SafeGroup - Otwierająca się strona Linkbucks.com

Objawy zainfekowania:
Otwiera się strona www "Linkbucks.com w mozilli firefox .Strona otwiera się sporadycznie ( jakieś 40 razy w ciągu 8 godzin )

Wykonywane działania:
Komputer był skanowany malwarebytes -antymalware oraz antywirusem Avira- efektów brak

Logi:

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

RSIT

[Aby zobaczyć linki, zarejestruj się tutaj]

Proszę o pomoc bo juz zaczynam myśleć o formacie a bardzo nie chce tego robić

Skorzystaj z narzędzia AdwCleaner z opcji Delete. Daj raport tutaj.

AdwCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

Brak logu z Extras ,podaj go i wstrzymaj się z wykonywania adwclener

Log Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL

IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.emachines.com/rdr.aspx?b=ACEW&l=0415&m=eme730g&r=27360612d235l0424z1j5r48826126

IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}

IE - HKCU\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found

IE - HKCU\..\SearchScopes\{B4B91927-C117-4F43-B22B-DD3811F5BF63}: "URL" = http://www.mysearchresults.com/search?&c=2652&t=03&q={searchTerms}

FF - prefs.js..CT2417076.browser.search.defaultthis.engineName: true

FF - prefs.js..browser.search.useDBForOrder: true

FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=2&CUI=UN36379362666646686&q="

O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O9:[b]64bit:[/b] - Extra ''Tools'' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found

O15 - HKCU\..Trusted Ranges: Range1979 ([http] in Trusted sites)

O16:[b]64bit:[/b] - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O16 - DPF: {0DE3EDDA-8611-4B95-85C1-87661A5542C3} http://s3-us-west-1.amazonaws.com/file.intangi.net/env/envision.cab (Envision Control)

:Commands

[EMPTYTEMP]

Po tym wykonaniu użyj AdwCleaneri przedstaw raport z wykonania OTLi AdwCleaner

Log AdwCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

Problem nadal jest

z tym że teraz to się otwierają już 2 różne strony

[Aby zobaczyć linki, zarejestruj się tutaj]

to jedna i ta sama

Uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log.

log otl

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

Odinstaluj:

PLAY ONLINE

Zrób sobie porządek z programami do pdf bo jak się nie mylę to tam parę widziałem.

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL

IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL =[binary data]

IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.emachines.com/rdr.aspx?b=ACEW&l=0415&m=eme730g&r=27360612d235l0424z1j5r48826126

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL =[binary data]

IE - HKU\S-1-5-21-2139350486-4031549509-3793136535-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = aboutblank

FF - prefs.js..browser.search.useDBForOrder: ""

FF - prefs.js..extensions.enabledAddons: info%40youtube-mp3.org:1.0.4

FF - prefs.js..extensions.enabledAddons: youtubemp3%40email.com:2.1

O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceActiveDesktopOn = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableUIADesktopToggle = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableVirtualization = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ValidateAdminCodeSignatures = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: scforceoption = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: FilterAdministratorToken = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_TEXT = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_BITMAP = 2

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_OEMTEXT = 7

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_DIB = 8

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_PALETTE = 9

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_UNICODETEXT = 13

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_DIBV5 = 17

O7 - HKU\S-1-5-21-2139350486-4031549509-3793136535-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsHistory = 1

O9:[b]64bit:[/b] - Extra ''Tools'' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found

O16:[b]64bit:[/b] - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

[2012-11-18 22:36:02 | 000,006,796 | ---- | M] () (No name found) -- C:\Users\des\AppData\Roaming\mozilla\firefox\profiles\tcut3iy6.default\extensions\[email protected]

[2013-03-22 11:11:43 | 000,005,286 | ---- | M] () (No name found) -- C:\Users\des\AppData\Roaming\mozilla\firefox\profiles\tcut3iy6.default\extensions\[email protected]



:Files

C:\Windows\tasks\eMachines Registration - Data Sending task.job

C:\Users\des\AppData\Roaming\Bradsoft.com



:Commands

[EMPTYTEMP]

Przedstaw raport z wykonania OTL

Wejdź w narzędzia IE,dostawcy wyszukiwania wywal nie potrzebne wpisy zostawiając tylkodomyślnego dostawce google

[Aby zobaczyć linki, zarejestruj się tutaj]

Wszystko zrobione tak jak kazałeś
Jeśli chodzi o programy do pdf to każdy służy do czego innego

Dam znać czy problem znikł
Pozdrawiam

Dodano: 17 maja 2013, 12:14

Wszystko narazie jest w porządku Smile

, także dziękuje za bezinteresowną pomoc tachion

Pozdrawiam
des