Samoczynnie otwierające się okna z reklamami

[Arachid]

Przy wchodzeniu na strony internetowe pojawia się najpierw w lewym dolnym rogu ekranu informacja "Reklama z 5" ". Zamknąć się tego nie da. Po 5 sekundach na ekran nakłada się okno przekierowania na strony z reklamami i w końcu otwierają się nowe karty z reklamami. Daje się je wyłączyć i wrócić do właściwej strony, ale przyjemne to nie jest.

Wydaje mi się, że przyczepiło się to w czasie przeglądania jakiejś strony z akcesoriami dla psów, ale nie mam pewności, czy nie wcześniej.

Załączam logi i zrzuty ekranowe.

 

FRST.txt Shortcut.txt Addition.txt z GMERa.txt

[picasso]

Problem jest złożony. Są tu dwa typy infekcji: programy adware i szkodliwe zadania w Harmonogramie (m.in. wywołujące jakąś komendę PowerShell) oraz modyfikacja serwerów DNS na poziomie routera i na poziomie Windows. Wszędzie ustawione izraelskie serwery: KLIK.

 

Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{748514DC-E955-4044-B0F5-42DC469CF715}: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{E3F40742-A55E-4A7D-ADBF-B43015DE7D4D}: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{E3F40742-A55E-4A7D-ADBF-B43015DE7D4D}: [DhcpNameServer] 82.163.143.171

 

Działania do przeprowadzenia:

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Panel sterowania > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

 

3. Przez Dodaj/Usuń programy odinstaluj adware eShield Browser Security, UpdateAdmin.

 

4. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: G:\WINDOWS\Tasks\{01ED11CC-E6D2-7E7D-9FE5-CA893C318F6E}.job => G:\WINDOWS\system32\regsvr32.exeE /s /n /i:/rt G:\DOCUME~1\ALLUSE~1\DANEAP~1\23400041\9942d3b.dll <==== UWAGA
Task: G:\WINDOWS\Tasks\{0D780C47-7D7A-0D78-7E11-090B0B791109}.job => powershell exe
HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&i=
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&i=" <======= UWAGA
SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> DefaultScope {D92D7B3A-0652-4C14-83DF-A2FAC6F5ED86} URL = hxxp://search.eshield.com/serp?guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> {94EE9434-973C-439B-97C8-AB9E98B3DCE1} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433
SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> {D92D7B3A-0652-4C14-83DF-A2FAC6F5ED86} URL = hxxp://search.eshield.com/serp?guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&action=default_search&k={searchTerms}
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/products/plugin/autodl/jinstall-170-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0051-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-170-windows-i586.cab
ManualProxies:
DeleteKey: HKLM\SOFTWARE\Google\Chrome
G:\Documents and Settings\All Users\Dane aplikacji\{09f200ae-012c-1}
G:\Documents and Settings\All Users\Dane aplikacji\{008c2af4-212c-0}
G:\Documents and Settings\All Users\Dane aplikacji\23400041
G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-18e7-0
G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-23a7-0
G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-38b1-1
G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-4831-1
G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-2131-0
G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-2601-0
G:\Documents and Settings\Pc\Pulpit\Continue Pazera Free Audio Extractor installation.lnk
G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\TNT2
G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\UpdateAdmin
G:\Program Files\TNT2
CMD: ipconfig /flushdns
CMD: netsh firewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Podaj też model routera. Potwierdź ustąpienie problemu.

 

[Arachid]

Problem ustąpił. Router ADSL2+ TG-W8951ND.

 

Fixlog.txt FRST.txt Addition.txt

[picasso]

Prawie wszystko wykonane, ale dwa wystąpienia serwerów DNS nadal nie zostały zaktualizowane. Kolejna porcja czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{E3F40742-A55E-4A7D-ADBF-B43015DE7D4D}: [DhcpNameServer] 82.163.142.7
RemoveDirectory: G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-5df1-1
RemoveDirectory: G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-7777-0
RemoveDirectory: G:\FRST\Quarantine
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Pokaż wynikowy fixlog.txt.

 

2. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu G:\AdwCleaner.

 

[Arachid]

Punkt 1 - wykonany.

Punkt 2 - wykonany, poza odłączeniem sychronizacji. Nie mam konta sync, nie zakładałem go.

Punkt 3 - wykonany.

 

Fixlog.txt AdwCleanerS1.txt

[picasso]

1. Uruchom ponownie AdwCleaner, po kolei wybierz opcje Skanuj i Usuń. Dostarcz log wynikowy z czyszczenia.

 

2. Ostatni Fix FRST manipulował w serwerach DNS na poziomie rejestru. Jakoby to się wykonało, ale na wszelki wypadek zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

[Arachid]

Wykonałem. Załączam logi.

 

AdwCleanerS2.txt AdwCleanerC1.txt FRST.txt

[picasso]

AdwCleaner wykonał swoje zadania, a serwery DNS są już poprawne. Na koniec standardowe kroki:

 

1. Usuń z G:\Narzedzia pobrane skanery i ich logi. Następnie skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Do aktualizacji poniższe programy. Linki pobierania również w w/w odnośniku.

 

==================== Zainstalowane programy ======================

Adobe Reader XI (11.0.08) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.08 - Adobe Systems Incorporated)
Java 8 Update 60 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218060F0}) (Version: 8.0.600.27 - Oracle Corporation)

 

[Arachid]

Usunąłem skanery, logi. Użyłem DelFix.

 

DelFix.txt

[picasso]

DelFix zgłupiał nieco i skasował jeden plik omyłkowo, czyli ten skrót z Pulpitu:

 

Shortcut: G:\Documents and Settings\All Users\Pulpit\MKV File Player.lnk -> G:\Program Files\MKV File Player\MKVFilePlayer.exe ()

 

Ale szkody żadne, po prostu skrót ręcznie odtworzysz.

 

Skasuj z dysku plik raportu G:\delfix.txt. To wszystko.

[Arachid]

Dziękuję za pomoc  Dotację zrobiłem.

[picasso]

Wielkie dzięki za dotację.

 

Temat rozwiązany. Zamykam.