Iriai Opublikowano 23 Września 2016 Zgłoś Udostępnij Opublikowano 23 Września 2016 Witam, zauważyłam ostatnio, że samoistnie otwierają mi się nowe karty w przeglądarce. Najczęściej są to strony typu bet24 lub jakieś gry przeglądarkowe. Jest to uciążliwe, ponieważ nawet jeśli strona była otwarta już wcześniej to i tak po kliknięciu na nią otwiera się nowa karta z "reklamą". Ponadto co jakiś czas pod paskiem gdzie wpisywana jest dtrona internetowa wyskakuje mi dodatkowy pasek do wyszukiwania. Ogólnie strona zmieniał też chyba wygląd i czcionkę. Oczywiście skanowałam system Avastem, ale nic nie wykrył. Przeglądałam czy zainstalowały się jakieś dziwne programy lub toolbary - nic takiego nie zauważyłam. Po otwarciu nowego okna wyskoczyło mi przekierowanie na stronę, która została zablokowana przez Avast -> hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190. Nie było większego opisu niż tego, że istnieje możliwość zarażeniem malware oraz że strona została zablokowana przez program. Podejrzewam, że mogło się to ściągnąć razem z plikiem o nazwie Gemini_lost_free_full_download_downloader. Załączam potrzebne pliki. GMER.txt Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Września 2016 Zgłoś Udostępnij Opublikowano 23 Września 2016 Problemem są skróty LNK przeglądarek zmodyfikowane, by otwierać stronę tech-connect.biz przy każdym uruchomieniu skrótu. Oprócz tego jest szkodliwe proxy. Przy okazji będą usuwane odpadkowe strumienie Comodo i puste skróty. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\ULA\Desktop\Skróty\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" ShortcutWithArgument: C:\Users\ULA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" ShortcutWithArgument: C:\Users\ULA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" ShortcutWithArgument: C:\Users\ULA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" Task: {1EF228E3-06C7-4D3F-A2B6-E9CEC68F5312} - System32\Tasks\{8EE5C568-6B5F-47E7-AAF1-6A4A7CF0F86B} => pcalua.exe -a "E:\Gry\Fairy Godmother Tycoon\Uninstall.exe" Task: {551E0E81-F9D2-447A-A4A8-B6CE38406C64} - System32\Tasks\{41107203-F5ED-4F01-87D5-C9820B27554F} => pcalua.exe -a "E:\Gry\Lavenders Botanicals\Uninstall.exe" Task: {5C530123-A98C-40CF-AC53-E8A7C85DE0F0} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {A72C953B-3448-44C3-811F-784212D107BF} - System32\Tasks\{5880C373-D326-4742-997B-3D74B8409E5C} => pcalua.exe -a "E:\Gry\Incredible Zoo\Uninstall.exe" Task: {AB352DA6-6C0F-475B-906B-A9E8B44EACFA} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {F0A38F24-A2EC-464D-8D21-5948A32DFC08} - System32\Tasks\Driver Booster SkipUAC (ULA) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe HKLM\...\StartupApproved\Run32: => "Adobe ARM" HKU\S-1-5-21-3731761838-2529421182-3744087246-1001\...\StartupApproved\Run: => "Steam" AlternateDataStreams: C:\Users\ULA\Downloads\Badanie Profilu Inwestycyjnego Klienta.pdf:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\Club Control.rar:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\FAKTURA-P-6684962-16010674792607-00082763.pdf:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\forest.jpg:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\Informacja_o_wyniku_naboru.pdf:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\Path to Success.rar:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\Raport (1).pdf:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\RorysRestaurantWinterRushAB.rar:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\Tłumaczenie pytań MBTI.pdf:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\UpdLvndrsBtnclsAB.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\VA SteepMusic 50 Dubstep Vol 58 [2015] MP3 [320 kbps].torrent:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\va_dub_now_weekly_dubstep_099_[tfile.me].torrent:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\YoureThBossAB.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\ZALACZNIK-P-6684962-16010674792607-00082764.pdf:$CmdZnID [26] DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Delicious 13 Emilys Message In A Bottle Platinum Edition\Delicious 13 Emilys Message In A Bottle Platinum Edition.lnk C:\Users\ULA\Desktop\Skróty\Adobe Reader XI.lnk C:\Users\ULA\Desktop\Skróty\DAEMON Tools Lite.lnk C:\Users\ULA\Desktop\Skróty\Revo Uninstaller Pro.lnk C:\Users\ULA\Desktop\Skróty\Steam.lnk RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Czy Games Manager od iWin Inc to była celowa instalacja? Odnośnik do komentarza
Iriai Opublikowano 23 Września 2016 Autor Zgłoś Udostępnij Opublikowano 23 Września 2016 Po restarcie nie załadowała mi się już strona techcośtambiz. Games Manager zainstalował mi się samoistnie - przez niego ściągała i instalowała się gra. W załącznikach przesyłam pliki. Wygląd przeglądarki jest nadal - jak dla mnie - surowy. Czy to zmiana ogólna, której nie zauważyłam? Wcześniej rogi kart w przeglądarce były - wydaje mi się bardziej zaokrąglone. Przy okazji - przestała mi działać gra LOL. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Września 2016 Zgłoś Udostępnij Opublikowano 23 Września 2016 Games Manager zainstalował mi się samoistnie - przez niego ściągała i instalowała się gra. Odinstaluj ten obiekt poprzez Panel sterowania. Następnie zrób nowe raporty FRST (FRST.txt + Addition.txt). Przy okazji - przestała mi działać gra LOL. W instrukcjach nie było żadnych operacji związanych z LOL. Jaki błąd się pokazuje? Wygląd przeglądarki jest nadal - jak dla mnie - surowy. Czy to zmiana ogólna, której nie zauważyłam? Wcześniej rogi kart w przeglądarce były - wydaje mi się bardziej zaokrąglone. Zrób zrzut ekranu tego co wydaje Ci się "zmienione", porównam ze swoją instalacją. Odnośnik do komentarza
Iriai Opublikowano 23 Września 2016 Autor Zgłoś Udostępnij Opublikowano 23 Września 2016 Games Manager został odinstalowany, dołączam logi. Dodatkowo przesyłam 3 screeny: komunikaty LOLa oraz co wg mnie się zmieniło w przeglądarce. Mam nadzieję, że nie wyjdę na idiotkę, która dopiero teraz zauważyła aktualizację głównej przeglądarki Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Września 2016 Zgłoś Udostępnij Opublikowano 23 Września 2016 Wygląd Chrome normalny. Oto zrzut ekranu z mojej instalacji wersji 53.0.2785.116 (ta sama co u Ciebie): Co do LOL, czy prawy klik na grę i Uruchom jako administrator zmiania postać rzeczy? Odnośnik do komentarza
Iriai Opublikowano 23 Września 2016 Autor Zgłoś Udostępnij Opublikowano 23 Września 2016 Rzeczywiście wygląd ten sam, chyba troszkę jestem przewrażliwiona. LOL uruchomiony jako administrator odpala się normalnie. Dziękuję baaaardzo Odnośnik do komentarza
picasso Opublikowano 23 Września 2016 Zgłoś Udostępnij Opublikowano 23 Września 2016 Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko z mojej strony. Odnośnik do komentarza
Rekomendowane odpowiedzi