Reklamy pojawiające się w aplikacji Steam

[Mruvek]

W aplikacji Steam pojawiają się reklamy, czasem w osobnym oknie wbudowanej w Steam przeglądarki, czasem tak jak załączniku.
 

gmer.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Jest tu infekcja routera - zakolorowany adres jest z Austrii: KLIK.

 

Tcpip\Parameters: [DhcpNameServer] 91.194.254.105 8.8.8.8

 

Przekierowania DNS to istota problemu. Prócz tego są jeszcze inne sprawy związane z niepożądanymi instalacjami adware/PUP - np. w tle nadal działa szkodnik "Live Malware Protection".

 

 

Działania do przeprowadzenia:

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Odinstaluj najwyżkę skanerów: Microsoft Security Essentials, Spybot - Search & Destroy. Ten Spybot to przestarzły konstrukcyjnie program.

 

3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy isearch.omiga-plus.com, mystartsearch.com.

 

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Mruvek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 Live Malware Protection; C:\Windows\mlwps.exe [239104 2015-02-10] (AV Security Software) [File not signed]
S2 SPDRIVER_1462.0.0.0; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1462.0.0.0\jsdrv.sys [X]
Task: {50C061D8-18A9-41B6-AC6C-58A64AC4F549} - System32\Tasks\UNELEVATE_27644 => C:\Program Files (x86)\ShopperPro\JSDriver\1462.0.0.0\jsdrv.exe 
Task: {7E1F8819-9CFB-47A8-A78F-6BB287298681} - \Jelbrus Secure Web Task No Task File 
Task: {B5C5F4D9-7043-4E57-8542-B4B5D7E7E581} - \SPBIW_UpdateTask_Time_313134313638363138332d3437415a556c2a3223346c41 No Task File 
Task: {E631DA24-7B71-4118-805E-ED3B3C3F9DB6} - System32\Tasks\{5A58DE2B-3D71-401C-887E-39843692CD6C} => pcalua.exe -a C:\Users\Mruvek\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=amt
Task: {F3033A5B-4A3A-4838-A6E0-9915B40536D5} - System32\Tasks\{F1EF64D4-CA89-46FB-8AA5-7156AE2A64FC} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.10.0.116&LastError=404
HKU\S-1-5-21-2425550454-778079741-1055617296-1000\...\Run: [uTorrent] => "D:\instalki\uTorrent\updates\3.4.2_37907.exe" /MINIMIZED
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 0x00
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 0x00
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 0x00
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 0x00
HKU\S-1-5-21-2425550454-778079741-1055617296-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 0x00
C:\d44aa6d0064ed097757888452e
C:\Program Files (x86)\133c7306-471f-4bf1-91ae-5c9ef844c9ae
C:\Program Files (x86)\1d312dc6-83b0-4bb1-8f58-5094850398d9
C:\Users\Mruvek\AppData\Roaming\46B7.tmp
C:\Users\Mruvek\AppData\Roaming\ONHJDN
C:\Windows\mlwps.exe
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podaj dokładnie jaki model routera jest w użyciu.

[Mruvek]

Router to TP-Link  TD-W8901G (czyli tak jak podany na stronie, podatny na ataki). Ze zmienionymi DNSami miałem już kilka razy problem i teraz zmieniłem na automatyczne, zamiast te od Google. Zabezpieczony jest według tych instrukcji - zmienione hasło, a skaner orange stwierdził "jesteś bezpieczny"
Załączam też logi po wszystkich instrukcjach

FRST.txt

Fixlog.txt

[picasso]

Zadania wykonane, ale:

 

 

Router to TP-Link TD-W8901G (czyli tak jak podany na stronie, podatny na ataki). Ze zmienionymi DNSami miałem już kilka razy problem i teraz zmieniłem na automatyczne, zamiast te od Google.

Do wykonania aktualizacja firmware:

 

Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND)

 

Bezprzewodowy router/modem ADSL2+, TD-W8901G

 

Z listy rozwijanej masz do wyboru trzy serie: V2, V3, V6. Porównujesz ze swoją naklejką na urządzeniu i klikasz korespondujący link.