Włącza mi się dziwna strona i film

[roronoazoro]

Witam. Od jakiegoś czasu włącza mi się dziwna strona i film. Ciągle dwie takie same. To co zrobiłem do tej pory, aby to usunąć:

- Czyściłem komputer programem CCleaner
- Skanowałem dokładnie komputer moim antyvirusem: Avast
- Użyłem programu adwcleaner
- Usuwałem dużo programów w panelu sterowania, głównie te zainstalowane w tym roku
- Wyczyściłem Mozille i IE ze stron które same sie ustawiły jako startowe
- robiłem logi z FRST
-  po poradzie użytkownika  z innego forum wkleiłem do notatnika kod i zapisałem go pod nazwą fixlist.txt i umieściłem obok FRST.exe, ponownie uruchomiłem FRST i użyłem opcji Napraw
- wykasowałem mozille i ponownie zainstalowałem
- ściągnąłem i zainstalowałem program: Malwarebytes Anti-Malware i nim także skanowałem i przenosiłem do kwarantanny wszystko co się pokazało
- ponownie robiłem logi z FRST i ponownie to samo co wcześniej z opcją napraw FRST
- wyczyściłem dane tymczasowe z przeglądarek

Nic nie pomogło

Mam windows 7 porfessional 64 bit, antyvirus Avast
w dodatki - rozszerzenia w Mozilli nic nie ma złego
Podczas robienia logów z GMER usunąłem ablocka i wyłączyłem antyvirusa. Deamon Tools usuwałem o wiele wcześniej na stałe ale coś chyba jeszcze po nim pozostało. Nie używałem go przez pół roku.

Poza tym że strony te się włączają to jeszcze utrudniają mi włączenie różnych przycisków jak np. pobranie jakiegoś programu ze strony: dobreprogramy, albo włączenie gry mmo przez Gameforge lub nawet zobaczyć powiadomienia google. Nie da się nacisnąć tego przycisku. Musze wejść do głównego folderu gry i przez niego da się włączyć gre. Nie moge obejrzeć żadnego streama na twitchu, bo jest czarny ekran, za to mogę oglądać różne filmy ze stron i filmy youtube bez problemu.
Strony jakie się pokazują są ciągle takie same, dwie te same: dziwna strona składająca się z liter bez znaczenia, która się wyłącza po 2 sekundach
a druga to nie strona tylko jakiś film/reklama 5 sekundowa mający nawet głos. Ten film musze  wyłączyć własnoręcznie.

oto jak dokładnie wyglądają te strony:
http://ifotos.pl/z/sxahaaq
http://ifotos.pl/z/sxahaqp

 

plik o nazwie mzfa to GMER

 

Bardzo proszę o pomoc.

Addition.txt

FRST.txt

Shortcut.txt

mzfa.txt

[picasso]

Logi FRST źle skonfigurowane, nie tak jak podane w instrukcjach na forum - sekcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone. Mnóstwo zbędnych danych.

 

 

plik o nazwie mzfa to GMER

Inne nazwy raportów nie mają żadnego znaczenia i nie one identyfikują raport, tylko jego zawartość.

 

 

- po poradzie użytkownika z innego forum wkleiłem do notatnika kod i zapisałem go pod nazwą fixlist.txt i umieściłem obok FRST.exe, ponownie uruchomiłem FRST i użyłem opcji Napraw

Poproszę o link do tego tematu pokazujący co przetwarzano, bo są wątpliwości co Ci podano, skoro problem w raportach jest oczywisty:

 

 

Od jakiegoś czasu włącza mi się dziwna strona i film. Ciągle dwie takie same.

Jest tu infekcja routera. Poniższe IP nie są polskie, pomimo że widzę Cię na forum pod polskim IP Orange: KLIK / KLIK. Tu nie pomogą żadne skanery i narzędzia używane spod Windows, problem jest w innym urządzeniu.

 

Tcpip\Parameters: [DhcpNameServer] 31.3.252.70 31.3.252.76

Tcpip\..\Interfaces\{15210E97-0B8D-4637-8A6F-1DAD74EEBA5B}: [DhcpNameServer] 31.3.252.70 31.3.252.76

 

 

Ale adware w Windows też jest (usługa WindowsMangerProtect i inne szczątki na dysku). Adware to poboczny problem, nabyłeś je w późniejszym czasie pobierając świństwa z portali. Poniższe pliki to nie są poprawne instalatory tylko "downloadery" portalowe. Więcej na ten temat: KLIK.

 

2015-12-16 22:31 - 2015-12-16 22:31 - 01034040 _____ (Program ) C:\Users\win7\Downloads\pobierz_Xvid_video_codec_V1.exe

2015-12-16 19:36 - 2015-12-16 19:36 - 01034040 _____ (Program ) C:\Users\win7\Downloads\pobierz_Mirc_V7.exe

2015-12-16 19:30 - 2015-12-16 19:30 - 00962128 _____ (Installer Soft Program ) C:\Users\win7\Downloads\mIRC-21017-dp.exe

 

 

---

 

Operacje do przeprowadzenia:

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Deinstalacje:

- Odinstaluj zbędny program HP Customer Participation Program 13.0 oraz stary RealPlayer (jego wtyczki w Firefox to naruszenie bezpieczeństwa).

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek po deinstalacji Adobe swMSM > Dalej.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 WindowsMangerProtect; C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe [344232 2015-12-16] (Sysinternals process Explorer) 
S3 dump_wmimmc; \??\C:\Program Files (x86)\GameforgeLive\Games\POL_pol\Metin2\GameGuard\dump_wmimmc.sys [X]
HKU\S-1-5-21-3438830426-1715894412-256234205-1000\...\Run: [Xvid] => powershell.exe -nologo -WindowStyle hidden -Noninteractive -NoProfile -ExecutionPolicy Bypass -File "C:\Program Files (x86)\Xvid\CheckUpdate.ps1"
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130946813307959530&GUID=00000000-0000-0000-0000-000000000000
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130946813307959530&GUID=00000000-0000-0000-0000-000000000000
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-3438830426-1715894412-256234205-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-3438830426-1715894412-256234205-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM -> {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-3438830426-1715894412-256234205-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-3438830426-1715894412-256234205-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-3438830426-1715894412-256234205-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\win7\AppData\Roaming\Mozilla\Firefox\Profiles\hcpqjwfd.default-1450033318191\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\win7\AppData\Roaming\Mozilla\Firefox\Profiles\hcpqjwfd.default-1450033318191\extensions\yahooprotected@gmail.com => nie znaleziono
FF HKU\S-1-5-21-3438830426-1715894412-256234205-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartpageing.com/?type=sc&ts=1450291089&z=1fe3b1a4ed785e77852bf4fg6z2wbe6o0tagde9t0o&from=cornl&uid=WDCXWD800JD-00LSA0_WD-WMAM9797309973099
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files\DAEMON Tools Lite
RemoveDirectory: C:\Program Files (x86)\360
RemoveDirectory: C:\Program Files (x86)\Adobe
RemoveDirectory: C:\Program Files (x86)\AVG
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins
RemoveDirectory: C:\ProgramData\TEMP
RemoveDirectory: C:\ProgramData\Tmp0x0x
RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{EF07764F-2F63-4751-8287-AC99F6CE0630}
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tomb Raider Legenda
RemoveDirectory: C:\Users\win7\AppData\Local\CEF
RemoveDirectory: C:\Users\win7\AppData\Local\Dxtory Software
RemoveDirectory: C:\Users\win7\AppData\Local\GG
RemoveDirectory: C:\Users\win7\AppData\Local\Microsoft\Windows\GameExplorer\{A590712B-BF7E-4DAB-95C9-21091799F9DA}
RemoveDirectory: C:\Users\win7\AppData\Local\Microsoft\Windows\GameExplorer\{20E27775-588D-4DEF-B1DB-C9110AC34892}
RemoveDirectory: C:\Users\win7\AppData\Local\Unity
RemoveDirectory: C:\Users\win7\AppData\LocalLow\Adobe
RemoveDirectory: C:\Users\win7\AppData\LocalLow\Macromedia
RemoveDirectory: C:\Users\win7\AppData\Roaming\DMCache
RemoveDirectory: C:\Users\win7\AppData\Roaming\GG
RemoveDirectory: C:\Users\win7\AppData\Roaming\IrfanView
RemoveDirectory: C:\Users\win7\AppData\Roaming\istartpageing
RemoveDirectory: C:\Users\win7\AppData\Roaming\yoursearching
RemoveDirectory: C:\Users\win7\AppData\Roaming\sweet-page
RemoveDirectory: C:\Users\win7\AppData\Roaming\WarThunder
RemoveDirectory: C:\Users\win7\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Windows\system32\log
RemoveDirectory: C:\Windows\SysWOW64\Adobe
C:\Program Files\AVAST So
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Co nowego w ostatniej wersji.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk
C:\Users\win7\Internet Explorer.lnk
C:\Users\win7\IrfanView 64.lnk
C:\Users\win7\LibreOffice 3.4.lnk
C:\Users\win7\AppData\Local\setup.exe
C:\Users\win7\AppData\Roaming\ICSW_1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1ItJ1V0R1P1T1R1M0I2Z.txt
C:\Users\win7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk
C:\Users\win7\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK
C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Co nowego w ostatniej wersji.lnk
C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk
C:\Users\win7\Downloads\*-dp*.exe
C:\Users\win7\Downloads\pobierz_*.exe
C:\Windows\system32\Drivers\etc\hp.bak
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
Folder: C:\Program Files (x86)\Movies
Folder: C:\Program Files (x86)\Screenshots
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) skonfigurowane wg wytycznych forum, bez Addition i Shortcut. Dołącz też plik fixlog.txt.

 

Podaj model routera, bo może być konieczna aktualizacja firmware.

[roronoazoro]

Nie chciało się pojawić okno logowania do routera więc zadzwoniłem do sklepu w którym go dostałem. Router który obecnie mam to testowy, dostałem go do czasu, gdy nie zostanie naprawiony mój własny router. Powiedziałem wszystko o czym napisałeś. Powiedzieli mi, że nie musze się logować i abym zrobił:

 

Prawa strona na dole przy zegarku jest tam ikonka komputerka.

 

Klikamy prawym przyciskiem myszy pojawią się 2 opcje - wybieramy „otwórz centrum sieci i udostępniania”

 

W nowo otwartym oknie klikamy po lewej stronie "zmień ustawienia karty sieciowej"

 

W nowo otwartym oknie klikamy prawym przyciskimem myszy na połączenie lokalne (ikonka z kabelkiem) wybieramy właściwości

 

w nowo otwartym oknie klikamy dwukrotnie na "protokół internetowy w wersji 4"

 

w nowo otwartym oknie na dole mamy opcję użyj następujących adresów DNS uaktywnią się pola

 

wpisujemy tam ... lub 8.8.8.8

 

i zatwierdzamy to wszystko.

 

Polecam wyczyścić przeglądarkę (cache oraz historię przeglądania)

(podałem kropki bo nie wiem czy moge podać te IP)

 

Zrobiłem to co jest napisane w kodzie, pomogło, przestały mi się wyświetlać te strony. Po czym zrobiłem wszystko co napisałeś poniżej.

 

 

Model routera: TP-LINK TD-8816

 

Nie wyświetla mi się dalej obraz na streamach typu twich albo obrazki na demotywatorach i innych stronach, myślę, że mogłem coś ostatnio pousuwać, coś ważnego.

Fixlog.txt

FRST.txt

[picasso]

Router który obecnie mam to testowy, dostałem go do czasu, gdy nie zostanie naprawiony mój własny router. Powiedziałem wszystko o czym napisałeś. Powiedzieli mi, że nie musze się logować i abym zrobił:

Ale to nie jest rozwiązanie problemu tylko jego ukrycie. To jest ustawianie serwerów DNS Windows, te pobierane z routera są nadal zainfekowane. Polecili Ci to, gdyż ustawienie serwerów spod Windows bierze precedens nad serwerami routera, co nie zmienia faktu że infekcja w routerze nadal jest. Nie musiałeś kropkować danych, one są powszechnie znane. Z raportu wynika, że ustawiłeś serwer Orange spod Windows (NameServer), reszta pobierana z routera (DhcpNameServer) to nadal adresy infekcji.

 

Tcpip\Parameters: [DhcpNameServer] 31.3.252.70 31.3.252.76

Tcpip\..\Interfaces\{15210E97-0B8D-4637-8A6F-1DAD74EEBA5B}: [NameServer] 194.204.152.34

Tcpip\..\Interfaces\{15210E97-0B8D-4637-8A6F-1DAD74EEBA5B}: [DhcpNameServer] 31.3.252.70 31.3.252.76

 

 

I prosiłam o:

 

Poproszę o link do tego tematu pokazujący co przetwarzano, bo są wątpliwości co Ci podano, skoro problem w raportach jest oczywisty

 

 

 

PS. Ad napisałeś = jestem kobietą.

[roronoazoro]

To jest link do tematu:

http://www.forumpc.pl/topic/387019-wyskakują-mi-dziwne-reklamy-błagam-pomocy/

Przepraszam za pomyłkę z płcią. Twój nick jest trochę mylący.

 

Do routera nie mogę się zalogować, ponieważ nie pokazuje się panel logowania. Pokazuje się:

 

Przekroczono limit czasu połączenia

Serwer 192.168.1.1 zbyt długo nie odpowiada.

Witryna może być tymczasowo niedostępna lub zbyt obciążona. Spróbuj ponownie za kilka minut.

Jeśli nie można otworzyć żadnej strony, należy sprawdzić swoje połączenie sieciowe.

Jeśli ten komputer jest chroniony przez zaporę sieciową lub serwer proxy, należy sprawdzić, czy program Firefox jest uprawniony do łączenia się z Internetem.

Co zrobić jeżeli pokazuje się taki komunikat? Skąd mogła wziąć się ta infekcja?  Jakie skutki może spowodować jeżeli jej nie usunę?

[picasso]

Router który obecnie mam to testowy, dostałem go do czasu, gdy nie zostanie naprawiony mój własny router.

W związku z tym, że to router tymczasowy, nie przykładam do niego dużej wagi obecnie, bo po powrocie Twojego routera sytuacja całkowicie ulegnie zmianie (inne urządzenie rozdzielające i zabawa od początku). Ale gdybyś chciał dalej drążyć temat, może być konieczna aktualizacja firmware tego routera, tylko nie wiem czy ten tymczasowy router podlega jakimkolwiek manipulacjom.

 

 

Skąd mogła wziąć się ta infekcja? Jakie skutki może spowodować jeżeli jej nie usunę?

Infekcja ma przyczynę w niezabezpieczonym routerze, Windows nie ma tu nic do rzeczy. Konkretnie chodzi o domyślny login (określone marki routerów mają publicznie znane loginy domyślne np. admin - admin) oraz niezamknięty dostęp do panelu zarządzenia: KLIK, KLIK. Gdy otrzymasz swój poprzedni router, trzeba będzie sprawdzić te wszystkie zabezpieczenia. I jaki to model tego właściwego routera?

 

 

To jest link do tematu

To nie mogło pomóc, żadnego związku z infekcją. To były w 99% drobne puste wpisy po odinstalowanych aplikacjach, nieaktywne.

[roronoazoro]

Mój poprzedni router to pentagram, jednak konkretnego modelu nie znam. Myślę, że tak jak napisałaś póki co nie ma co przykładać do tego routera większej wagi. Poczekam na powrót mojego właściwego routera i zobaczę jak będzie wyglądać sytuacja. Dziękuje.

[picasso]

Router zostawiam w spokoju. Natomiast wracając do innych wątków:

 

1. Czy na pewno odinstalowałeś RealPlayer? Ja nadal widzę jego potwornie stare wtyczki w Firefox...

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso