Nieznośny Klip Pal
-
.Simon
- Posty: 31
- Rejestracja: 13 gru 2010, 11:52
Nieznośny Klip Pal
Witam, któregoś razu musiałem przypadkowo zainstalować jakiś bakcyl internetowy, który przysparza mi masę reklam we wszystkich przeglądarkach. Po wstępnej analizie zauważyłem, że jest to program Klip Pal, jest to widoczne przy większości reklam oraz w menadżerze zadań, dodatkowo gdy wyłączę proces klip pala w ów menadżerze to włączają się cztery kolejne takie same procesy. Skanowałem, czyściłem i nadal nic, w internecie znalazłem tylko informacje na 'szemranych' stronach, które są po prostu podejrzane i oczywiście chcą żebym coś koniecznie instalował. Nie mam już pomysłu na to. Czy ktoś z forumowiczów miał podobny problem lub wie jak sobie z tym poradzić? Format wchodzi w grę w ostateczności.
-
Lena
- Posty: 4554
- Rejestracja: 10 lut 2009, 19:42
- Lokalizacja: Sz-n
-
.Simon
- Posty: 31
- Rejestracja: 13 gru 2010, 11:52
-
djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
Nieznośny Klip Pal
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
Klik w Wykonaj Skrypt. Zatwierdź restart komputera.
2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt
3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.
4. Uruchom FireFox > menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.
5. Wklej logi z FRST => bezpieczenstwo/korzystanie-z-frst-t28530.html
:processes
killallprocesses
:OTL
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SupTab\SEARCH~2.DLL) - C:\Program Files (x86)\SupTab\SearchProtect64.dll (Skytech Co., Ltd.)
O20 - AppInit_DLLs: (c:\progra~2\suptab\search~1.dll) - c:\Program Files (x86)\SupTab\SearchProtect32.dll (Skytech Co., Ltd.)
O18 - Protocol\Handler\brx {9C160F90-74D1-11D3-AB60-0060977C1F29} - C:\Program Files (x86)\Bricsys\Bricscad V12\BrxProtIE.dll File not found
O4 - HKCU..\Run: [jafdeqiphm] wscript.exe //B "C:\Users\neo\AppData\Local\Temp\jafdeqiphm..vbs" File not found
O4 - HKCU..\Run: [LiveSupport] "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log File not found
O2 - BHO: (Klip Pal) - {a13d85a3-d31a-4f34-b4cd-fce576dc079e} - C:\Program Files (x86)\Klip Pal\KlipPalbho.dll (Klip Pal)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O2 - BHO: (IETabPage Class) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited)
CHR - Extension: Klip Pal = C:\Users\neo\AppData\Local\Google\Chrome\User Data\Default\Extensions\cngbpeolpeehkmoedjcpedillefjbgep\1.0.1_0\
CHR - default_search_provider: webssearches (Enabled)
CHR - default_search_provider: search_url = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
CHR - default_search_provider: suggest_url =
CHR - homepage: Dostępne tylko dla zarejestrowanych użytkowników
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\quick_start@gmail.com: C:\Users\neo\AppData\Roaming\Mozilla\Firefox\Profiles\dc5gwfeg.default\extensions\quick_start@gmail.com
FF - prefs.js..browser.startup.homepage: "http://www.sweet-page.com/?type=hppp&ts=1414408585&from=amt&uid=ST9500325AS_S2W7JWNDXXXXS2W7JWND"
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=ASUTDF&pc=NP06&src=IE-SearchBox
IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=ASUTDF&pc=NP06&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&pid=658&r=2013/06/05&hid=1020503282&lg=EN&cc=PL&unqvl=18
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes,DefaultScope = {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
IE - HKCU\..\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SSPV=
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&babsrc=SP_ss&mntrId=008E7CE9D30C8440&affID=120695&tt=180613_ndt2&tsp=4921
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{550361AD-2AF4-4DB2-A418-EB242F88C467}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=5998880B-EF35-45DB-BE8F-3F0FA31D6DF9&apn_sauid=866BF1E5-6F99-49CD-BF56-FF9DD5F7318C
IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&pid=658&r=2013/06/05&hid=1020503282&lg=EN&cc=PL&unqvl=18
DRV:64bit: - [2014-11-01 03:39:36 | 000,048,784 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\{e0c89f91-0178-4464-8daf-bec566dd2d9a}w64.sys -- ({e0c89f91-0178-4464-8daf-bec566dd2d9a}w64)
DRV:64bit: - [2014-10-29 02:39:58 | 000,048,784 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\{2169981c-4403-4a8d-a144-e936eff23fce}w64.sys -- ({2169981c-4403-4a8d-a144-e936eff23fce}w64)
DRV:64bit: - [2014-10-25 20:33:22 | 000,048,784 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\{bb095371-c900-4f52-bddd-25e46ecbe406}w64.sys -- ({bb095371-c900-4f52-bddd-25e46ecbe406}w64)
DRV:64bit: - [2014-10-22 14:33:00 | 000,048,784 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\{3d0ff4a0-421f-4b33-a4ec-b4f95b34c8de}w64.sys -- ({3d0ff4a0-421f-4b33-a4ec-b4f95b34c8de}w64)
DRV:64bit: - [2014-10-22 07:34:50 | 000,048,784 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\{be5bf058-a067-4076-8c2e-22b9345a0260}w64.sys -- ({be5bf058-a067-4076-8c2e-22b9345a0260}w64)
SRV - [2014-05-08 11:52:32 | 000,704,112 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Running] -- C:\ProgramData\IePluginServices\PluginService.exe -- (IePluginServices)
SRV - [2014-11-02 17:15:02 | 000,123,632 | ---- | M] () [Auto | Running] -- C:\ProgramData\86998342-aefb-4bdb-96ce-74be1e808b51\maintainer.exe -- (MaintainerSvc2.48.1114611)
SRV - [2014-11-02 16:57:17 | 000,523,504 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Klip Pal\updateKlipPal.exe -- (Update Klip Pal)
SRV - [2014-11-02 16:56:08 | 000,523,504 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Klip Pal\bin\utilKlipPal.exe -- (Util Klip Pal)
SRV - [2014-10-25 13:12:59 | 000,492,496 | ---- | M] () [Auto | Running] -- C:/Program Files (x86)/ORBTR/orbiter.dll -- (Orbiter)
[2014-10-25 13:13:39 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ChicaLogic
[2014-10-25 13:13:26 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\OfferBoulevard
[2014-10-25 13:13:10 | 000,000,000 | ---D | C] -- C:\Users\neo\AppData\Local\SearchProtect
[2014-10-25 13:12:59 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ORBTR
[2014-10-25 13:12:58 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SearchProtect
[2014-10-25 13:12:31 | 000,000,000 | ---D | C] -- C:\Users\neo\AppData\Roaming\VOPackage
[2014-10-25 13:12:31 | 000,000,000 | ---D | C] -- C:\Users\neo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
[2014-10-25 13:11:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Klip Pal
[2014-10-23 18:16:56 | 000,000,000 | -HSD | C] -- C:\Users\neo\AppData\Local\EmieUserList
[2014-10-23 18:16:56 | 000,000,000 | -HSD | C] -- C:\Users\neo\AppData\Local\EmieSiteList
[2014-10-22 19:12:41 | 000,000,000 | ---D | C] -- C:\Users\neo\AppData\Roaming\WebExtend
[2014-10-22 18:58:11 | 000,000,000 | -HSD | C] -- C:\Users\neo\AppData\Roaming\AnyProtectEx
[2014-10-22 18:57:09 | 000,000,000 | --SD | C] -- C:\Users\neo\Documents\Chica Passwords
[2014-10-22 18:56:41 | 000,000,000 | ---D | C] -- C:\Users\neo\AppData\Roaming\PennyBee
[2014-10-22 19:29:04 | 000,000,000 | ---D | C] -- C:\Users\neo\AppData\Local\ICSharpCode.net
[2014-10-07 14:58:42 | 000,000,000 | ---D | C] -- C:\ProgramData\ExstraCouPon
:Files
c:\Program Files (x86)\SupTab
C:\Program Files (x86)\Bricsys
C:\Program Files (x86)\Klip Pal
C:\Users\neo\AppData\Local\Google\Chrome\User Data\Default\Extensions\cngbpeolpeehkmoedjcpedillefjbgep
C:\Users\neo\AppData\Roaming\mozilla\firefox\profiles\vmbdq6ix.default\searchplugins\trovi-search.xml
C:\Users\neo\AppData\Roaming\mozilla\Firefox\Profiles\vmbdq6ix.default\extensions\j@MkVY1F3ibm.net
C:\Users\neo\AppData\Roaming\mozilla\Firefox\Profiles\vmbdq6ix.default\extensions\{606e298e-f7ae-4a08-9191-1dddfac14f00}
C:\ProgramData\IePluginServices
C:/Program Files (x86)/ORBTR
C:\ProgramData\86998342-aefb-4bdb-96ce-74be1e808b51
C:\Windows\tasks\*.job
C:\Users\neo\AppData\Local\Update.12.Bron.Tok.bin
:Commands
[emptyflash]
[emptytemp]
Klik w Wykonaj Skrypt. Zatwierdź restart komputera.
2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt
3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.
4. Uruchom FireFox > menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.
5. Wklej logi z FRST => bezpieczenstwo/korzystanie-z-frst-t28530.html
-
.Simon
- Posty: 31
- Rejestracja: 13 gru 2010, 11:52
Nieznośny Klip Pal
Bardzo dziękuję, dawno nie spotkałem się z taką życzliwością i bezinteresowną pomocą. Problem oczywiście zniknął, ale dla pewności wrzucam to, o co prosiłeś:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Jeszcze raz wielkie dzięki
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Jeszcze raz wielkie dzięki
-
djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
Nieznośny Klip Pal
Ogólnie wszystko się skasowało, drobna kosmetyka.
1. Otwórz notatnik i wklej:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany.
Po restarcie pokazany będzie raport - wstaw mi go.
2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes
1. Otwórz notatnik i wklej:
CloseProcesses:
S3 cpuz135; \??\C:\Users\neo\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
CHR Extension: (Klip Pal) - C:\Users\neo\AppData\Local\Google\Chrome\User Data\Default\Extensions\cngbpeolpeehkmoedjcpedillefjbgep [2014-11-01]
C:\Users\neo\AppData\Local\Google\Chrome\User Data\Default\Extensions\cngbpeolpeehkmoedjcpedillefjbgep
CHR dev: Chrome dev build detected! <======= ATTENTION
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll No File
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
C:\Users\neo\Desktop\Stare dane programu Firefox
C:\Windows\ERUNT
C:\Windows\SysWOW64\sqlite3.dll
C:\Users\neo\AppData\Local\EmieUserList
C:\Users\neo\AppData\Local\EmieSiteList
C:\ProgramData\86998342-aefb-4bdb-96ce-74be1e808b51
C:\Windows\Tasks\PennyBee.job
C:\Windows\System32\Tasks\PennyBee
C:\ProgramData\726a9a91e9097b86
Task: {8AE0CD51-DF74-4434-B7BB-A1C2F6656185} - System32\Tasks\PennyBee => C:\Users\neo\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\Windows\Tasks\PennyBee.job => C:\Users\neo\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus" /f
C:\Users\neo\AppData\Local\smss.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tiny download manager" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ktqer" /f
C:\Users\neo\ktqer.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f
C:\Users\neo\AppData\Local\Akamai
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SE" /f
C:\Users\neo\AppData\Roaming\SkypEmoticons\SE.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^neo^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MyPC Backup.lnk => C:\Windows\pss\MyPC Backup.lnk.Startup" /f
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany.
Po restarcie pokazany będzie raport - wstaw mi go.
2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes
-
.Simon
- Posty: 31
- Rejestracja: 13 gru 2010, 11:52
-
djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
Nieznośny Klip Pal
Wszystko skasowane pomyślnie i powinno być OK.
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości
