Pomoc w usunięciu Albireo Ads

[Mastah2016 0]

Dzieńdobry

Zostałem dzisiaj zaatakowany przez Albireo, i wzorem innych użytkowników z tm samym problemem, zwracam się o pomoc.

Oto wynik skanu.

Pozdrawiam

Kuba

 

 

https://wklej.to/sG4yS

[filutka78 11]

1) Był użyty Adw-Cleaner - czy wg tego:

najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

?

 

2) Otwórz Notatnik i wklej w nim:

2016-07-23 19:18 - 2016-07-23 19:18 - 7105536 _____ () C:\Users\Kuba\AppData\Roaming\agent.dat

2016-07-23 19:18 - 2016-07-23 19:18 - 0070656 _____ () C:\Users\Kuba\AppData\Roaming\Config.xml

2016-07-23 19:16 - 2016-07-23 19:17 - 0018240 _____ () C:\Users\Kuba\AppData\Roaming\InstallationConfiguration.xml

2016-07-23 19:16 - 2016-07-23 19:16 - 0129024 _____ () C:\Users\Kuba\AppData\Roaming\Installer.dat

2016-07-23 19:18 - 2016-07-23 19:18 - 0018432 _____ () C:\Users\Kuba\AppData\Roaming\Main.dat

2016-07-23 19:17 - 2016-07-24 17:44 - 00000000 ____D C:\Program Files\Caster

2016-07-23 19:17 - 2016-07-24 09:19 - 00000000 ____D C:\Program Files\SpaceSoundPro

2016-07-23 19:22 - 2016-07-24 17:42 - 00000478 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job

2016-07-23 19:22 - 2016-07-23 19:22 - 00003494 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater

2016-07-23 19:22 - 2016-07-23 19:22 - 00000000 ____D C:\Users\Kuba\AppData\Local\UCBrowser

2016-07-23 19:22 - 2016-07-04 14:46 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\ucguard.sys

2016-07-23 19:21 - 2016-07-24 16:45 - 00000000 ____D C:\Users\Kuba\AppData\Roaming\Ytacbym

2016-07-23 19:21 - 2016-07-24 16:45 - 00000000 ____D C:\Users\Kuba\AppData\Roaming\Gojgaulqo

2016-07-23 19:21 - 2016-07-24 16:45 - 00000000 ____D C:\Program Files\Suracoyfjen

2016-07-23 19:21 - 2016-07-23 22:17 - 00000000 ____D C:\Users\Kuba\AppData\Roaming\FedwTeact

2016-07-23 19:21 - 2016-07-23 19:27 - 00000000 ____D C:\Program Files\SuracoyfjenUn

2016-07-23 19:20 - 2016-07-23 21:06 - 00000000 ____D C:\Program Files (x86)\badu

2016-07-23 19:20 - 2016-07-23 19:23 - 00000000 ____D C:\Users\Kuba\AppData\Local\ticecultshittyjeption

2016-07-23 19:20 - 2016-07-23 19:21 - 00000000 ____D C:\Users\Kuba\AppData\Local\Tempfolder

2016-07-23 19:19 - 2016-07-24 16:39 - 00000000 ____D C:\ProgramData\Holdtam

2016-07-23 19:19 - 2016-07-23 19:19 - 00000000 ____D C:\ProgramData\Holdtams

2016-07-23 19:40 - 2016-07-23 19:40 - 00000000 ____D C:\WINDOWS\system32\ove

R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-07-04] (Huorong Borui (Beijing) Technology Co., Ltd.)

CHR HomePage: ariftherdupetyzerhusp -> search.ask.com/?gct=hp

CHR StartupUrls: ariftherdupetyzerhusp -> "search.mpc.am"

CHR Extension: (Ask Search) - C:\Users\Kuba\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf [2015-11-18]

CHR Extension: (Bazz Search) - C:\Users\Kuba\AppData\Local\Google\Chrome\User Data\Default\Extensions\pinhfkamckbogjgmbmdkdebbbpnmlaef [2016-07-23]

FF Homepage: search.mpc.am

HKU\S-1-5-21-727040757-2673133068-1115392081-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA

Tcpip\..\Interfaces\{d92a1879-365b-4454-9151-83f652d30699}: [NameServer] 104.197.191.4

Tcpip\..\Interfaces\{e31a3405-ca7a-4e06-a22f-2a1df87db9b5}: [NameServer] 104.197.191.4

Tcpip\..\Interfaces\{8718928d-cbeb-45ea-a621-800a9249001d}: [NameServer] 104.197.191.4

Tcpip\..\Interfaces\{bfa55b25-2ac2-49b4-a720-fb6c2f634774}: [NameServer] 104.197.191.4

GroupPolicy: Ograniczenia - Chrome <======= UWAGA

HKU\S-1-5-21-727040757-2673133068-1115392081-1001\...\Policies\Explorer: [HideSCAHealth] 1

HOSTS:

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

3) Użyj RepairDNS > http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172749

Daj z tego raport.

 

4) Zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

 

F.

[Mastah2016 0]

1) Był użyty Adw-Cleaner - czy wg tego:

 

?

 

2) Otwórz Notatnik i wklej w nim:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

3) Użyj RepairDNS > http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172749

Daj z tego raport.

 

4) Zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

 

F.

 

 

 

 

 

Oto raport z FRST

https://wklej.to/z8E3S

 

i repair DNS

https://wklej.to/6AtCv

[filutka78 11]

=======[ Verify new Dynamic Link Library (DLL) (32/64Bits) ]

FOUND: C:\WINDOWS\System32\dnsapi.dll [686976] =>Disinfected

FOUND: C:\WINDOWS\SysWOW64\dnsapi.dll [535080] =>Hijacker.DNS.Hosts

Jeszcze raz użyj RepairDNS.

Daj z tego raport.

 

Brak logów Addition.txt oraz Shortcut.txt, więc zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

 

F.

[Mastah2016 0]

Raport z RepairDNS

 

 

https://wklej.to/C7znX

 

 

FRST

 

https://wklej.to/7Oui8

 

 

Addition

 

https://wklej.to/JZlLB

 

Shortcuts

 

https://wklej.to/MwDeD

[filutka78 11]

Otwórz Notatnik i wklej w nim:

Replace: C:\WINDOWS\winsxs\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_0d0987cfb6756063\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll

Task: {E6305153-31A4-44E1-9DCC-FB7437CC57B2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA

Task: {E8177B7C-23E6-47EF-81F6-F30211A671AD} - System32\Tasks\{420CFEA7-0A39-4B8A-88E9-E779FB66C3EA} => pcalua.exe -a "C:\Program Files (x86)\CleanBrowser\uninstall.exe" -c /uninstall

Task: {F8A789B5-8742-4AD3-8F30-7938ED9AF30B} - System32\Tasks\{DBD70A8B-FB5A-44AB-BD14-C84DAF6C3913} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Singtop\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Singtop\uninstall.dat" -a uninstallme 713932D2-03B4-47E7-8269-598810809E24 DeviceId=d12efa48-8cb3-6b01-5002-0db9eec25e73 BarcodeId=51129011 ChannelId=11 DistributerName=APSFSWAds

Task: {DB31B096-4100-4346-A783-C3638DD6812E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA

Task: {938A58FD-D7EB-4CB5-9449-C137C0744448} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA

Task: {B2765536-B6DC-424B-B549-09BD1C8CB319} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA

Task: {B2F7F531-D39E-4B39-AD8B-994274C58C26} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA

Task: {B7027F36-FCD1-4ABA-93A0-58AE307DAF47} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA

Task: {BAC3ABC2-8D73-4ECD-9709-3CD5EADAB1BE} - System32\Tasks\{F2C44F64-6C62-41E2-8323-30AD44EA11AA} => pcalua.exe -a "C:\Program Files (x86)\Damian Pasternak\CWK\CWK.exe" -d "C:\Program Files (x86)\Damian Pasternak\CWK\"

Task: {BFB28D62-4645-4162-B84A-A994042A547D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA

Task: {88EB0FFC-8A85-4A43-A39B-83952395E173} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA

Task: {7349AB95-C2E3-44DB-B964-103363993000} - \UCBrowserUpdater -> Brak pliku <==== UWAGA

Task: {7C5EAF8C-104B-40D6-ADB0-577F7BE15AEB} - System32\Tasks\{B05961A9-D5E4-47CC-84CA-CB30D82D15F8} => pcalua.exe -a C:\Users\Kuba\Downloads\cwk252_setup.exe -d C:\Users\Kuba\Downloads

Task: {3B857427-4F0F-42F9-BFCA-F8EF2ABD74A2} - System32\Tasks\{0039763D-FDB0-4071-9C5A-02F2EA707868} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{758C8301-2696-4855-AF45-534B1200980A}\setup.exe" -c -runfromtemp -l0x0409 -removeonly

Task: {50118AC9-F58B-4BB1-9580-6A2D5AA596DC} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA

Task: {06E2FE8F-21DC-46F3-9A5E-D5A1D2A66D6E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA

Task: {14454E13-C6DE-482C-B129-A48CDF941344} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA

C:\Users\Kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk

RemoveDirectory: C:\Program Files (x86)\UCBrowser

C:\Users\Kuba\Desktop\Wolfenstein The Old Blood.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Help & Support.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Reimage Repair.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Run in safe mode.lnk

EmptyTemp:

>>Menu Notatnika >> Plik >>

>>Zapisz jako >>

Nazwa pliku: fixlist

Zapisz jako typ: Dokumenty tekstowe

Kodowanie: UTF -8

>>Zapisz

Plik umieść w folderze C:\Users\Kuba\Downloads\frst

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zrób nowy log FRST - już bez Addition, i bez Shortcut.

 

F.

[Mastah2016 0]

Raport FRST

 

 

https://wklej.to/0iuSh

[filutka78 11]

Możemy kończyć:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

RepairDNS - usuń ręcznie.

 

F.