Niechciane reklamy

[jujo18]

Wczoraj robiłem format laptopa Lenovo y50-70 jednak zaatakowały mnie reklamy. Zaraz wstawie logi. Czy są jakies sposoby by tego uniknąc?

logi OTL - Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

FRST-
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
R1 wafd_1_10_0_19; C:\Windows\System32\drivers\wafd_1_10_0_19.sys [61312 2015-06-16] (WA)
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 Service Mgr SaleClipper; C:\ProgramData\f43a0a22-b5b9-43e4-9c6f-705bf4e40c7b\plugincontainer.exe [656608 2015-06-30] ()
R2 Update Mgr SaleClipper; C:\Program Files (x86)\Common Files\f43a0a22-b5b9-43e4-9c6f-705bf4e40c7b\updater.exe [576736 2015-06-30] ()
R2 wasvc_1.10.0.19; C:\Program Files (x86)\WordAnchor_1.10.0.19\Service\wasvc.exe [299096 2015-06-16] (WA)
R2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [125112 2015-06-16] (XTab system)
C:\Users\Paulinka\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfmanhfilhophmcmemcmacejpnapamfk
BHO-x32: Sale Clipper -> {b18906df-1dfa-4d50-8a1f-7d076a8c87b7} -> C:\Program Files (x86)\Sale Clipper\Extensions\b18906df-1dfa-4d50-8a1f-7d076a8c87b7.dll [2015-06-29] ()
BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll [2015-06-16] (Thinknice Co. Limited)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKU\S-1-5-21-484985597-3149540343-1057300246-1000\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKU\S-1-5-21-484985597-3149540343-1057300246-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-484985597-3149540343-1057300246-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-484985597-3149540343-1057300246-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-484985597-3149540343-1057300246-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-484985597-3149540343-1057300246-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-484985597-3149540343-1057300246-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-484985597-3149540343-1057300246-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-484985597-3149540343-1057300246-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-484985597-3149540343-1057300246-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
2015-06-29 22:37 - 2015-06-29 22:37 - 00000118 _____ C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2015-06-29 22:37 - 2015-06-29 22:37 - 00000000 ____D C:\Users\Paulinka\AppData\Roaming\Adobe
C:\Windows\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
2015-06-29 16:59 - 2015-06-29 17:00 - 00000000 ____D C:\Program Files (x86)\MiuiTab
2015-06-29 16:59 - 2015-06-29 16:59 - 00000000 ____D C:\Users\Paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
2015-06-29 16:59 - 2015-06-29 16:59 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR
2015-06-29 16:59 - 2015-06-29 16:59 - 00000000 ____D C:\ProgramData\IHProtectUpDate
2015-06-29 16:57 - 2015-06-30 19:29 - 00000000 ____D C:\Users\Paulinka\AppData\Roaming\TS3Client
2015-06-29 16:57 - 2015-06-30 18:50 - 00000000 ____D C:\ProgramData\f43a0a22-b5b9-43e4-9c6f-705bf4e40c7b
2015-06-29 16:57 - 2015-06-29 16:57 - 00000803 _____ C:\Users\Public\Desktop\TeamSpeak 3 Client.lnk
2015-06-29 16:57 - 2015-06-29 16:57 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client
2015-06-29 16:57 - 2015-06-29 16:57 - 00000000 ____D C:\Program Files (x86)\Sale Clipper
2015-06-29 16:55 - 2015-06-29 17:11 - 00000000 ____D C:\Users\Paulinka\AppData\Roaming\Opera Software
2015-06-29 16:55 - 2015-06-29 17:11 - 00000000 ____D C:\Users\Paulinka\AppData\Local\Opera Software
2015-06-29 16:55 - 2015-06-29 16:55 - 00003262 _____ C:\Windows\System32\Tasks\Opera N Sunday
2015-06-29 16:55 - 2015-06-29 16:55 - 00003262 _____ C:\Windows\System32\Tasks\Opera N Saturday
2015-06-29 16:55 - 2015-06-29 16:55 - 00000000 ____D C:\Users\Paulinka\AppData\Roaming\Shortcut
2015-06-29 16:53 - 2015-06-29 17:11 - 00000000 ____D C:\Program Files (x86)\Opera
2015-06-29 16:53 - 2015-06-29 16:54 - 00000000 ____D C:\Program Files (x86)\WordAnchor_1.10.0.19
C:\Windows\system32\Drivers\Msft_Kernel_iusb3hcs_01009.Wdf
Task: {0F609B95-8E60-4DBB-8EE2-5FCDD94A5C0C} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe
Task: {336080CE-E61D-4467-BF53-E9552D789AB0} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-06-28] (Google Inc.)
Task: {4591FFB2-F2EF-460A-AB49-768E72BF2153} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe
Task: {6086FEB9-362E-43A9-A6DA-89492EFE9E80} - System32\Tasks\Microsoft\Windows\Windows Activation Technologies\ValidationTask => C:\Windows\system32\Wat\WatAdminSvc.exe [2015-06-29] (Microsoft Corporation)
Task: {65758C40-3D9A-497E-A607-4E8D3C7D17FF} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-06-28] (Google Inc.)
Task: {9D514D0D-33F6-43DD-A2C4-7F0706E57356} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-06-01] (Piriform Ltd)
Task: {F58D60CD-66A0-4A6C-BDD5-2050AAE18CAB} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe [2015-06-28] (Avast Software s.r.o.)
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
C:\ProgramData\f43a0a22-b5b9-43e4-9c6f-705bf4e40c7b
C:\Program Files (x86)\Common Files\f43a0a22-b5b9-43e4-9c6f-705bf4e40c7b
C:\Program Files (x86)\WordAnchor_1.10.0.19
C:\Windows\System32\drivers\wafd_1_10_0_19.sys
C:\Program Files (x86)\MiuiTab
C:\Program Files (x86)\Sale Clipper
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z z FRST. Dostarcz mi fixlog.txt który pojawił się po fixie FRST.

[jujo18]

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników


coś chyba żle zrobiłem bo dalej są reklamy

[djarta]

Dobrze wszystko zrobiłeś tylko w logach nie widzę dlaczego owe reklamy dalej występują.

Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): Dostępne tylko dla zarejestrowanych użytkowników.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystko co tam jeszcze podejrzanego widzisz.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

Po tym sprawdź czy dalej to występuje. Jeżeli tak to wstaw screeny.

[jujo18]

Atakują reklamy mimo adblocka

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Bo w rozszerzeniach siedzi jeszcze Sale Clipper.

Wyczyściłeś Chrome?

Uruchom Dostępne tylko dla zarejestrowanych użytkowników i do okna wklej:

:filefind
sale
cliper

:regfind
sale
cliper

Klik w Look i przedstaw wynikowy raport.

[jujo18]

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Pokaż screena z rozszerzeń Chrome.

2. Wykonaj i wklej nowe logi z FRST.

[jujo18]

Dostępne tylko dla zarejestrowanych użytkowników

logi frst
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

2 razy Addition.txt

[jujo18]

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{3601b5c5-5255-4dc9-ad46-2951e225f22e}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{a6da7c31-adfa-4531-a681-ff2c75c340f1}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6F4BCE24-003F-40F1-BBD7-D46663BF95FC}\1.0]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E81E45-9C4E-4C43-8C97-BCD59266556E}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6F4BCE24-003F-40F1-BBD7-D46663BF95FC}\1.0\0\win32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6F4BCE24-003F-40F1-BBD7-D46663BF95FC}\1.0\HELPDIR]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{14E81E45-9C4E-4C43-8C97-BCD59266556E}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\AppID\{3601b5c5-5255-4dc9-ad46-2951e225f22e}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\AppID\{a6da7c31-adfa-4531-a681-ff2c75c340f1}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{6F4BCE24-003F-40F1-BBD7-D46663BF95FC}\1.0]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{6F4BCE24-003F-40F1-BBD7-D46663BF95FC}\1.0\0\win32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{6F4BCE24-003F-40F1-BBD7-D46663BF95FC}\1.0\HELPDIR]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\SaleClipper]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{14E81E45-9C4E-4C43-8C97-BCD59266556E}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\AppID\{3601b5c5-5255-4dc9-ad46-2951e225f22e}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\AppID\{a6da7c31-adfa-4531-a681-ff2c75c340f1}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\TypeLib\{6F4BCE24-003F-40F1-BBD7-D46663BF95FC}\1.0]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\TypeLib\{6F4BCE24-003F-40F1-BBD7-D46663BF95FC}\1.0\0\win32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\TypeLib\{6F4BCE24-003F-40F1-BBD7-D46663BF95FC}\1.0\HELPDIR]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG.
Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz pełny skan MalwareBytes.

3. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[jujo18]

Dostępne tylko dla zarejestrowanych użytkowników - delfix
Dostępne tylko dla zarejestrowanych użytkowników - hitman
Dostępne tylko dla zarejestrowanych użytkowników - raport malwarytes



Dostępne tylko dla zarejestrowanych użytkowników - dalej jest to samo

[djarta]

Daj logi z OTL.

[jujo18]

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników