wyskakujące niechciane strony po kliknięciu w odnośnik na stronie

[a3756]

Witam proszę o pomoc w usunięciu niechcianego spamu. Problem pojawił się najpierw w operze. Po kliknięciu w odnośnik na stronie zamiast prawidłowej strony otwiera się niechciana strona z reklamą gry (np. Liga Aniołów), kanału sportowego. System jest nowy postawiony w środę gdyż załapałem wirusa która zaszyfrował cały dysk. Po postawieniu  nowego systemu przenosiłem zakładki ze starej opery oraz archiwum poczty ze starego systemu. Próbowałem sam sobie poradzić z tym problemy ale skany podstawowymi programami nie przynoszą żadnego efektu. Na starym systemie miałem ten sam problem więc podejrzewam że coś jest z operą nie tak. W tej chwili to samo dzieje się z chromem. Wolna od problemu wydaje się mozilla.  Z góry dziękuje za okazaną pomoc

Shortcut.txt

Addition.txt

FRST.txt

gmer.txt

[jessica]

Tcpip\Parameters: [DhcpNameServer] 5.104.175.150 8.8.8.8

Tcpip\..\Interfaces\{02851EE5-C5EE-4A1F-99D4-C7B8D8453973}: [DhcpNameServer] 5.104.175.150 8.8.8.8

Jeśli używasz routera, to:

Zaloguj się do routera:

- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4

- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami:

http://multimo.telestrada.pl/uwaga1

http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html

 

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie:

http://cert.orange.pl/modemscan/

Otwórz Notatnik i wklej w nim:

 

 

Task: {538DC2DB-1DBE-4799-AF16-B6B65688F925} - System32\Tasks\{277D1B3E-9B9D-4D3D-893E-9E1C230AC6F6} => pcalua.exe -a D:\kxdrv3536-full.exe -d D:\

URLSearchHook: [s-1-5-21-588558156-1312307999-820253825-1000] ATTENTION ==> Default URLSearchHook is missing

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]

S3 tsusbhub; system32\drivers\tsusbhub.sys [X]

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

Zrób nowy log FRST - już bez Additional i bez Shortcut.

 

Napisz, czy problem znikł?

 

jessi

[a3756]

Witam dziękuje za pomoc. Napisze co zrobiłem.

1) Ruter zabezpieczony zgodnie ze wskazówkami ze strony producenta. Test wykazał że zabezpieczony. 

2) zmieniłem nazwy serwerów dns na te z netii i tu miałem mały problem że po zmianie w ruterze nie zapisywał zmian tylko wracał do początkowych. Dlatego zmieniłem w ustawieniach karty sieciowej protokół IPv4 na serwery netii. Po tej modyfikacji wyskakujące strony nie występują.  

I mam takie pytanie czy sama zmiana w ustawieniach karty protokołu IPv4 wystarczy? Protokołu IPv6 nie mogę zmienić pisze że nie prawidłowy adres. Próbowałem skontaktować się z działem technicznym tplinka odnośnie zmiany ustawień serwera dns w ruterze ale nie mogłem się dodzwonić. 

Załączone pliki

FRST.txt

[jessica]

Tcpip\Parameters: [DhcpNameServer] 5.104.175.150 8.8.8.8

Tcpip\..\Interfaces\{02851EE5-C5EE-4A1F-99D4-C7B8D8453973}: [DhcpNameServer] 5.104.175.150 8.8.8.8

Dalej jest ten bułgarski DNS (dhcp=router)

 

Użyj >>RogueKiller (aby pobrać kliknij na obrazek x64 po Lien de téléchargement :)

Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

 

jessi

[a3756]

Nie bardzo wiem jaki drugi raport mam załączyć bo  program wygenerował jeden. Wszystkie znalezione rzeczy podświetlił na zielono informując że są bezpieczne nie wiem czy je też mam skasować ?. 

 

rogueKiler.txt

[jessica]

Nie bardzo wiem jaki drugi raport mam załączyć bo  program wygenerował jeden. Wszystkie znalezione rzeczy podświetlił na zielono informując że są bezpieczne nie wiem czy je też mam skasować ?. 

wcale nie wykrył bułgarskich DNS :(

Zrób nowy log FRST, by zobaczyć, czy te DNS zniknęło

 

jessi

(dziś od 20:00 i jutro nie będzie mnie na forum)

[a3756]

Tak jak pisałem problem nie występuje po zmianie serwerów. Testowałem na netii i na Google. Zmieniłem ustawienia zarówno karty jak i rutera. Ale mimo to czuje niesmak że to świństwo tam siedzi jak myślę zostało ściągnięte z zakładkami opery. 

poniżej logi

FRST.txt

Shortcut.txt

Addition.txt

[jessica]

Tcpip\Parameters: [DhcpNameServer] 158.69.135.184 8.8.8.8

Tcpip\..\Interfaces\{02851EE5-C5EE-4A1F-99D4-C7B8D8453973}: [DhcpNameServer] 158.69.135.184 8.8.8.8

https://ipinfo.io/158.69.135.184

ale to chyba nie jest szkodliwe.

 

jessi

[a3756]

Ja nie wiem. Po wpisaniu w wierszu poleceń ipconfig/all podaje że serwer dhcp 8.8.8.8 a dns 8.8.4.4. Ruter też ustawiłem na serwery google dla każdej karty oddzielnie. Żaden  z narzędzi nie znajduje żadnego problemu. Poniżej jeszcze jeden raport. Nie wiem czy dobrze szukam ale czy tu już są prawidłowe serwery?

FRST.txt

[jessica]

Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4

Tcpip\..\Interfaces\{02851EE5-C5EE-4A1F-99D4-C7B8D8453973}: [NameServer] 8.8.8.8,8.8.4.4

Tcpip\..\Interfaces\{02851EE5-C5EE-4A1F-99D4-C7B8D8453973}: [DhcpNameServer] 8.8.8.8 8.8.4.4

 

Tak, ok.

 

jessi

[a3756]

wielkie dzięki za pomoc