JusticePL Opublikowano 4 Marca 2015 Zgłoś Udostępnij Opublikowano 4 Marca 2015 Witam, ciągle borykam się z problemem reklam, które już kilka razy usuwałem Nie jestem użytkownikiem komputera, nie mam więc pewności co jest tego powodem. Strony które wyskakują (gdy nic się nie robi na komputerze) to: hxxp://www.quicksystemcash.com/index_live.php?subid=lkpkdkq3_82_45763009&engsec=30 hxxp://international-single-girls.com/?utm_source=mundomedia&utm_medium=cpa&utm_campaign=slavic+ladies&aff_id=CD15087&click_id=4c06481b94746b7439260481d1ea61d4 hxxp://www.freelotto.com/register.asp?skin=CertifiedWinnerRSP&noepu=1&partner=1063817&affiliateid=329835&tid=401872631425233829&utm_source=AdCash&utm_medium=Display&utm_term=CPA&utm_content=CertifiedWinnerRSP&utm_campaign=EveryoneWinsTV Dodatkowo teraz, w trakcie pisania posta wyskoczyły: hxxp://www.youradexchange.com/script/pop_packcpm.php?k=54f74a82dd7f72946268.4811983&h=3e3c05a02a581d2c90f34edb7ca6db9135455dcd&id=0&ban=2946268&r=329835&ref=&data=&subid=&new=1&exp=prpd&dx=%3D%3DAD&pkr=%3D%3DwAKZwBKZgD&psr=%3DMQBO8ABFghR&scr=%3D8wAOQgAHgBB&ver=.0&stage2=1 hxxp://www.youradexchange.com/script/pop_packcpm.php?k=54f74a82b4bbe2946268.4811983&h=75756e3aa84be788e3917c828df0eb71b392b025&id=0&ban=2946268&r=329835&ref=&data=&subid=&new=1&exp=prpd&dx=%3D%3DAD&pkr=%3D%3DwAKZwBKZgD&psr=%3DMQBO8ABFghR&scr=%3D8wAOQgAHgBB&ver=.0&stage2=1 Czysczenie AdwCleanerem ani skanowanie McAfee niestety nie pomaga. W przegladarce (usunąłem Firefoxa i od paru dni "siedzi" Chrome) jest AdBlock, nie jest więc to chyba zwykła reklama. Załączam logi (w drugim programie wyskoczył błąd o braku dostępu do procesu, pwotrorze proces i dorzucę) Komunikat przy włączeniu programu po raz drugi - http://scr.hu/0kdl/k0otx nie wiem co poradzić ;x Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 4 Marca 2015 Zgłoś Udostępnij Opublikowano 4 Marca 2015 Proszę trzymaj się zasad działu na temat formatowania szkodliwych linków - muszą być podane w formie nieaktywnej. Skorygowałam je. Nic w raportach oczywistego nie widać, poza jednym adresem startowym adware binkiland.com w Chrome. Aczkolwiek podejrzenia budzą poniższe niedawno instalowane rozszerzenia typu "download helper". Proszę porównaj z tym tematem: KLIK. W nim również był "Video download helper", tylko pod innym identyfikatorem, i to on produkował przekierowania. CHR Extension: (Video Download Helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfmncdagnglibjiglbmchedcmainibbh [2015-02-25] CHR Extension: (Download Helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\fkjlohfdjcjhmfcabomglnciodlnplhk [2015-02-25] CHR Extension: (Video download helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\mnkioblodjcgkdailhejgcocjkkoochj [2015-02-26] Na razie te działania do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR StartupUrls: Default -> "hxxp://binkiland.com/?f=7&a=bnk_ir_15_09&cd=2XzuyEtN2Y1L1QzuzytDyEzzzy0A0Bzyzy0A0D0DtByEzz0DtN0D0Tzu0StCtCyEzytN1L2XzutAtFyBtFyBtFtCtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StCtBtDyBzz0AzzyBtGzy0Bzy0EtG0AtA0ByCtG0B0FyCtBtGyDtDyC0C0FzytC0C0E0E0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByD0B0AyBtBtCyCtG0A0FyCyCtGyEtA0EzztGzyzztAtBtGzyyEyE0B0AzztB0D0EtDyD0C2Q&cr=200918247&ir=" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: Google Chrome - chrome.exe Task: {24FF4938-41E6-4788-87C7-70A7B668BB2A} - System32\Tasks\{EF8CFFBE-8839-4E8E-832A-AC8273427129} => pcalua.exe -a C:\Users\Dorota\Downloads\flash-disinfector-.exe -d C:\Users\Dorota\Downloads C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\JvUiYLchmoo C:\ProgramData\Mozilla C:\Users\Dorota\AppData\Local\dsi1.dat C:\Users\Dorota\AppData\Local\dsi2.dat C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dorota\AppData\Local\Mozilla C:\Users\Dorota\AppData\Roaming\Mozilla C:\Windows\system32\log RemoveDirectory: C:\Users\Dorota\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > wyłącz wszystkie "Download Helpery". Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany. Odnośnik do komentarza
JusticePL Opublikowano 5 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2015 Zaraz to wykonam, ale infekcja wystąpiła sporo przed Download Helperem, który niestety jest użytkownikowi potrzebny - istnieją jakieś dobre alternatywy? Odnośnik do komentarza
picasso Opublikowano 5 Marca 2015 Zgłoś Udostępnij Opublikowano 5 Marca 2015 Od kiedy występująte przekierowania? Na razie wykonaj co zadane i zobaczymy. Odnośnik do komentarza
JusticePL Opublikowano 5 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2015 CIężko mi określić, od aktualizowania flash playera dla Mozilli lub ściągniecia podejrzanego konwertera plików audio (robione tego samego dnia, usunięta Mozilla (podejrzewam flash playera, gdyż niegdyś "fałszywy" powodował coś takiego), konwerter usunalem)Gdy tylko dostanę dostęp wykonam podane dzialania Odnośnik do komentarza
JusticePL Opublikowano 6 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2015 Oczywiście powyższe logi są podane po wszystkich podanych akcjach, zapomnialem napisać FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Marca 2015 Zgłoś Udostępnij Opublikowano 18 Marca 2015 A gdzie Fixlog z wynikami przetwarzania skryptu? Nie uruchamiaj ponownie - chodzi o plik, który już powstał. Poza tym, milczysz jak zaklęty czy są jakieś zmiany - czyli brak? W podanym tu raporcie FRST brak jakichkolwiek oznak infekcji... Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się