Podmienianie linków i samoczynne otwieranie okien z reklamami w przeglądarce

[fakin]

Hej picasso!

Po pierwsze chce powiedziec, ze jestem fanem Twoich postow juz z forum SE . Wiele sie z nich nauczylem i wiele kompow dzieki nim naprawilem. Robisz dobra robote. Dzieki Ci za to!.

 

Pocukrowalem troche , a teraz do rzeczy:

Wspolokator ma problemy z przegladarka, a mianowicie otwieraja mu sie samoczynnie, niechciane okna. Wiekszosc linkow, w ktore klika na stronach, prowadza pod inne adresy typu "Twoj komputer jest zagrozony sciagnij za darmo...". Zadalem Mu pytania typu gdzie wchodzil, co sciagal i instalowal? Ale odpowiedz byla taka jak zwykle - "nie wiem, ja nic nie robilem"

Przegladalem forum i problem wydaje sie byc taki sam jak w w tym temacie. Jednak inny system i inny komp wiec inna bajka.

 

System jaki posiada to Windows 10 home. Kilka dni temu przeskoczyl z 8.1. Jedyne co zrobilem to odinstalowalem kilka rzeczy typu searchbary do przegladarek itp. W FF pousuwalem dodatki, ktore i tu zacytuje kolege "nie wiadomo skad i jak sie tam znalazly" . Jednak to niestety nie pomoglo. Malwarebytes troche pomogl, ale jedynie ograniczyl ilosc tych wyskakujacych kart. Takze zalaczam logi i jak znajdziesz chwile to przejrzyj prosze i poradz jak to usunac calkowicie.

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

LogGmer.txtPobieranie informacji ...

[picasso]

Potwierdź mi proszę, że siedzicie w Irlandii, co wykluczy infekcję routera (w raporcie irlandzkie IP pobierane z routera).

 

 

  Cytat

Przegladalem forum i problem wydaje sie byc taki sam jak w w tym temacie. Jednak inny system i inny komp wiec inna bajka.

 

Problem definitywnie inny. Brak oznak tej infekcji, żadnych wpisów proxy. Co tu widać:

- W starcie jest sponsorowany Bing, ale to raczej nie on (wpis jest zresztą już wyłączony via Menedżer zadań).

- W Firefox podejrzane rozszerzenie "SmashTV", brak takiego w oficjalnej bazie Firefox add-ons.

Czyli wstępnie:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-3878036693-4044154408-2236019048-1001\...\Run: [bingSvc] => C:\Users\Cinek91\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation)
HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe"
HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe"
Task: {048AB502-4892-4ACB-BC32-CDC06C6E039F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {0BEB4D4E-3129-496F-B004-23B6C029F546} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku 
Task: {15C0BBFB-6099-49B6-89F3-C32C49098858} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {1AA555B2-5BE4-408F-8265-2D65CA22D455} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {31D71EA4-FAB2-467A-B47C-9CBC4E697B7F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {4C6B208D-EAB1-46C2-B4C4-9EA79CCF57DC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {50653210-CD2D-48A2-883E-A07F2A242A4E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {50A110D3-E038-46C1-A0AE-7806CBC6D2E4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {775990B8-40CD-4EC6-8C27-AD378CB3CD7B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {88A51268-F8D2-4232-8594-6AD27DE9A13D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {93CC881E-9C66-48FD-A713-9C16E32D65CF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {C4857D85-86E6-4722-9635-EF47D2B6AA6D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {CA8A6200-A9E3-4F6D-B2D5-590BCF0B8E19} - System32\Tasks\{E8B54FEF-F2AD-472B-9BBB-9AF6D5656A2B} => pcalua.exe -a "C:\ProgramData\Package Cache\{6535d76a-59fb-4935-b2c5-cd61917c4a4b}\Setup.exe" -c /uninstall
Task: {D07C4ACB-DB03-4C45-8513-960C6B29CEB1} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL =
DeleteKey: HKCU\Software\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v TCrdMain /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v StartCCC /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "ALLPlayer WiFi Remote /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "MyPC Backup.lnk" /f
C:\Users\Cinek91\AppData\Local\Google\Chrome
C:\Users\Cinek91\AppData\Local\Microsoft\BingSvc
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Czyszczenie Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus zostanie usunięty. Polecam w zamian instalację uBlock Origin.
• Menu Historia > Wyczyść całą historię przeglądania.

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po czyszczeniu Firefox są pozytywne zmiany.

[fakin]

  Cytat

Potwierdź mi proszę, że siedzicie w Irlandii, co wykluczy infekcję routera (w raporcie irlandzkie IP pobierane z routera).

Narazie tylko potwierdzam, ze tak - siedzimy w IRL. Kolega w pracy, ale wraca zaraz to zadzialamy. Thx za szybka odp. Zedytuje posta jak skoncze.

 

Edit:

A wiec: po zakonczeniu czynnosci zwiaznych z FRST zrestartowalem komputer i odrazu sprawdzilem FF. Zakladki dalej sie samoczynnie otwieraly, ale po odswierzeniu FF wszystko bylo jak nalezy.

 

Takze tak jak mowilas problem lezal po stronie roszerzenia w FF o nazwie SmashTV. Nie mam pojecia skad On to wynalazl, bo chwile szperalem po sieci i ciezko mi bylo jakies info zdobyc na ten temat. Stamtad prawdopodobnie byly te pop-up'y.

 

Zalaczam nowy FRST i fixlog, a Ci dobra kobieto bardzo dziekuje za pomoc.

 

Pewnie w krotce sie znow odezwe bo siostrze jakis proces zzera caly procesor. Ale to w nowym temacie, gdy znajde czas zeby sie tym zajac.

[picasso]

Nie widzę załączonych raportów FRST i Fixlog...

 

  Cytat

Takze tak jak mowilas problem lezal po stronie roszerzenia w FF o nazwie SmashTV. Nie mam pojecia skad On to wynalazl, bo chwile szperalem po sieci i ciezko mi bylo jakies info zdobyc na ten temat. Stamtad prawdopodobnie byly te pop-up'y.

 

To rozszerzenie pewnie instalował zewnętrzny pakiet adware, zwykle programy adware instalowane w "downloaderach" są niedostępne w inny sposób.

[fakin]

  W dniu 20.05.2016 o 06:01, picasso napisał(a):

Nie widzę załączonych raportów FRST i Fixlog...

Sorki zapomnialem dokleic te logi. A skoro juz jestem to przy okazji dodam, ze poki co wszystko smiga jak trzeba.

 

Jesli wsio sie zgadza w tych nowych logach to temat mozna zamknac.

 

Dziekowac!

FRST.txtPobieranie informacji ...

Fixlog.txtPobieranie informacji ...

[picasso]

Wszystko wygląda OK. Na koniec skasuj FRST i jego raporty z G:\logi, następnie zastosuj DelFix. Do aktualizacji jest też Java, o ile już to nie zostało wykonane.