Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ads by Albireo - nie wiem jak usunąć :(((

Fosken 20 Kwi 2016 20:43 1515 7
  • #1 20 Kwi 2016 20:43
    Fosken
    Poziom 6  

    Witam :) pokombinowałam z programami i ściągnęłam na kompa jakieś ustrojstwo. Nic nie daje sobie z tym rady więc idąc Waszymi śladami przeskanowałem kompa FRST i otrzymałam logi. Pytanie tylko co dalej, jako niedoświadczona bardzo liczę na Waszą pomoc co zrobic krok po kroku :) z góry dziękuję :)

    0 7
  • #2 20 Kwi 2016 21:33
    Fosken
    Poziom 6  

    Regularnie skanuję ComboFixem i Adwcleanerem, zawsze czysciły co trzeba :) z Albireo sobie nie radzą.

    Sesje 2013 to prywatny folder :)
    dwa pozostałe faktycznie wyglądają nieciekawie

    Z przeglądarką robiłam juz co zasugerowałeś od razu jak złapałam dziada ale niestety nic to nie dało. Reklamy wyskakują cały czas i o dziwo nasilone jest to w chrome jako w domyślnej przeglądarce. W dodaj/usuń programy również pokasowałam niechciane nowosci i to co się zainstalowało. Dalej nic.

    0
  • #3 20 Kwi 2016 21:39
    Jarek_14
    Poziom 10  

    Wyczyść harmonogram zadań z nieznanych Tobie aplikacji, te najbardziej podejrzliwe możesz przeskanować na virustotal.
    Sprawdź jeszcze czy masz dobre serwery DNS, podmiana może skutkować reklamami, możesz też ustawić dla testów dns googlowy ( 8.8.8.8 )

    0
  • #4 20 Kwi 2016 21:46
    Fosken
    Poziom 6  

    ojj :( to już za dużo na moje umiejętności :( ale dziękuję za pomoc

    0
  • Pomocny post
    #5 20 Kwi 2016 21:52
    krzychupar
    Poziom 40  

    Odinstaluj:
    AVG PC TuneUp
    SafeFinder (HKLM-x32\...\{8AD50759-53FC-40D6-8952-41CDB9F74744}) (Version: 1.0.0.0 - Linkury) <==== UWAGA

    Otwórz notatnik i wklej:
    CustomCLSID: HKU\S-1-5-21-3528400137-3428711964-490556890-1000_Classes\CLSID\{034DF736-A378-4292-ACAE-A561088999F5}\InprocServer32 -> C:\Users\KaBu\AppData\Local\PPTAssist\pptassist64.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-3528400137-3428711964-490556890-1000_Classes\CLSID\{1077138E-896C-445E-BD31-CFCFFA4636C4}\InprocServer32 -> C:\Users\KaBu\AppData\Local\PPTAssist\pptassist64.dll => Brak pliku
    Task: {00B4DED8-C4BC-44FC-B740-4890ADBE05C2} - System32\Tasks\{79D19AFB-A051-4E9A-890C-234E8D92E983} => pcalua.exe -a C:\Users\KaBu\Downloads\irfanview_plugin_effects.exe -d C:\Users\KaBu\Downloads
    Task: {0B291D98-6DCB-4229-903C-FC7B0EDADEA4} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\AVG PC TuneUp 2014\OneClick.exe [2014-12-16] (AVG)
    Task: {2062A27B-31EC-46CE-B5E7-C85EC1BEBA69} - System32\Tasks\{DC1892B4-5F22-437D-BA6A-6D772D474E8E} => pcalua.exe -a C:\Users\KaBu\Downloads\irfanview_plugins_437_setup.exe -d C:\Users\KaBu\Downloads
    Task: {49FDE58C-75DD-41F2-8E65-0AF35D18345F} - System32\Tasks\Redywo => C:\PROGRA~1\Ekeh\Uosietta.bat <==== UWAGA
    Task: {568EBD8E-7442-4FA5-9773-3FFA3619C5DA} - System32\Tasks\{4D985C84-6DE9-42EC-B14A-9216D41B7644} => pcalua.exe -a C:\Users\KaBu\Downloads\irfanview_plugin_lcms.exe -d C:\Users\KaBu\Downloads
    Task: {781FB96F-332D-41D3-B5E6-F67DDF9FE814} - System32\Tasks\{7BD359C6-EFDE-48D5-9946-DF6E027808E9} => pcalua.exe -a C:\Users\KaBu\Downloads\irfanview_plugin_postscript.exe -d C:\Users\KaBu\Downloads
    Task: {885DC9A7-EF43-4FEB-A140-7A8B8B2A763D} - System32\Tasks\{752EA2BE-F9B7-4A79-A9F7-FCFF885ED226} => pcalua.exe -a C:\Users\KaBu\Desktop\iview437_setup.exe -d C:\Users\KaBu\Desktop
    Task: {A8CFC533-6F72-4CEA-9670-D198B1CF3F56} - System32\Tasks\{0E0D7A47-0E05-7D7A-0C11-080A080D1179} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgACAAOwAgADsAIAA7ADsAIAAgACAAIAAgACAAOwAgADsAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIA (dane wartości zawierają 9832 znaków więcej). <==== UWAGA
    Task: {D7B5E426-3616-4097-9B40-AFB1F18D9324} - System32\Tasks\{D76618AE-6B96-4936-B20F-41FE0429442D} => pcalua.exe -a "C:\Program Files (x86)\Common Files\ZonPhase\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\ZonPhase\uninstall.dat" -a uninstallme 8AD50759-53FC-40D6-8952-41CDB9F74744 DeviceId=48d8152d-4820-e7f7-5520-5f070f25d786 BarcodeId=51113011 ChannelId=11 DistributerName=APSFTuto4PC
    Task: {EEB3C89D-B283-40CB-9A06-D27279FBED54} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exe




    ShortcutWithArgument: C:\Users\KaBu\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
    ShortcutWithArgument: C:\Users\KaBu\Desktop\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
    ShortcutWithArgument: C:\Users\KaBu\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
    ShortcutWithArgument: C:\Users\KaBu\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
    ShortcutWithArgument: C:\Users\KaBu\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
    ShortcutWithArgument: C:\Users\KaBu\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
    ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
    () C:\Users\KaBu\AppData\Roaming\Tueasjey\Tueasjey.exe
    () C:\Users\KaBu\AppData\Roaming\Tueasjey\Riytkutm.exe
    () C:\Users\KaBu\AppData\Roaming\Tueasjey\Sughe.exe
    () C:\Users\KaBu\AppData\Roaming\VOS\SpyHunter\SpyHunter.exe
    HKLM-x32\...\Run: [117] => ᳫ
    HKLM-x32\...\Run: [157] => 
    HKLM-x32\...\Run: [55] => ᔜ
    HKLM-x32\...\Run: [64] => ⢤
    HKLM-x32\...\Run: [146] => ോ
    HKLM-x32\...\Run: [39] => ぴ
    HKLM-x32\...\Run: [63] => ⢤
    HKLM-x32\...\Run: [61] => ぴ
    HKLM-x32\...\Run: [25] => 㰬
    HKLM-x32\...\Run: [18] => 䀔
    HKLM-x32\...\Run: [165] => ോ
    HKLM-x32\...\Run: [139] => ᔛ
    HKLM-x32\...\Run: [109] => ᳫ
    HKLM-x32\...\Run: [97] => ⃓
    HKLM-x32\...\Run: [53] => ぴ
    HKLM-x32\...\Run: [173] => ോ
    HKLM-x32\...\Run: [116] => ᳫ
    HKLM-x32\...\Run: [226] => 遼
    HKLM-x32\...\Run: [3] => 䯌
    HKLM-x32\...\Run: [243] => 
    HKLM-x32\...\Run: [171] => ᄳ
    HKLM-x32\...\Run: [122] => ᳫ
    HKLM-x32\...\Run: [19] => 䏼
    HKLM-x32\...\Run: [118] => ⃓
    HKLM-x32\...\Run: [99] => Ⓕ
    HKLM-x32\...\Run: [87] => Ⲍ
    HKLM-x32\...\Run: [200] => ॣ
    HKLM-x32\...\Run: [138] => ᳫ
    HKLM-x32\...\Run: [195] => ോ
    HKLM-x32\...\Run: [28] => 䏼
    HKLM-x32\...\Run: [137] => ⃓
    HKLM-x32\...\Run: [7] => 垅
    HKLM-x32\...\Run: [27] => 䯍
    HKLM-x32\...\Run: [17] => 侵
    HKLM-x32\...\Run: [32] => 䯍
    HKLM-x32\...\Run: [20] => 侵
    HKLM-x32\...\Run: [110] => ぴ
    HKLM-x32\...\Run: [68] => 
    HKLM\...\Policies\Explorer\Run: [17641] => C:\PROGRA~3\LOCALS~1\Temp\mshrxxa.bat
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-3528400137-3428711964-490556890-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-3528400137-3428711964-490556890-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    SearchScopes: HKLM -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    FF NewTab: C:\\ProgramData\\Konksolexs\\ff.NT
    FF Keyword.URL: undefined://undefined/
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    S2 Konksolex; C:\ProgramData\\Konksolex\\Konksolex.exe shuz -f "C:\ProgramData\\Konksolex\\Konksolex.dat" -l -a
    S2 ktip; "C:\Program Files\ktip\ktip.exe" /s iid=6502372 did=APSFTuto4PC sid=11 ref=48d8152d-4820-e7f7-5520-5f070f25d786-PolicyMac id=49eae09818ee3df7c817e9d7653cf885ff8b5dbdd9bcc82e5edccc8a5f59a0a9 [X]
    S2 Tiuauh; "C:\Users\KaBu\AppData\Roaming\VypiwGyp\Wivmor.exe" -cms [X]
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-20] ()
    R3 TuneUpUtilitiesDrv; C:\Program Files (x86)\AVG PC TuneUp 2014\TuneUpUtilitiesDriver64.sys [14112 2013-09-18] (TuneUp Software)
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 Tablet2k; "%SystemRoot%\System32\Drivers\Tablet2k.sys" [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2016-04-20 16:53 - 2016-04-20 16:53 - 00003278 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
    2016-04-20 16:33 - 2016-04-20 16:33 - 00000000 ___RD C:\Users\KaBu\Desktop\SpyHunter.4.17.6.4336_ENG_Portable
    2016-04-20 16:28 - 2016-04-20 16:29 - 34139339 _____ C:\Users\KaBu\Desktop\SpyHunter.4.17.6.4336_ENG_Portable.7z
    2016-04-20 12:58 - 2016-04-20 12:58 - 00000000 _____ C:\autoexec.bat
    2016-04-20 12:57 - 2016-04-20 12:57 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
    2016-04-20 12:55 - 2016-04-20 12:55 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Users\KaBu\Downloads\SpyHunter-Installer.exe
    2016-04-20 11:31 - 2016-04-20 11:31 - 00023960 _____ C:\ComboFix.txt
    2016-04-20 10:13 - 2016-04-20 17:20 - 00103140 _____ C:\ncvs.exe
    2016-04-19 21:57 - 2016-04-19 21:57 - 05660069 ____R (Swearware) C:\Users\KaBu\Desktop\ComboFix.exe
    2016-04-19 21:35 - 2016-04-19 21:35 - 06494208 _____ C:\Users\KaBu\AppData\Roaming\agent.dat
    2016-04-19 21:35 - 2016-04-19 21:35 - 01626777 _____ C:\Users\KaBu\AppData\Roaming\S-cof.tst
    2016-04-19 21:35 - 2016-04-19 21:35 - 00126464 _____ C:\Users\KaBu\AppData\Roaming\noah.dat
    2016-04-19 21:35 - 2016-04-19 21:35 - 00065568 _____ C:\Users\KaBu\AppData\Roaming\Config.xml
    2016-04-19 21:35 - 2016-04-19 21:35 - 00018432 _____ C:\Users\KaBu\AppData\Roaming\Main.dat
    2016-04-19 21:35 - 2016-04-19 21:35 - 00000000 ____D C:\ProgramData\Konksolexs
    2016-04-19 21:34 - 2016-04-19 21:35 - 00005568 _____ C:\Users\KaBu\AppData\Roaming\md.xml
    2016-04-19 21:33 - 2016-04-19 21:33 - 00000000 ____D C:\uninst
    2016-04-19 21:33 - 2016-04-19 21:33 - 00000000 ____D C:\ProgramData\kingsoft
    2016-04-19 21:32 - 2016-04-19 21:32 - 00000000 ____D C:\Users\KaBu\AppData\Roaming\Tueasjey
    2016-04-20 11:32 - 2014-01-14 16:46 - 00000000 ____D C:\Qoobox
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #6 20 Kwi 2016 21:54
    Jarek_14
    Poziom 10  

    No to napiszę prościej
    Harmonogram można wyczyścić np w aplikacji ccleaner Ads by Albireo - nie wiem jak usunąć :(((
    Jak klikniesz prawym na któreś z zadań to możesz otworzyć folder docelowy i już raczej problemu nie będzie z przeskanowaniem pliku w virustotal

    A co do DNS to youtube i wpisz "zmiana DNS windows"

    0
  • #7 20 Kwi 2016 22:36
    Fosken
    Poziom 6  

    krzychupar :* dziękuję pięknie!! zadziałało! nie wiem jak dziękować :D kłaniam się nisko!! Pozdrawiam!!

    0
  • #8 20 Kwi 2016 23:01
    RADU23
    Moderator - Komputery Serwis

    Fosken napisał:
    Regularnie skanuję ComboFixem

    Nie używaj tego programu, taka dobra rada na przyszłość.
    Poczytaj:
    http://gameplay.pl/news.asp?ID=85285

    Fosken napisał:
    zadziałało! nie wiem jak dziękować

    Usuń folder C:\FRST i to wszystko.
    Ads by Albireo - nie wiem jak usunąć :(((

    0