SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Pomoc z linkbucks

Tryby wyświetlania wątku
Pomoc z linkbucks
Andrzej1992x12 Offline
Nowicjusz
Liczba postów: 1
Liczba wątków: 1
Dołączył: 26.04.2014
Reputacja: 0
#1
28.04.2014, 08:03
Objawy zainfekowania:od jakiegoś czasu ciągle wyskakuje mi linkbucks, dzieje się to kiedy np wchodzę na daną stronę dwa razy ( np demotywatory.pl i wcisnę stronę 2 ) i od razu przekierowuje na linkbucks
Napisz czym objawia się infekcja : zablokowało mi : google.pl ,youtube, wklej.org oraz inne często używane przeze mnie strony

Wykonywane działania:
Opisz czym był skanowany komputer, jakie posiada oprogramowanie ochronne
Komputer był skanowany programem AVG i podczas skanu wyskoczyło kilka błędów ale zostały one naprawione

Logi:
Tutaj umieść linki do logów z OTL i FRST

niestety nie mogę podać logów na wklej.org gdyż nawet mi tej strony nie wczytuje,podam z speedshare bo tylko tam mogłem je dać, są one spakowane i podpisane

[Aby zobaczyć linki, zarejestruj się tutaj]



Przpraszam,że nie podaję według zasad ale nie jestem w stanie wejść na podaną przez was stronę


Bardzo proszę o pomoc
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#2
28.04.2014, 17:30
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
(Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe
(Taiwan Shui Mu Chih Ching Technology Limited.) C:\Program Files\WinZipper\winzipersvc.exe
(Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe
() C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\fst_pl_49\upfst_pl_49.exe
() C:\Program Files\fst_pl_73\fst_pl_73.exe
() C:\Program Files\fst_pl_99\fst_pl_99.exe
HKLM\...\Run: [upfst_pl_49.exe] => C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\fst_pl_49\upfst_pl_49.exe [3153904 2014-02-03] ()
HKLM\...\Run: [fst_pl_73] => C:\Program Files\fst_pl_73\fst_pl_73.exe [3981824 2014-02-26] ()
HKLM\...\Run: [fst_pl_99] => C:\Program Files\fst_pl_99\fst_pl_99.exe [3985920 2014-04-03] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = aboutblank
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392212757&from=tt4u&uid=SAMSUNGXHD502HI_S1VZJ9BZ701484&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392212757&from=tt4u&uid=SAMSUNGXHD502HI_S1VZJ9BZ701484&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://pl.msn.com/?pc=UP97&ocid=UP97DHP
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = pl-pl
HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://alawar.pl
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1392212757&from=tt4u&uid=SAMSUNGXHD502HI_S1VZJ9BZ701484
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392212757&from=tt4u&uid=SAMSUNGXHD502HI_S1VZJ9BZ701484&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392212757&from=tt4u&uid=SAMSUNGXHD502HI_S1VZJ9BZ701484&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1392212757&from=tt4u&uid=SAMSUNGXHD502HI_S1VZJ9BZ701484
URLSearchHook: HKLM - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1392212757&from=tt4u&uid=SAMSUNGXHD502HI_S1VZJ9BZ701484
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - 384AF48C2A4C4DDA810598527DD9DD7C URL = http://www.sweet-page.com/web/?type=ds&ts=1392741967&from=cor&uid=SAMSUNGXHD502HI_S1VZJ9BZ701484&q={searchTerms}
BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
CHR HKLM\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ep.crx
R2 IePluginService; C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED)
R2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.)
R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [501904 2014-02-26] (Cherished Technololgy LIMITED)
S2 Norton Internet Security; No ImagePath
S3 NAVENG; \??\C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS [X]
S3 NAVEX15; \??\C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS [X]
S1 SRTSP; \??\C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSP.SYS [X]
S1 SRTSPX; \??\C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSPX.SYS [X]
R1 tStLib; C:\WINDOWS\System32\drivers\tStLib.sys [55224 2014-03-18] (StdLib)
Task: C:\WINDOWS\Tasks\AVG PC Tuneup 2011 Integrator Start On Andrzej Logon.job => C:\Program Files\AVG\AVG PC Tuneup 2011\BoostSpeed.exe
Task: C:\WINDOWS\Tasks\bench-sys.job => C:\Program Files\Bench\Updater\updater.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-329068152-1500820517-1801674531-1004Core.job => C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-329068152-1500820517-1801674531-1004UA.job => C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\Temp:0B4227B4
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\Temp:639BB5E9
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Klaku^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^3caeb26764675258d8d8c075e5b9b6a9.exe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

AVG PC Tuneup 2011
fst_pl_73
fst_pl_99
Google Update Helper
IePluginService12.27.0.3326
OpenOffice.org 3.3.0 Packages
SupTab
WinZipper

Google Chrome

Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

Firefox

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

Zrób nowe log FRST.txt > Addition.txt > i Shortcut.txt + OTL
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości