Przekierowania "prompt downloader"

[alex1986]

Witam

W dniu wczorajszym wystąpił problem z przeglądarkami mianowicie zamiast strony głównej przekierowuje mnie do witryny o nazwie w tytule "prompt downloader". Przy otwieraniu kolejnych kart przeglądarka również potrafi przekierować do różnych reklam.

Problem wystąpił wczoraj a jedynym tego powodem ( po przejrzeniu forum) może być dzień wcześniej instalacja środowiska adobe , acrobat reader do programu e-deklaracje do rozliczania Pitów.

podjęte środki to skany Mcaffe, Mbam i Spybot, żadne nie wykryło nic. 

Dołączam wykonanie skanów z FRST TDSkiller.

Nie mogę załączyć nic z Gmera nie wiem czy mogę załączyć zdjęcia.

 

Addition.txt FRST.txt Shortcut.txt TDSSKiller.3.1.0.9_19.02.2016_13.04.57_log.txt

[alex1986]

Witam ponownie
Z racji nieznikającego problemu i prawdopodobnie długiego czasu oczekiwania na pomoc próbowałem pójść na skróty i zrobić format systemu.
System pusty zainstalowano jedynie przeglądarki (chrome, mozilla )macafee, skype i aplikacja do gier battle.net. Problem nadal istnieje szczególnie na mozilli zamiast strony startowej przekierowuje od razu do kolejnej strony reklamowej. Załączam logi z FRST

 

Addition.txt FRST.txt Shortcut.txt

[picasso]

O ile problem nadal aktualny:

 

1. Format systemu był tu niestety zbędny i niedopasowany do typu infekcji. Pierwsze raporty wskazywały na infekcję routera, zakreślony adres jest holenderski:

 

Tcpip\Parameters: [DhcpNameServer] 5.39.222.159 8.8.8.8

Tcpip\..\Interfaces\{03776fe9-7e0f-416d-983d-cd04d90c8804}: [DhcpNameServer] 5.39.222.159 8.8.8.8

 

W nowszych raportach brak widocznych bezpośrednich oznak infekcji, ale skoro problem nadal występuje, winę ponosi router. Podaj jaki model posiadasz.

 

2. Przy okazji, są też zastanawiające działania które podjąłeś po formacie. Świeży system, a tu archaiczne kwiatki:

 

Mozilla Firefox (3.5.1) (HKLM-x32\...\Mozilla Firefox (3.5.1)) (Version: 3.5.1 (pl) - Mozilla)

FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\npnul32.dll [2009-07-16] (mozilla.org)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-branding.js [2009-07-15]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-l10n.js [2009-07-15]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox.js [2009-07-15]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\reporter.js [2009-07-15]

 

Skąd tak potwornie stary (i niebezpieczny!) Firefox? Co to za akcja po formacie, by go instalować równoległe z najnowszym Firefox? W pierwszych raportach go nie było, więc został zainstalowany po formacie. Zestaw plików wskazuje, że to jakaś firmowa brandowana edycja.

 

[alex1986]

Problem od ostatniego czasu zniknął, słusznie Twoje podejrzenia kierujesz na router , zmieniłem je, zabezpieczyłem router wg wskazówek których udzielasz wszystkim i jest lub było ok, dziś coś znów w stronę startową google uderzyło.

Użyłem CC cleaner, i Adaware cleaner , problem zniknął. Korzystałem ze spyhunter4 również, jego skaner wykrył najwięcej złośliwośći, w tym tą googlową jednak nie mogłem nic usunąć gdyż jest płatny.

Co do routera przeglądając niektóre wątki mam podobny problem iż w jego ustawieniach nie dało się zmienić ręcznie DNS ani tego zapisać, Zmieniałem je więć spod ścieżki Control Panel.....
Sprawdzałem również zabezpiecznie routera spod adresu jaki podawałaś- wynik router jest zabezpieczony przed dostępem z zewnątrz czy jakoś tak brzmiało.

CO do tamtej mozilli to była jedyna wersja instalacyjna jaką miałem na dysku, prawdopodobnie już usunięta bądź zaktualizowana, nie miałem pojęcia o jej wadzie.
NAzwa mojego routera to :TP LINK TDW8901G

Proszę o przestudiowanie moich logów i ewentualnie udzielenie porad czego brakuje w moim systemie

 

Addition.txt FRST.txt Shortcut.txt TDSskiller.txt

[picasso]

Cytat

Korzystałem ze spyhunter4 również, jego skaner wykrył najwięcej złośliwośći, w tym tą googlową jednak nie mogłem nic usunąć gdyż jest płatny.

 

To jest wątpliwy skaner, którego należy unikać. W wyszukiwaniu Google multum opisów-fałszywek wmanipulowywujących w instalację tego badziewia.

 

 

Cytat

słusznie Twoje podejrzenia kierujesz na router , zmieniłem je, zabezpieczyłem router wg wskazówek których udzielasz wszystkim i jest lub było ok

(...)

Nazwa mojego routera to :TP LINK TDW8901G

 

Czy aktualizowałeś też firmware routera?

 

 

Cytat

Proszę o przestudiowanie moich logów i ewentualnie udzielenie porad czego brakuje w moim systemie

 

Natomiast w świeżych logach widać ślady po instalacji adware, w tym zmodyfikowane skróty Google Chrome. Uruchomiłeś jakiś downloader ze sponsorami... Doczyszczanie śmieci i lokalizacji po odinstalowanym już Firefox:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
ShortcutWithArgument: C:\Users\Aleksiejuk\Desktop\Google Chrome.lnk -> C:\Users\Aleksiejuk\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Aleksiejuk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Users\Aleksiejuk\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Aleksiejuk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Users\Aleksiejuk\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJwbujd2VVy3tauIvAHB6qwQgBmSb2fU34_L9ggd9jm7umo4I3__aLRo8HBFwFr5hqQIGtdYiBnCkdC2xq11DIKF3i5IA,,&q={searchTerms}
HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJ8C2tr3yhkHCmyqIPPv1rHOE9J8TiMhul4kGc-vEI_nMuJS3sp2paBQuHi_2x0UKxTUj_SCbb_kK2QAk1lOLPcMW5Beg,,
HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJwbujd2VVy3tauIvAHB6qwQgBmSb2fU34_L9ggd9jm7umo4I3__aLRo8HBFwFr5hqQIGtdYiBnCkdC2xq11DIKF3i5IA,,&q={searchTerms}
HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJwbujd2VVy3tauIvAHB6qwQgBmSb2fU34_L9ggd9jm7umo4I3__aLRo8HBFwFr5hqQIGtdYiBnCkdC2xq11DIKF3i5IA,,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-1931283843-340991006-2778759058-1001 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-1931283843-340991006-2778759058-1001 -> {A3D7DDF7-20FD-43BD-9F8C-A3B944725E75} URL =
AppInit_DLLs: C:\ProgramData\Trescof\Warmdex.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Trescof\Funtouch.dll => Brak pliku
Task: {6544E94A-92E2-41B4-A32B-53684F1C37C0} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe
Task: {91945774-6691-40B4-825D-8848670508EE} - System32\Tasks\PDVDServ12 Task => C:\Program Files (x86)\Lenovo\PowerDVD12\PDVD12Serv.exe
Task: {A8A410A0-037A-4E74-8362-F0CB8762C0D0} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-17] ()
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\ProgramData\Trescofs
RemoveDirectory: C:\Users\Aleksiejuk\AppData\local\Mozilla
RemoveDirectory: C:\Users\Aleksiejuk\AppData\Roaming\Mozilla
CMD: del /q C:\Users\Aleksiejuk\AppData\Roaming\*.*
CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

 

[alex1986]

Firmware nigdy prawdopodobnie nie było aktualizowane

Wykonane zostały oba logi które załączam 

 

Fixlog.txt FRST.txt

[picasso]

Skrypt FRST pomyślnie wykonany. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

 

Cytat

Firmware nigdy prawdopodobnie nie było aktualizowane

 

Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND)

Firmware dla TD-W8901G

 

Edytowane 23 Stycznia 2020 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso