Faster Light Ads

[allken]

Objawy zainfekowania:
Wyswietla sie pelno zbednych reklam w przegladarce, otwieraja sie samoczynnie nowe strony z reklamami.

Wykonywane działania:
Raz uzylem Adwcleaner - bezskutecznie,
oprogramowanie ochronne - avast

Logi:
FRST ->

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition ->

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL ->

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras ->

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut ->

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

W FRST zaznacz dodatkowo Shortcut.txt,klik skan i prześlij log.

[tachion]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

CloseProcesses:
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-3763638603-2282573307-2394668051-1001\...\RunOnce: [Application Restart #1] => C:\Users\Marta\AppData\Local\Pokki\Engine\pokki.exe--disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-client-side- (the data entry has 540 more characters).
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Extension: DVDVideoSoft YouTube MP3 and Video Download - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{B64D9B05-48E1-4CEB-BF58-E0643994E900}.xpi [2014-12-10]
FF HKU\S-1-5-21-3763638603-2282573307-2394668051-1001\...\Firefox\Extensions: [{B64D9B05-48E1-4CEB-BF58-E0643994E900}] - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\ff
FF Extension: DVDVideoSoft YouTube MP3 and Video Download - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\ff [2014-12-10]
CHR StartupUrls: Default -> "hxxp://google.pl/", "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418227535&from=cor&uid=ST500LT012-9WS142_W0VJB7G1XXXXW0VJB7G1", "hxxp://isearch.omiga?type=hppppppp"
CHR DefaultSearchURL: Default -> http://isearch.omigaweb/?type=dspp&q={searchTerms}
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&gs_ri={google:suggestRid}&xssi=t&q={searchTerms}&{google:inputType}{google:cursorPosition}{google:currentPageUrl}{google:pageClassification}{google:searchVersion}{google:sessionToken}{google:prefetchQuery}sugkey={google:suggestAPIKeyParameter}
CHR Extension: (Deal Keeper) - C:\Users\Marta\AppData\Local\Google\Chrome\User Data\Default\Extensions\eencbeelgfacnhekfiklkobllfleohce [2014-09-16]
CHR Extension: (Faster Light) - C:\Users\Marta\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhkpdgobekbpcgefedkmnhopkepefbch [2014-12-15]
S2 McAfee SiteAdvisor Service; c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe [X]
S2 Update Faster Light; "C:\Program Files (x86)\Faster Light\updateFasterLight.exe" [X]
C:\ProgramData\IHProtectUpDate
C:\Program Files (x86)\STab
C:\Users\Marta\Downloads\Free-YouTube-to-MP3-Converter(22251)-dp.exe
C:\Users\Marta\Downloads\SoftonicDownloader_dla_utorrent.exe
Task: {546301A8-A38F-4790-8FE8-42EC180792ED} - System32\Tasks\ALU => C:\Program Files (x86)\Acer\Live Updater\updater.exe [2013-07-08] ()
Task: {5F846995-83DC-41BD-964E-5212158849BA} - System32\Tasks\ALUAgent => C:\Program Files (x86)\Acer\Live Updater\liveupdater_agent.exe [2013-01-22] ()
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver"
CMD: netsh advfirewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Google Chrome

Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

Napisz czy korzystasz też z konta Google Chrome żeby synchronizować ustawienia,rozszerzenia itp.

Ściągnij McAfee Removal Tool i wykonaj nim działania usuwająć sterowniki i usługi.

[Aby zobaczyć linki, zarejestruj się tutaj]

Zrób dodatkowy skan adwcleaner,usuń co widoczne i pokaż raport z tego działania.

[Gość]

Po fix''owaniu wyskoczyl blad:

[Aby zobaczyć linki, zarejestruj się tutaj]

Jednak wygenerowało raport:

Fixlog ->

[Aby zobaczyć linki, zarejestruj się tutaj]

Z tego co mi wiadomo to nie korzystam z żadnej synchronizacji.
McAfee wykonane.
Shortcut wklejone na wstepie tematu.

Czas na adwcleaner...

[allken]

Adwcleaner nic nie wykazał do usunięcia.

[tachion]

Zrób nowy skan i podaj logi FRST.txt+Addition i OTL ale bez extras

Napisz czy jest już ok

[allken]

Tak, wszystko działa już po pierwszej próbie czyszczenia. Nastepne logi:

FRST ->

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition ->

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL ->

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Google Chrome
Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres jeśli widoczny isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty".

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

C:\Program Files (x86)\Mozilla Firefox
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Marta\AppData\Local
CMD: dir /a C:\Users\Marta\AppData\LocalLow
CMD: dir /a C:\Users\Marta\AppData\Roaming
RemoveDirectory: C:\AdwCleaner
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

W operze jest rozumiem ok już wszystko ?

[Gość]

2 strony usunięte. Log:

Fixlog ->

[Aby zobaczyć linki, zarejestruj się tutaj]

Z tego co zauważyłem to wszystko gra na każdej z przeglądarek.

[tachion]

Instalowałeś może jeszcze po tych wszystkich działania z powrotem firefoxa ?

[allken]

Nie instalowałem i raczej nie zamierzam.

[tachion]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

I to by było na tyle.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

[allken]

Dziękuje, pozdrawiam. Wszystko gra