Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Rachuc

Problem z usunięciem Ads By Albireo

Rekomendowane odpowiedzi

Dzień dobry,

 

Jak wiele osób na tym forum mam problem z usunięciem Ads By Albireo. Idąc za przykładem wcześniejszych postów poniżej, przesyłam skany:

Addition: http://wklejto.pl/256270

FRST: http://www.wklejto.pl/256271

Shortcut: http://www.wklejto.pl/256272

 

Liczę na waszą pomoc. Próbowałem już chyba wszystkiego!

Pozdrawiam

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Z serwisem wklejto.pl są problemy, bo ucina znaki "/", więc proszę raporty wstawić na inny hosting np. na wklej.org.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Może być i wklejto.pl, tylko trzeba wklejać samą (całą) treść raportu w to duże prostokątne okno a nie plik jako taki, bo wtedy brakuje backslashy (czyli znaków "\") w wylistowanych w raportach ścieżkach dostępu plików czy folderów.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jest, widać bitą infekcję Albireo, do tego widać tutaj też inne infekcje typu adware.

 

Dezynfekcja:

 

1. Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST

Plik fixlist.txt umieść obok programu FRST

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
ShellExecuteHooks:  - {7AD1C0F5-07A2-40E5-8608-C6EAA0FF362F} - C:\Users\Rachuc\AppData\Roaming\Microsoft\Windows\Cookies\x64explibss.dll Brak pliku [ ]
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} =>  Brak pliku
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
S2 Ghnadpsrv; "C:\Program Files (x86)\Ghaneckugick\Ghnadpsrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]
S2 Luggijyj; "C:\Users\Rachuc\AppData\Roaming\LialkuJywnogu\Fujwon.exe" -cms [X]
S4 Update service; C:\Program Files (x86)\Popcorn Time\Updater.exe [X]
C:\Program Files (x86)\Ghaneckugick
C:\Users\Rachuc\AppData\Roaming\LialkuJywnogu
2016-05-29 21:42 - 2016-05-29 21:42 - 00000000 ____D C:\Users\Rachuc\AppData\LocalLow\Company
2016-05-29 21:42 - 2016-05-29 21:42 - 00000000 ____D C:\Users\Rachuc\AppData\Local\Tempfolder
2016-05-29 21:33 - 2016-05-29 21:33 - 06859776 _____ C:\Users\Rachuc\AppData\Roaming\agent.dat
2016-05-29 21:33 - 2016-05-29 21:33 - 01756999 _____ C:\Users\Rachuc\AppData\Roaming\StrongApdox.tst
2016-05-29 21:33 - 2016-05-29 21:33 - 00941568 _____ C:\Users\Rachuc\AppData\Roaming\Ventokix.exe
2016-05-29 21:33 - 2016-05-29 21:33 - 00941568 _____ C:\Users\Rachuc\AppData\Roaming\StrongApdox.exe
2016-05-29 21:33 - 2016-05-29 21:33 - 00848437 _____ C:\Users\Rachuc\AppData\Roaming\Toning.bin
2016-05-29 21:33 - 2016-05-29 21:33 - 00128512 _____ C:\Users\Rachuc\AppData\Roaming\Installer.dat
2016-05-29 21:33 - 2016-05-29 21:33 - 00126464 _____ C:\Users\Rachuc\AppData\Roaming\noah.dat
2016-05-29 21:33 - 2016-05-29 21:33 - 00126464 _____ C:\Users\Rachuc\AppData\Roaming\lobby.dat
2016-05-29 21:33 - 2016-05-29 21:33 - 00072820 _____ C:\Users\Rachuc\AppData\Roaming\Ventokix.tst
2016-05-29 21:33 - 2016-05-29 21:33 - 00067776 _____ C:\Users\Rachuc\AppData\Roaming\Config.xml
2016-05-29 21:33 - 2016-05-29 21:33 - 00054272 _____ C:\Users\Rachuc\AppData\Roaming\ApplicationHosting.dat
2016-05-29 21:33 - 2016-05-29 21:33 - 00018432 _____ C:\Users\Rachuc\AppData\Roaming\Main.dat
2016-05-29 21:33 - 2016-05-29 21:33 - 00018432 _____ C:\Users\Rachuc\AppData\Roaming\InstallationConfiguration.xml
2016-05-29 21:33 - 2016-05-29 21:33 - 00005568 _____ C:\Users\Rachuc\AppData\Roaming\md.xml
C:\ProgramData\RandomDelJiheReg.exe
C:\ProgramData\RiliDlr.exe
C:\ProgramData\setup_qg00.exe
C:\ProgramData\tasklist.exe
Task: {01423D32-3B79-4C9E-BFB9-82DDFD74C189} - System32\Tasks\bo3oihYX => C:\Users\Rachuc\AppData\Roaming\bo3oihYX.exe <==== UWAGA
Task: C:\Windows\Tasks\bo3oihYX.job => C:\Users\Rachuc\AppData\Roaming\bo3oihYX.exe <==== UWAGA
EmptyTemp:

 

2. Przez Panel Sterowania Odinstaluj:

Popcorn Time

hohosearch - Uninstall

 

Po deinstalacji skasuj folder C:\Program Files (x86)\Popcorn Time

 

3. >> Google Chrome:

 

  • Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy inne niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

>> FireFox:

 

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.

 

4. Wstaw raport ze skryptu (Fixlog) i zrób nowe logi z FRST (Zaznacz też: Addition i ShortCup)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Niestety dalej nic to nie pomogło. Jest wręcz gorzej bo nie mam teraz AdBlocka nie wiem czemu i reklamy zalewają mnie z każdej strony.

Poniżej przesyłam raporty o które prosisz:

 

Fixlog: http://wklej.org/id/2476639/

Addition: http://wklej.org/id/2476694/

FRST: http://wklej.org/id/2476695/

Shortcut: http://wklej.org/id/2476697/

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Czy znasz program Poybfae?

 

I dlaczego nie odinstalowałeś programu hohosearch - Uninstall?

 

Jest wręcz gorzej bo nie mam teraz AdBlocka nie wiem czemu i reklamy zalewają mnie z każdej strony.

 

To, że nie masz AdBlock'a jest oczywiste, bo przecież zresetowaliśmy FireFox'a, zainstalujemy go na końcu dezynfekcji.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ponawiam pytanie: dlaczego nie odinstalowałeś programu hohosearch - Uninstall?

 

Do wdrążenia kolejna porcja akcji dezynfekcyjnych.

 

1. Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST

Plik fixlist.txt umieść obok programu FRST

 

CloseProcesses:
CreateRestorePoint:
C:\Users\Rachuc\AppData\Roaming\Poybfae
HKLM\...\Run: [iDSCCOMVCY] => "C:\Program Files (x86)\EasyHotspot\idsccom_VCY.exe"
HKLM\...\Run: [WINCOMSH3] => "C:\Program Files (x86)\mobilepcstarterkit\wincom_SH3.exe"
C:\Program Files (x86)\EasyHotspot
C:\Program Files (x86)\mobilepcstarterkit
URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
Toolbar: HKU\S-1-5-21-2294644682-1442252981-3385000919-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-05-15] () [brak podpisu cyfrowego]
C:\ProgramData\Logic Handler
2016-05-29 21:53 - 2016-05-29 21:53 - 00000000 ____D C:\Program Files (x86)\Phubish
2016-05-29 21:53 - 2016-05-29 21:53 - 00000000 ____D C:\Program Files (x86)\Ckidiry
2016-05-29 21:42 - 2016-05-29 21:42 - 00000000 ____D C:\Program Files (x86)\Ckidiry_13f1631e
2016-05-29 21:53 - 2016-05-29 21:53 - 00000000 ____D C:\extensions
2016-05-29 21:42 - 2016-05-29 21:43 - 00000000 ____D C:\Program Files\Keeomrhteuni
2015-08-15 12:19 - 2015-08-15 12:19 - 0613255 _____ (CMI Limited) C:\Users\Rachuc\AppData\Local\nsi98ED.tmp
2015-08-15 18:35 - 2015-08-15 18:35 - 0613255 _____ (CMI Limited) C:\Users\Rachuc\AppData\Local\nsj9E6B.tmp
2015-08-03 19:22 - 2015-08-03 19:21 - 0613255 _____ (CMI Limited) C:\Users\Rachuc\AppData\Local\nsq31D6.tmp
2015-08-15 12:55 - 2015-08-15 12:55 - 0613255 _____ (CMI Limited) C:\Users\Rachuc\AppData\Local\nsqC4C7.tmp
2015-08-16 15:10 - 2015-08-16 15:10 - 0613255 _____ (CMI Limited) C:\Users\Rachuc\AppData\Local\nsy64FE.tmp
FirewallRules: [{7C3B5F9D-4F6B-4EC6-A138-FB49FBC25F3F}] => (Allow) C:\Program Files (x86)\Popcorn Time\PopcornTimeDesktop.exe
FirewallRules: [{54525329-E652-40BE-BC93-0A143702F3A7}] => (Allow) C:\Program Files (x86)\Popcorn Time\PopcornTimeDesktop.exe
FirewallRules: [{D60E1373-D730-476C-AF5E-6427F600F205}] => (Allow) C:\Program Files (x86)\Popcorn Time\Updater.exe
FirewallRules: [{C3869392-2B13-4BD6-ADDB-56F2B3811FFB}] => (Allow) C:\Program Files (x86)\Popcorn Time\Updater.exe
CMD: netsh advfirewall reset
CMD: netsh firewall reset
EmptyTemp:

 

2. Wstaw raport ze skryptu (Fixlog) i zrób nowe logi z FRST (Zaznacz też: Addition i ShortCup)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Udało się!!! jesteś wielki, thx za pomoc. Na dole przesyłam raporty:

 

Addition: http://wklej.org/id/2484095/

Fixlog: http://wklej.org/id/2484098/

FRST: http://wklej.org/id/2484099/

Shortcut: http://wklej.org/id/2484102/

 

Jedyne co się nie udało, to nie mogę odinstalować za nic tego programu o którym pisałeś.

Ale i tak raz jeszcze dzięki za wszystko!

:D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Jedyne co się nie udało, to nie mogę odinstalować za nic tego programu o którym pisałeś.

 

Spróbuj z poziomu trybu awaryjnego. (F8 przed startem systemu)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...