Przegladarka uruchamia sie sama z reklama

[semar]

Objawy zainfekowania:
Chrome uruchamia sie samodzielnie otwierajac jakas strone reklamowa, lub otwieraja sie na podobnych stronach kolejne zakladki w otwartej przegladarce

Wykonywane działania:
Oprogramowanie ochronne to Kasperski Internet Security 2013 - nic nieznalazl.
Zauwazylem, ze w Menedzerze Zadan jest proces fst_pl_14.exe po zatrzymaniu którego problem z przegladarka znika

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

- OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

- Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

- FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

- Addition

[tachion]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

() C:\Users\MS\AppData\Local\fst_pl_14\upfst_pl_14.exe
() C:\Program Files (x86)\fst_pl_14\fst_pl_14.exe
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKLM-x32\...\Run: [fst_pl_14] - C:\Program Files (x86)\fst_pl_14\fst_pl_14.exe [3993000 2013-12-19] ()
HKLM-x32\...\RunOnce: [upfst_pl_14.exe] - C:\Users\MS\AppData\Local\fst_pl_14\upfst_pl_14.exe -runonce [3154344 2013-12-18] ()
ShortcutTarget: 7 Sticky Notes.lnk -> C:\Program Files (x86)\7 Sticky Notes\7StickyNotes.exe (No File)
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
Startup: C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
Startup: C:\Users\MS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7 Sticky Notes.lnk
Startup: C:\Users\MS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
Startup: C:\Users\MS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
Startup: C:\Users\MS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL =
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {26DEAEFE-0264-4924-AFF9-C992559EF6C5} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=CFBE0D96-CED8-4CC0-AEE0-0B3F1BFF48F5&apn_sauid=AAE3F38F-CD99-4DDD-9210-14F83E5CB9D6
SearchScopes: HKCU - {14E65891-F1A0-4c86-BE2C-74DB5C06A5B3} URL = http://home.speedbit.com/search.aspx?aff=106&q={searchTerms}
SearchScopes: HKCU - {26DEAEFE-0264-4924-AFF9-C992559EF6C5} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=CFBE0D96-CED8-4CC0-AEE0-0B3F1BFF48F5&apn_sauid=AAE3F38F-CD99-4DDD-9210-14F83E5CB9D6
SearchScopes: HKCU - {2D90233D-52EF-4DA4-81C8-506B997D3F67} URL =
SearchScopes: HKCU - {7F1DCA2C-15EC-422E-AB2C-7799CDCA345E} URL = http://rover.ebay.com/rover/1/4908-44618-9400-8/4?satitle={searchTerms}
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={016C1C67-45B4-4E8F-82B4-4B04260B83A7}&mid=d3658b757fb348afb74fb2e3d1540d33-62e4d466d1ddcac3cd4b60ece0d9a980b7d212db&lang=en&ds=pl011&pr=sa&d=2012-06-14 19:57:35&v=11.1.0.12&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {9718A578-9A47-425D-8D6B-F0CE91E1B738} URL = http://www.amazon.co.uk/gp/search?ie=UTF8&keywords={searchTerms}&tag=tochibauk-win7-ie-search-21&index=blended&linkCode=ur2
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -No File
S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [x]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S1 SydexFDD; system32\drives\sydexfdd.sys [x]
C:\Users\MS\AppData\Local\fst_pl_14
C:\spyhunter.log
AppData\Roaming\newnext.me
C:\Windows\system32\Drivers\etc\hosts.ics
C:\Windows\Tasks\iBard24_cfec52036be84d3f9ff5f08243dca361_2.job
C:\Program Files (x86)\fst_pl_14
C:\Users\MS\Desktop\Continue AnyProtect Installation.lnk
C:\Users\MS\AppData\Local\Mobogenie
C:\Users\MS\daemonprocess.txt
C:\Users\MS\AppData\Local\genienext
C:\Users\MS\AppData\Local\cache
C:\Users\MS\Documents\Mobogenie
C:\Users\MS\.android
C:\found.005
C:\found.004
C:\Users\MS\AppData\Local\Temp\87404uninstall.exe
C:\Users\MS\AppData\Local\Temp\APNSetup.exe
C:\Users\MS\AppData\Local\Temp\DPInstx64.exe
C:\Users\MS\AppData\Local\Temp\DPInstx86.exe
C:\Users\MS\AppData\Local\Temp\DPInst_Monx64.exe
C:\Users\MS\AppData\Local\Temp\DPInst_Monx86.exe
C:\Users\MS\AppData\Local\Temp\ICReinstall_nst1FB9.tmp.exe
C:\Users\MS\AppData\Local\Temp\ICReinstall_Setup.exe
C:\Users\MS\AppData\Local\Temp\nsk6BE1.tmp.exe
C:\Users\MS\AppData\Local\Temp\nsp299A.tmp.exe
C:\Users\MS\AppData\Local\Temp\nszD7EB.tmp.exe
C:\Users\MS\AppData\Local\Temp\OS_Detect.exe
C:\Users\MS\AppData\Local\Temp\SHSetup.exe
C:\Users\MS\AppData\Local\Temp\Sqlite3.dll
C:\Users\MS\AppData\Local\Temp\uninst1.exe
C:\Users\MS\AppData\Local\Temp\w64.exe
Task: {A761D59A-141D-49E3-99F4-F83A0BB1F659} - System32\Tasks\DSite => C:\Users\MS\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE
Task: {D18AFC52-6967-4F8B-855B-5E8C5E76273D} - System32\Tasks\FoxTab => C:\Users\MS\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE
Task: C:\Windows\Tasks\DSite.job => C:\Users\MS\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE
Task: C:\Windows\Tasks\FoxTab.job => C:\Users\MS\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh advfirewall reset

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

Odinstaluj:

Update for Codec Pack
WebConnect 3.0.0

[semar]

Bardzo dziekuje za pomoc. Zrobilem wszystko wedlug zalecen. Co prawda wczesniej nie wytrzymalem cisnienia i usunalem te pliki ktore powodowaly otwieranie sie okienek (wg mojej niezbyt merytorycznie uzasadnionej opinii) oraz usunalem wszelkie o nich wpisy w rejestrze.
Link do Loga z ADWC

[Aby zobaczyć linki, zarejestruj się tutaj]

Bardzo dziekuje bo widze, ze mialem nieziemsko zasmiecony komp

[tachion]

a raport po wykonaniu z FRST ?

Zrób ponowne skany OTL i FRST

[semar]

Prosze...

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Ale tym razem powstaly tylko pliki otl i frst...

[tachion]

Niepotrzebnie instalowałeś HOSTS_Anti-Adware,odinstaluj to hosts jest tak obszerny że może doprowadzać do zawieszeń przeglądarki itp.rzeczy

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wolnelektury-pl.xml
S3 mxuwdrv2; system32\DRIVERS\mxuwdrv2.sys [x]
C:\Windows\system32\Drivers\etc\hosts.ics
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

[semar]

Buuuu Niemoge tego Hosts_Anti-Adware znalezc w Panelu sterowanie...

---

Dodano: 06 sty 2014, 1:09

Tylko Loga?

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

na pulpicie po instalacji powinna być ikona Desinstaller_HOSTS jeśli masz to klik w nią

---

Dodano: 06 sty 2014, 2:24

Jak to zrobisz to zrób log FRST jeszcze raz

[semar]

Prosze...

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

zapisz tak jak ostatnio i wykonaj

Kod:

C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs
C:\Users\MS\AppData\Local\Temp\Install_HOSTS_Anti-Adware.exe
C:\Users\MS\AppData\Roaming\newnext.me

Przywróć hosts do poziomu domyslnego za pomocą tego programu:

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaznacz zgadzam się po lewej stronie następnie kliknij dalej.

Zrób jak możesz jeszcze OTL bez extras

[semar]

I znowu prosze

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

W adwcleaner kliknij odinstaluj.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom i kliknij Start.

W OTL też klik w sprzątanie.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run

Usunie wszelkie oprogramowanie i pozostałości po narzędziach adw,otl i frst.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[semar]

I znowu prosze...

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Results of screen317''s Security Check version 0.99.78
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
Kaspersky Internet Security
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
JavaFX 2.1.1
Java™ 6 Update 22
Java™ 6 Update 31
Java 7 Update 45
Adobe Flash Player 11.9.900.170
Adobe Reader 10.1.8 Adobe Reader out of Date!
Mozilla Firefox (26.0)
Mozilla Thunderbird (24.2.0)
Google Chrome 31.0.1650.57
Google Chrome 31.0.1650.63
````````Process Check: objlist.exe by Laurent````````
Kaspersky Lab Kaspersky Internet Security 2013 avp.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Java™ 6 Update 22
Java™ 6 Update 31odinstaluj a pozycje na czerwono zaktualizuj.

Rozumiem że jest wszystko ok ?

[semar]

Wszystko jest bardzo ok Dziękuję.... Jest jakaś możliwość wsparcia niniejszej inicjatywy? Szukałem jakiejś możliwości ale albo jestem ślepy albo nigdzie informacja o możliwości wsparcia nie istnieje

[tachion]

Jeśli chodzi o zabezpieczenia to popatrz w innych działach.