404],1.0.1153 PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DEFAULTSCOPE, Brak akcji, [16458], [292819],1.0.1153 PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DEFAULTSCOPE, Brak akcji, [16458], [292819],1.0.1153

Wprawdzie przy tych kluczach widzę adnotacje "Brak akcji", ale mam nadzieję, że pozwoliłeś MBAM na ich usunięcie.

 

Tak. MBAM wszystko ładnie usunął.

 

 

Quote

Przy kazdym rozruchu pojawia sie teraz error:

 

"Dolby Audio" w ogóle nie było usuwane.

Po wrzuceniu do GOOGLE frazy "Dolby Advanced Audio v2" widzę, że nie tylko Ty masz z tym problem,; inni też, na WIN 10.

 

Po Dolby nie ma już sladu. Odinstalowane.

 

Dla pewności jeszcze logi z FRSTa:

 

FRST

shortcuts

additions

 

Dziekuje za poswiecony czas i pomoc.

 

Pozdrawiam serdecznie

 

forysiuk111



#6 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5776 postów
  • Płeć:Mężczyzna

Napisano 02 02 2017 - 09:10

W nowych logach nie widzę niczego do usuwania.

.



#7 forysiuk111

forysiuk111

    Second Rank

  • Użytkownicy +
  • 117 postów
  • Płeć:Mężczyzna
  • Lokalizacja:kevelaer

Napisano 02 02 2017 - 11:31

W takim razie temat do zamknięcia. Poprawa jest widoczna gołym okiem.
Jeszcze raz dziękuję.
forysiuk111




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych