siodemka Opublikowano 30 Października 2014 Zgłoś Udostępnij Opublikowano 30 Października 2014 Witam serdecznie. Założyłem tutaj konto po namowie znajomego, ktory polecił mi tą stronę. Ale do rzeczy. Mam problem z przeglądaniem stron internetowych. Jakiś miesiąc temu użyłem Malwarebytes Anti-Malware i problem ustąpił. Już nie miałem "przerywników" stronami np. wchodząc na onet i klikając np. "Putin atakuje" wyskakiwała mi reklama butów albo zapytanie czy lubię się bzykać, wszystko "Powerred by OffersWizard". Jednak ostatnio problem powrócił - z większą siłą. Reklamy są "Powerred by RandomPrice (choć jak przypuszczam to jeden diabeł co OffersWizard) ale w dodatku wyskakuje mi raz po raz komunikat "Uwaga, wersja twojego Java jest przestarzała" i nawet nie klikając na OK następuje przekierowanie na jakąś szemraną stronę(hxxp://s3.idkzrgwnwhty.com/5452acbe8bddfs1414704318?geo=PL&lp_domain=debarxvh.com&aid=129) i automatyczne zapytanie o rozpoczęcie pobierania, które naturalnie odrzucam. Przestrzegam również, że od poniedziałku 27.10.14 używam dc++ na miasteczku studenckim agh, ale z tym nie wiązałbym problemu, ponieważ już wcześniej jak napisałem problem ów występował(chociaż GMER w swoich skanach wskazuje Dtella'e). Z góry dziękuję za pomoc. W załączeniu oczywiscie wyniki odpowiednich scanów. Addition.txt FRST.txt Shortcut.txt OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2014 Zgłoś Udostępnij Opublikowano 30 Października 2014 Tak jest, system zgwałcony przez adware. Metody nabycia: KLIK. Uruchomiłeś jakiś "downloader". Spoza tematu adware jeszcze widać niedawno pobrany "Portable Excel" (nawiasem mówiąc portable to mit, jest tworzony folder "Thinstall"), skan tego czegoś na VirusTotal: KLIK (w karcie dodatkowych szczegółów jest odwołanie do pliku Portable EXCEL 2003 PL._5fantastic.pl_.exe, który jest u Ciebie na dysku). Przeprowadź następujące działania: 1. Na początek deinstalacje adware: - Poprzez tradycyjny Panel sterowania: RandomPrice, WinZipper, YTD Video Downloader 4.8.5 - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals)> Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 fc67e7a0; c:\Program Files (x86)\DeltaFix\DeltaFix.dll [3978752 2014-10-28] () [File not signed] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S1 dqnalkcg; \??\C:\Windows\system32\drivers\dqnalkcg.sys [X] S1 gtkiqgdu; \??\C:\Windows\system32\drivers\gtkiqgdu.sys [X] S1 nezmxysv; \??\C:\Windows\system32\drivers\nezmxysv.sys [X] S1 rktwjmur; \??\C:\Windows\system32\drivers\rktwjmur.sys [X] S1 wrntpzhx; \??\C:\Windows\system32\drivers\wrntpzhx.sys [X] S1 yauaqdfq; \??\C:\Windows\system32\drivers\yauaqdfq.sys [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Task: {7D279029-D5BD-47B3-BE2A-10F18B71F2C3} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378&type=default&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391856833&from=exp&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391856833&from=exp&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO: RandomPrice -> {e825a11c-db79-4872-87d2-f14763c1e324} -> C:\ProgramData\RandomPrice\2B6Fp3lvComr6N.x64.dll () BHO-x32: RandomPrice -> {e825a11c-db79-4872-87d2-f14763c1e324} -> C:\ProgramData\RandomPrice\2B6Fp3lvComr6N.dll () FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\tn6mwzn8.default\extensions\shortcutff@gmail.com C:\Program Files (x86)\Adblocker C:\Program Files (x86)\DeltaFix C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\WinZipper C:\ProgramData\d195380caa514720 C:\ProgramData\RandomPrice C:\ProgramData\Trusted Publisher C:\ProgramData\WPM C:\Users\HomeGroupUser$ C:\Users\Administrator C:\Users\Gość C:\Users\Admin\AppData\Local\17712 C:\Users\Admin\AppData\Local\27683 C:\Users\Admin\AppData\Local\Chromatic Browser C:\Users\Admin\AppData\Local\Comodo C:\Users\Admin\AppData\Local\genienext C:\Users\Admin\AppData\Local\Google C:\Users\Admin\AppData\Local\Torch C:\Users\Admin\AppData\Roaming\337Games C:\Users\Admin\AppData\Roaming\Babylon C:\Users\Admin\AppData\Roaming\Bonanza C:\Users\Admin\AppData\Roaming\DVDVideoSoft C:\Users\Admin\AppData\Roaming\GoforFiles C:\Users\Admin\AppData\Roaming\Systweak C:\Users\Admin\AppData\Roaming\Thinstall C:\Users\Admin\AppData\Roaming\WinZipper C:\Users\Admin\Downloads\django-unchained-eng-4770000.exe C:\Users\Admin\Downloads\Portable EXCEL 2003 PL._5fantastic.pl_.exe C:\Users\Admin\Downloads\setup.exe C:\Windows\Base64.dll C:\Windows\clfct.dll C:\Windows\jimglib.dll C:\Windows\sassr.dat C:\Windows\sysk32.dll C:\Windows\SysWow64\hfpapi.dll C:\Windows\SysWow64\sinvfct.dll C:\awh*.tmp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{75B1EA5E-B09C-B960-322E-21187775557D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{75B1EA5E-B09C-B960-322E-21187775557D}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{016DC87C-94D1-045D-B108-53564C412C2B}" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Admin\IGC Folder: C:\Users\Admin\AppData\Roaming\IGC Folder: C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
siodemka Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Proszę, o to logi. Jak na razie wszystko działa poprawnie, dziękuję za pomoc. I pytanko -YT Downloader to złośliwy program? Bo nie ukrywam jest to dla mnie narzędzie wygodne. Fixlog.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Zadania wykonane i adware zostało usunięte, ale coś tu nie gra. Załączyłam w skrypcie komendy DIR, by sprawdzić zawartość określonych folderów, a otrzymałam puste zwroty, co jest niemożliwe, gdyż foldery na pewno nie są puste. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej poniższą przykładową komendę i ENTER. Co się pokazuje? dir /a C:\ProgramData I pytanko -YT Downloader to złośliwy program? Bo nie ukrywam jest to dla mnie narzędzie wygodne. Program ma adware w instalatorze: KLIK. . Odnośnik do komentarza
siodemka Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Wpisałem komendę, w załączeniu screen. Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Nie rozumiem dlaczego output w Fix jest pusty. Ponów próbę. Otwórz Notatnik i wklej w nim: CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. Odnośnik do komentarza
siodemka Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Oto fixlog. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Nie rozumiem dlaczego wcześniej komendy się nie udały, ale tym razem jest jak należy. Kolejne działania poprawkowe: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\GreenTree Applications C:\Program Files (x86)\MediaBuzzV1 C:\Program Files (x86)\MediaViewerV1 C:\Program Files (x86)\MediaViewV1 C:\Program Files (x86)\MediaWatchV1 C:\Program Files (x86)\Optimizer Pro C:\Program Files (x86)\RandomPrice C:\Program Files (x86)\RichMediaViewV1 C:\Program Files (x86)\SimilarSites C:\Program Files (x86)\Spytech Software C:\ProgramData\AgentSL C:\ProgramData\AgentSS C:\ProgramData\Babylon C:\ProgramData\sa C:\Users\Admin\AppData\Local\cache C:\Users\Admin\AppData\Local\Lollipop C:\Users\Admin\AppData\Local\Mobogenie C:\Users\Admin\AppData\LocalLow\Temp RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz log wynikowy z folderu C:\AdwCleaner. . Odnośnik do komentarza
siodemka Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 nie wiedziałem który log z awdcleanera to załączyłem obydwa. Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 AdwCleanerR0.txt = opcja Szukaj, AdwCleanerS0.txt = opcja Usuń. Tylko drugi log potrzebny. Wszystko wykonane. Kończymy: 1. Skasuj ręcznie pobrany GMER oraz folder Stare dane programu Firefox z Pulpitu. Zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. To tyle. Odnośnik do komentarza
siodemka Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Wykonane. Dziękuję Pani bardzo za tak rzetelną i dogłębną pomoc. Powodzenia w dalszej pracy Odnośnik do komentarza
Rekomendowane odpowiedzi