Denerwująca reklama

[Alesha 0]

Witam, coś mi się znów zaczęły pojawiać reklamy ale jakoś nie mogę znaleźć przyczyny, pewnie przez jakaś wtyczkę która się zainstalowała jednak wtyczki już nie ma a problem został, chyba nie ma :<

Mógłby ktoś zobaczyć bo nie za bardzo się na tym znam?

FRST.txt - https://wklej.to/pOFlF

Addition.txt - https://wklej.to/pEInm

[filutka78 11]

C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe

Program udający Google Chrome!

 

1) Odinstaluj ten program:

WinZip (HKLM-x32\...\WinZip) (Version: 2.0.30 - Winzipper Pvt Ltd.) <==== UWAGA

 

2) Otwórz Notatnik i wklej w nim:

FirewallRules: [{F9DE101C-E18A-4ADC-AA7A-FC27C511314B}] => (Allow) C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe

FirewallRules: [{EBD15A57-0BFE-46D9-A2C1-F7A58AA79544}] => (Allow) C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe

FirewallRules: [{B10735D1-B160-4321-9E11-03FAB6B44B37}] => (Allow) C:\ProgramData\IHeeaWA\protect\protect.exe

2016-04-13 00:37 - 2016-04-13 00:37 - 00254264 _____ () C:\Program Files\ByteFence\rtop\bin\rtop_svc.exe

2016-04-22 16:26 - 2016-04-22 08:02 - 00303016 _____ () C:\ProgramData\IHeeaWA\protect\protect.exe

2016-04-15 17:35 - 2015-12-30 07:34 - 00582144 _____ () C:\Program Files (x86)\WinZipper\curlpp.dll

2016-04-15 17:35 - 2016-01-26 10:27 - 00066560 _____ () C:\Program Files (x86)\WinZipper\zlib1.dll

2016-04-22 16:26 - 2016-04-22 08:02 - 01708456 _____ () C:\Program Files (x86)\IHeeaWA\IHeeaWA\libglesv2.dll

2016-04-22 16:26 - 2016-04-22 08:02 - 00080296 _____ () C:\Program Files (x86)\IHeeaWA\IHeeaWA\libegl.dll

2016-04-22 16:26 - 2016-04-22 08:02 - 17530792 _____ () C:\Program Files (x86)\IHeeaWA\IHeeaWA\PepperFlash\pepflashplayer.dll

Shortcut: C:\Users\Klaudia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe (The IHeeaWA Authors)

Shortcut: C:\Users\Klaudia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe (The IHeeaWA Authors)

Shortcut: C:\Users\Klaudia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe (The IHeeaWA Authors)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe (The IHeeaWA Authors)

Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe (The IHeeaWA Authors)

C:\Program Files (x86)\IHeeaWA

C:\Program Files (x86)\WinZipper

Task: {ED2BB28A-66C9-4279-B102-D9DC5A7A86C4} - System32\Tasks\IHeeaWABrowserUpdateCore => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe [2016-04-22] () <==== UWAGA

Task: {B89815D7-9A97-4F56-8E1B-2B4FA2D1E8F5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA

Task: {D69E93A3-CAEC-4151-8BF5-0E191AEE26A4} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA

Task: {DD7C969D-6E31-4BA8-9914-66F50EEEC497} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA

Task: {8D1AE770-A35C-49A4-B968-55F55144EE3B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA

Task: {5C05A203-C384-4177-A27D-99FFFF41CA86} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA

Task: {672D6060-751D-40D3-8771-C9A98EEECDA4} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA

Task: {769D7D8A-6B61-42E1-B250-10081C2C754F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA

Task: {4A93D4CB-23D9-465C-B258-97130F7DCFFA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA

Task: {4253E6F4-D6D2-46D3-BC71-2EF6FB352AD7} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA

Task: {3A3FB1B4-77F5-49C0-B9AF-B66F34C0176D} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\EB18AC4762FC55191D751EB3A245DA8D\Update\BrowserUpdate.exe [2016-04-08] (Tencent) <==== UWAGA

C:\Program Files (x86)\QQBrowser

Task: {2AD20695-CD3A-4F95-B990-346568BF753E} - System32\Tasks\KlaudiaCabaretAlmightyV2 => Rundll32.exe BigamouslyLasagne.dll,main 7 1 <==== UWAGA

Task: {3595B5BA-98E7-4CB4-A2F6-CDED3C2483C1} - System32\Tasks\IHeeaWABrowserUpdateUA => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe [2016-04-22] () <==== UWAGA

Task: {38AF0203-D03F-4B78-AEF2-650DE48347A8} - System32\Tasks\Fedaryqeule Server => C:\Program Files (x86)\Fedaryqeule\FedaryqeuleServerTsk.exe [2016-04-12] () <==== UWAGA

Task: {15112E32-67DD-4D4D-B61F-073EA66A9B32} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA

Task: {1A3A3110-D66B-413E-BFA2-EE90857A7900} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA

Task: {2198777B-3915-4E56-9B5E-E40653DD05CD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA

Task: {237AAAD7-1FEA-460F-8EFC-80148C776DA9} - System32\Tasks\IHeeaWACheckTask => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe [2016-04-22] () <==== UWAGA

Task: {03FD8E70-25AF-4ED0-AC8D-7D88B2F9FAF1} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA

C:\Program Files (x86)\Fedaryqeule

C:\Program Files\ByteFence

C:\Users\Klaudia\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence

2016-04-13 00:37 - 2016-04-13 00:37 - 00000000 ____D C:\ProgramData\ByteFence

2016-04-13 00:28 - 2016-04-29 22:09 - 00000000 ____D C:\Program Files (x86)\yesbnd

2016-04-13 00:28 - 2016-04-21 21:28 - 00000000 ____D C:\Program Files (x86)\Ninight

2016-04-13 00:28 - 2016-04-16 14:13 - 00011500 _____ C:\WINDOWS\System32\Tasks\Fedaryqeule Server

2016-04-13 00:28 - 2016-04-16 14:13 - 00011322 _____ C:\WINDOWS\System32\Tasks\Ninight Collector

2016-04-13 00:28 - 2016-04-14 20:17 - 00000000 ____D C:\Users\Klaudia\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108

2016-04-13 00:28 - 2016-04-13 00:28 - 00000000 ____D C:\Users\Public\Documents\dmp

2016-04-13 00:28 - 2016-04-13 00:28 - 00000000 ____D C:\Program Files (x86)\Fedaryqeule

2016-04-13 00:28 - 2016-04-13 00:28 - 00000000 ____D C:\extensions

2016-04-15 21:33 - 2016-04-16 11:55 - 00000001 _____ C:\WINDOWS\SysWOW64\pl.html

2016-04-15 17:35 - 2016-04-29 11:26 - 00000000 ____D C:\Program Files (x86)\WinZipper

2016-04-15 17:35 - 2016-04-18 18:24 - 00000000 ____D C:\Users\Klaudia\AppData\Roaming\WinZiper

2016-04-15 17:35 - 2016-04-16 14:06 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip

2016-04-15 17:34 - 2016-04-16 14:13 - 00011942 _____ C:\WINDOWS\System32\Tasks\Browser Updater Task(Core)

2016-04-15 17:34 - 2016-04-15 17:34 - 00000000 ____D C:\ProgramData\desktopfind

2016-04-15 17:33 - 2016-04-15 17:33 - 00000000 ____D C:\Users\Klaudia\AppData\Roaming\TSv

2016-04-15 17:33 - 2016-04-15 17:33 - 00000000 ____D C:\ProgramData\1winp1

2016-04-15 17:32 - 2016-04-15 17:32 - 00000000 ____D C:\Program Files (x86)\QQBrowser

2016-04-20 19:54 - 2016-04-20 19:54 - 00000000 ____D C:\Users\Klaudia\AppData\Roaming\eCyber

2016-04-22 16:26 - 2016-04-22 16:26 - 00000007 _____ C:\WINDOWS\SysWOW64\tem65C5.tmp

2016-04-22 16:26 - 2016-04-22 16:26 - 00000000 ____D C:\Users\Public\Documents\IHeeaWA

2016-04-22 16:26 - 2016-04-22 16:26 - 00000000 ____D C:\Users\Klaudia\AppData\Local\IHeeaWA

2016-04-22 16:25 - 2016-05-01 12:29 - 00000000 ____D C:\Program Files (x86)\IHeeaWA

2016-04-22 11:58 - 2016-04-22 13:49 - 00097325 _____ C:\Users\Klaudia\Desktop\hehehe.thb

2016-04-22 11:52 - 2016-04-22 11:52 - 00009994 _____ C:\Users\Klaudia\Desktop\aaaaaaaaaaaaaaaaaaaaaaaaaa.tad

2016-04-22 11:51 - 2016-04-22 11:51 - 00001747 _____ C:\Users\Klaudia\Desktop\waaaaaaaaaaaaaaaaaaaaaa.tnd

2016-04-22 16:27 - 2016-04-22 16:27 - 00000000 ____D C:\ProgramData\IHeeaWA

2016-04-22 16:26 - 2016-05-01 12:29 - 00014824 _____ C:\WINDOWS\System32\Tasks\IHeeaWABrowserUpdateUA

2016-04-22 16:26 - 2016-05-01 12:29 - 00014802 _____ C:\WINDOWS\System32\Tasks\IHeeaWACheckTask

2016-04-22 16:26 - 2016-05-01 12:29 - 00003888 _____ C:\WINDOWS\System32\Tasks\IHeeaWABrowserUpdateCore

2016-04-27 11:52 - 2016-04-27 11:52 - 00000000 ____D C:\Users\Klaudia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lindab

2016-04-27 11:52 - 2016-04-27 11:52 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lindab

2016-04-27 11:52 - 2016-04-27 11:52 - 00000000 ____D C:\Program Files (x86)\Lindab

R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [658544 2016-04-22] (Winzipper Pvt Ltd.) <==== UWAGA

R2 rtop; C:\Program Files\ByteFence\rtop\bin\rtop_svc.exe [254264 2016-04-13] ()

R2 IHeeaWA_protect; C:\ProgramData\IHeeaWA\protect\protect.exe [303016 2016-04-22] ()

S2 IHeeaWA_update; C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe [473000 2016-04-22] ()

s2 FedaryqeuleServerSrv; C:\Program Files (x86)\Fedaryqeule\FedaryqeuleServerSrv.exe [315872 2016-04-12] ()

S2 DeskTop_F; C:\ProgramData\desktopfind\desktop154.exe [236728 2016-03-16] (DeskTopService)

CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=1409340254&from=cor&uid=ST1000LM024XHN-M101MBB_S2Y4J9AF108624

CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1409340254&from=cor&uid=ST1000LM024XHN-M101MBB_S2Y4J9AF108624","hxxp://www.gazeta.pl/0,0.html?p=156","www.wp.pl/?src01=dp120140913","hxxp://www.gazeta.pl/0, 0.html?p=156","hxxp://www.yessearches.com/?mode=nnnb&ptid=dam&uid=6CA757CAFA40E8C464C3519CB7515191&v=20160202&ts=AHEpBXAtCHMnBk..","hxxp://www.yoursearching.com/?type=hp&ts=1457864488&z=90274ab19a3fc72ea722d3fgbz5wbm1b3q3z0z7b2q&from=brd&uid=TOSHIBAXMQ01ABD100_94ODP4PETXX94ODP4PET","hxxp://www.yoursearching.com/?type=hp&ts=1457864789&z=96034ee922d2bc88bcf80a3g7z5wam9b4qfzbmbbam&from=brd&uid=TOSHIBAXMQ01ABD100_94ODP4PETXX94ODP4PET","hxxp://www.yessearches.com/?mode=nnnb&ptid=sqr1&uid=E3C032CAF4A612073F200096D257F927&v=20160301&ts=AHEpBnUqBnUpCE..","hxxp://www.yessearches.com/?mode=nnnb&ptid=dam&uid=EB18AC4762FC55191D751EB3A245DA8D&v=20160412&ts=AHEqA3IkA30tAU.."

SearchScopes: HKU\S-1-5-21-2982923038-2014424793-3310140659-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA

GroupPolicy: Ograniczenia - Chrome <======= UWAGA

HKU\S-1-5-21-2982923038-2014424793-3310140659-1002\...\Policies\Explorer: []

HOSTS:

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

3) Zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".

 

4) Napisz, czy problem znikł?

 

F.

(temat przejmie ktoś inny - z powodu mojej nieobecności)

[Alesha 0]

Problem już się nie pojawia, dziękuję bardzo

FRST.txt - https://wklej.to/pgObF

Addition.txt - https://wklej.to/nDRzT

Shortcut.txt - https://wklej.to/jWD5u

[Miszel03 0]

(temat przejmie ktoś inny - z powodu mojej nieobecności)

 

Do czasu nieobecności @Filutka78 przejmuję wszystkie jej nie dokończone teamty, już wcześniej zostało to uzgodnione.

 

(The IHeeaWA Authors) C:\FRST\Quarantine\C\Program Files (x86)\IHeeaWA\IHeeaWA\IHeeaWA\chrome.exe

 

Dziwne, jest to uruchomione pomimo kwarantanny FRST

 

====

 

Do wdrążenia jeszcze czyszczenie resztek po fałszywym Google Chrome + poprawki:

 

1. Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST

Plik fixlist.txt umieść obok programu FRST

 

CloseProcesses:
CreateRestorePoint:
U3 mfeaack01; Brak ImagePath
U3 mfeavfk01; Brak ImagePath
U3 mfehidk01; Brak ImagePath
2013-05-01 13:15 - 2012-09-07 13:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
Task: {007BCBD5-54E6-4244-AE44-95B8D5EF6440} - \IHeeaWABrowserUpdateUA -> Brak pliku <==== UWAGA
Task: {3F082FE6-5553-46B7-A257-1A1FE3592823} - \IHeeaWABrowserUpdateCore -> Brak pliku <==== UWAGA
Task: {ABF3C5B0-EE15-42BC-90EF-56A84EF8EAE1} - \Ninight Collector -> Brak pliku <==== UWAGA
Task: {ADF7F1F0-7370-481D-AFFC-78B76197EBBE} - \IHeeaWACheckTask -> Brak pliku <==== UWAGA
CMD: del /q C:\Users\Public\Documents\IHeeaWA
CMD: del /q C:\Users\Klaudia\AppData\Local\IHeeaWA
CMD: del /q C:\Program Files (x86)\IHeeaWA
EmptyTemp:
DeleteQuarantine:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. Raportu (Fixlog) z tego nie dawaj.

 

Problem już się nie pojawia, dziękuję bardzo

 

Jeżeli jest na pewno OK to kończymy, zastosuj się do: czyszczenie systemu po udanej dezynfekcji.