CzarnyZolty Opublikowano 10 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2015 Dziś po uruchomieniu komputera i przeglądarki (Firefoxa) przy otwieraniu nowych kart przeglądarka się kilka razy wyłączyła. Włączałem ją ponownie. Po tym na początku każdej strony zaczęły wyskakiwać okienka z wiadomością o wygranej z podpisem "Ad by DiscountBomb | Close". Co parę minut przy jakimkolwiek kliknięciu na stronie (w puste pole, nie w link) otwiera mi się karta ze stroną play.ollando.com na której można podać swój numer telefonu włączając tym samym jakąś usługę płatną 73,80 zł miesięcznie (poniżej na stronie znajduje się skrócony regulamin). Dodatkowo niektóre słowa lub frazy w tekście na stronie są podkreślane i wyświetlane na niebiesko dużymi literami, z zielonym odnośnikiem w prawym górnym rogu tekstu "click to continue>by DiscountBomb" Uruchomiłem CCleanera i przeczyściłem komputer. Następnie sięgnąłem po Malwarebytes Anti-Malware, przeskanowałem i usunąłem pliki wykryte przez program. Logi załączam poniżej. Następnie po restarcie uruchomiłem adwcleaner ale prawie nic nie wykrył (niestety nie zrobiłem loga). Po ponownym restarcie liczyłem, że problem znikł, niestety nie. Mój system to win 7 64bit SP 1, dość śweży, zdążyłem poinstalować na nim potrzebne programy, jednak nie pamiętam, żebym instalował coś wczorajszego wieczoru. Zamieszczam Logi z FRST, niestety GMER po uruchomieniu i ok 5 sekundowym wstępnym skanowaniu wyrzuca komunikat "program gmer.exe przestał działać". FRST.txt Shortcut.txt Addition.txt mbam-log-2015-04-10 (11-28-15).txt protection-log-2015-04-10.txt Odnośnik do komentarza
zagladacz Opublikowano 10 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2015 Też mam ten syf z ollando w FF. I cierpliwie czekam na Gospodynię serwisu. Odnośnik do komentarza
CzarnyZolty Opublikowano 12 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Kwietnia 2015 Tak sobie pomyślałem, że muszę zapytać. Czy jest możliwość żeby taka infekcja przechwytywała loginy i hasła i przesyłała dalej? Chciałbym się upewnić, że mogę korzystać z konta bankowego i swobodnie się logować. Odnośnik do komentarza
zagladacz Opublikowano 13 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2015 Ja tego nie wiem. To pewnie wie Szefowa. Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 W starcie uruchamia się pakiet adware, poza tym w Firefox widać jawne rozszerzenie DiscountBomb. Adware wygląda na nabyte podczas próby poszukiwania cracków do programów Adobe i Autodesk - był na 100% uruchamiany "downloader" mający pobrać takie oto kwiatki: "Adobe Universal Patcher (Latest CC 2014) is Here", "Vray3-3dsMax2015v105-xf". Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, Akamai NetSession Interface, Java 7 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Czarny Żółty\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Universal Patcher (Latest CC 2014) is Here !!!.lnk Startup: C:\Users\Czarny Żółty\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Vray3-3dsMax2015v105-xf.lnk Task: {E64F526C-B709-48C9-804D-D870A8B74224} - System32\Tasks\{3BD0A411-E7C8-420B-8BEE-9FC3CCA46232} => pcalua.exe -a "C:\Program Files (x86)\DiscountExt\DiscountExt.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" HKU\S-1-5-21-3574082868-2746565189-4072649035-1000\...\Policies\Explorer: [] S3 BCM42RLY; system32\drivers\BCM42RLY.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\.xml [2015-03-24] CustomCLSID: HKU\S-1-5-21-3574082868-2746565189-4072649035-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File CustomCLSID: HKU\S-1-5-21-3574082868-2746565189-4072649035-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File CustomCLSID: HKU\S-1-5-21-3574082868-2746565189-4072649035-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File C:\Program Files (x86)\DiscountExt C:\Program Files (x86)\SpaceOeffers C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Temp C:\ProgramData\{6a95c574-7364-c509-6a95-5c57473615d1} C:\ProgramData\{a9ba9287-a79f-ddf0-a9ba-a9287a794a1e} C:\ProgramData\13298391940019829164 C:\Users\Czarny Żółty\AppData\Local\Temp-log.txt C:\Users\Czarny Żółty\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\DAEMON Tools Lite.lnk C:\Users\Czarny Żółty\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word304382650080507976\Nowy%20Dokument%20programu%20Microsoft%20Word.docx.lnk Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Czarny Żółty\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują. Odnośnik do komentarza
CzarnyZolty Opublikowano 14 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 Pomogło, dziękuję bardzo. Załączyłem jeszcze logi o które prosiłaś. Pozostały mi tylko zewnętrzne odnośniki na kilku wyrazach w pierwszym moim poście w tym temacie, które prowadzą ... do tego tematu. Nie wiem czy to istotne. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 Pozostały mi tylko zewnętrzne odnośniki na kilku wyrazach w pierwszym moim poście w tym temacie, które prowadzą ... do tego tematu. Nie wiem czy to istotne. Tak, one zostały, bo podczas pisania posta było aktywne adware i post się zapisał w taki sposób. Zostawiam to, gdyż to wizualizuje jaki był początkowy problem. Wszystko pomyślnie przetworzone. Drobnostki jeszcze. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3574082868-2746565189-4072649035-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Czarny Żółty\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Czarny Żółty\Desktop\Stare dane programu Firefox CMD: del /q "C:\Users\Czarny Żółty\Downloads\kld54xxn.exe" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny. Odnośnik do komentarza
CzarnyZolty Opublikowano 15 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2015 Dziękuję i proszę. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Kończymy: Zastosuj DelFix (pobrany GMER dokasuj ręcznie), wyczyść foldery Przywracania systemu oraz zaktualizuj Internet Explorer z IE8 do IE11 (nawet jeśli go nie używasz wcale). Wszystkie kroki opisane tutaj: KLIK. Odnośnik do komentarza
CzarnyZolty Opublikowano 19 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 19 Kwietnia 2015 Obawiam się, że problem wrócił. Po kilku dniach spokoju przed chwilą wyskoczyło mi ponownie okienko z discountbomb, a na stronie google po wyszukaniu czegoś na pierwszy paru pozycjach znajdują się linki z tego badziewia. DelFix.txt Odnośnik do komentarza
CzarnyZolty Opublikowano 19 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 19 Kwietnia 2015 Tym razem wyskakują okienka "ad by CoupMania". W załącznikach logi.. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się