Liczba postów: 6
Liczba wątków: 1
Dołączył: 28.04.2014
Reputacja:
0
Objawy zainfekowania:
Jestem przekierowywana na niechciane strony z reklamami, konkursami ect. (np. bet365 itd.)
Wykonywane działania:
Usunęłam mikrotorrent''a
Program antywirusowy to: AVAST
Logi:
Tutaj umieść linki do logów z OTL i FRST
[Aby zobaczyć linki, zarejestruj się tutaj] [log OTL.txt]
[Aby zobaczyć linki, zarejestruj się tutaj] [log Extras.txt]
[Aby zobaczyć linki, zarejestruj się tutaj] [log Schortcut.txt]
[Aby zobaczyć linki, zarejestruj się tutaj] [log Addition.txt]
[Aby zobaczyć linki, zarejestruj się tutaj] [log FRST.TXT]
Bardzo proszę o pomoc, co dalej, w możliwie zrozumiałym języku dla laików
Dziękuję
Liczba postów: 956
Liczba wątków: 57
Dołączył: 25.02.2014
Reputacja:
97
To chyba adware. Avastnie wykrywadobrze adware''u. Pomocy udzieli ci tachion
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 6
Liczba wątków: 1
Dołączył: 28.04.2014
Reputacja:
0
Dziękuje
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej i zapisz jako fixlist.txt
Kod: (Conduit) C:\Program Files\SearchProtect\Main\bin\CltMngSvc.exe
(Ask) C:\Program Files\Ask.com\Updater\Updater.exe
HKLM\...\Run: [] => [X]
HKLM\...\Run: [ApnUpdater] => C:\Program Files\Ask.com\Updater\Updater.exe [1648264 2013-04-25] (Ask)
HKU\.DEFAULT\...\RunOnce: [SpUninstallDeleteDir] - rmdir /s /q "C:\Documents and Settings\LocalService\Dane aplikacji\SearchProtect"
HKU\S-1-5-21-436374069-1364589140-725345543-1003\...\Run: [NTRedirect] => C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Howoj\Dane aplikacji\BabSolution\Shared\NTRedirect.dll",Run
HKU\S-1-5-21-436374069-1364589140-725345543-1003\...\Run: [LiveSupport] => "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log
HKU\S-1-5-21-436374069-1364589140-725345543-1003\...\Policies\Explorer: []
HKU\S-1-5-21-436374069-1364589140-725345543-1003\...\MountPoints2: {75ec169c-d9a0-11e2-84e5-00241dda65bf} - M:\Startme.exe
AppInit_DLLs: C:\PROGRA~1\SearchProtect\SearchProtect\bin\SPVC32Loader.dll => C:\Program Files\SearchProtect\SearchProtect\bin\SPVC32Loader.dll [1050912 2014-04-08] (Conduit)
AppInit_DLLs:c:\progra~1\ws-ena~1\assist~1.dll => c:\progra~1\ws-ena~1\assist~1.dll File Not Found
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.gmail.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.webisgreat.info/?pid=964&r=2014/02/12&hid=16217788444682477030&lg=EN&cc=PL&unqvl=48
URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
URLSearchHook: HKCU - free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\prxtbfre0.dll (Conduit Ltd.)
URLSearchHook: HKCU - MyAshampoo Toolbar - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.)
URLSearchHook: HKCU - DivX Browser Bar Toolbar - {77e8143b-6759-416e-b521-82cfed75150b} - C:\Program Files\DivX_Browser_Bar\prxtbDiv2.dll (Conduit Ltd.)
SearchScopes: HKLM - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=964&r=2014/02/12&hid=16217788444682477030&lg=EN&cc=PL&unqvl=48
SearchScopes: HKLM - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL =
SearchScopes: HKLM - {5D545784-DC9E-4CBA-9AC1-0DF66C98E23B} URL =
SearchScopes: HKLM - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=964&r=2014/02/12&hid=16217788444682477030&lg=EN&cc=PL&unqvl=48
SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3288691&CUI=UN32351684646078236&UM=2
SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3288691&CUI=UN32351684646078236&UM=2
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=64E800241DDA65BF&affID=119357&tsp=4956
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ALSV5&o=1665&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^AU&apn_dtid=^aus002^YY^PL&apn_uid=76F0BC41-302A-4F7E-82CF-989B53E27299&apn_sauid=18AFE66D-5DE6-42EF-9236-F89171651F96
SearchScopes: HKCU - {5D545784-DC9E-4CBA-9AC1-0DF66C98E23B} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3288691&CUI=UN32351684646078236&UM=2
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=964&r=2014/02/12&hid=16217788444682477030&lg=EN&cc=PL&unqvl=48
BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll No File
BHO: MyAshampoo Toolbar - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.)
BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.22.0\bh\delta.dll (Delta-search.com)
BHO: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\prxtbfre0.dll (Conduit Ltd.)
Toolbar: HKLM - free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\prxtbfre0.dll (Conduit Ltd.)
Toolbar: HKLM - MyAshampoo Toolbar - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.)
Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.22.0\deltaTlbr.dll (Delta-search.com)
Toolbar: HKLM - DivX Browser Bar Toolbar - {77e8143b-6759-416e-b521-82cfed75150b} - C:\Program Files\DivX_Browser_Bar\prxtbDiv2.dll (Conduit Ltd.)
Toolbar: HKLM - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
Toolbar: HKCU - free-downloads.net Toolbar - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\prxtbfre0.dll (Conduit Ltd.)
Toolbar: HKCU - MyAshampoo Toolbar - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - C:\Program Files\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.)
Toolbar: HKCU - DivX Browser Bar Toolbar - {77E8143B-6759-416E-B521-82CFED75150B} - C:\Program Files\DivX_Browser_Bar\prxtbDiv2.dll (Conduit Ltd.)
Toolbar: HKCU - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
CHR HKLM\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Documents and Settings\Howoj\Dane aplikacji\BabSolution\CR\Delta.crx [2013-07-27]
CHR HKLM\...\Chrome\Extension: [pkmpcdbgnfjfeelcpebpkflcmbkclfho] - C:\Documents and Settings\Howoj\Ustawienia lokalne\Dane aplikacji\CRE\pkmpcdbgnfjfeelcpebpkflcmbkclfho.crx [2013-09-08]
CHR HKCU\...\Chrome\Extension: [pkmpcdbgnfjfeelcpebpkflcmbkclfho] - C:\Documents and Settings\Howoj\Ustawienia lokalne\Dane aplikacji\CRE\pkmpcdbgnfjfeelcpebpkflcmbkclfho.crx [2013-09-08]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
R2 CltMngSvc; C:\Program Files\SearchProtect\Main\bin\CltMngSvc.exe [2470688 2014-04-08] (Conduit)
S2 d926dfd5; C:\Program Files\WS-Enabler\AssistantSvc.dll [179536 2014-02-12] ()
S3 ACDaemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X]
C:\WINDOWS\system32\tmpC2390.FOT
C:\WINDOWS\system32\tmpC1390.FOT
C:\WINDOWS\system32\tmpB4390.FOT
C:\WINDOWS\system32\tmpA6390.FOT
C:\WINDOWS\system32\tmp9A390.FOT
C:\WINDOWS\system32\tmp98390.FOT
C:\Documents and Settings\LocalService\Dane aplikacji\McAfee
C:\rsit
Task: C:\WINDOWS\Tasks\AdobeAAMUpdater-1.0-HOWOJ-12D0EC0DF-Howoj.job => C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
Task: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job => C:\Program Files\Ask.com\UpdateTask.exe
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:373E1720
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:C176AF6C
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
Odinstaluj:
Ask Toolbar
Ask Toolbar Updater
Delta Chrome Toolbar
Delta toolbar
DivX Browser Bar Toolbar for IE
Download Updater
McAfee Security Scan Plus
MyAshampoo Toolbar
Search Protect
Ultimate Codec Packages
Update for Ultimate Codec
Video Converter Packages
WS-Enabler
WS-Supporter 1.80
YoutubeAdblocker
W Google Chrome
Ustawienia > karta Rozszerzenia > odinstaluj: YoutubeAdblocker,Delta Toolbar,DivX Browser Bar
Zresetuj cache wtyczek. W pasku adresów wpisz chrome//plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
Ustawienia > karta Historia > wyczyść
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".
W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] kliknij Szukaji następnie Usuń
pokaż raport
Liczba postów: 6
Liczba wątków: 1
Dołączył: 28.04.2014
Reputacja:
0
Proszę, oto dane, o które Pan/i prosił:
Raport z FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
Raport z AdvCleaner: [Aby zobaczyć linki, zarejestruj się tutaj]
Czy wszystko jest w porządku?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Podaj jeszcze nowe logi z FRST+OTL
Jaka ogólnie jest sytuacja ?
Liczba postów: 6
Liczba wątków: 1
Dołączył: 28.04.2014
Reputacja:
0
Oto logi:
FRST: [Aby zobaczyć linki, zarejestruj się tutaj] i [Aby zobaczyć linki, zarejestruj się tutaj]
OTL: [Aby zobaczyć linki, zarejestruj się tutaj] i [Aby zobaczyć linki, zarejestruj się tutaj]
Przepraszam, że tak późno, ale mnie nie było. A jeżeli chodzi o sytuację, to jest o niebo lepiej. Bardzo dziękuję za pomoc!
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej i zapisz jako fixlist.txt
Kod: SearchScopes: HKLM - DefaultScope value is missing.
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\tmp98A37.FOT
C:\WINDOWS\system32\tmp96A37.FOT
C:\WINDOWS\system32\tmp8AA37.FOT
C:\WINDOWS\system32\tmp7CA37.FOT
C:\WINDOWS\system32\tmp6EA37.FOT
C:\WINDOWS\system32\tmp60B37.FOT
C:\WINDOWS\system32\tmp5F5CC.FOT
C:\WINDOWS\system32\tmp416CC.FOT
C:\WINDOWS\system32\tmp346CC.FOT
C:\WINDOWS\system32\tmp336CC.FOT
C:\WINDOWS\system32\tmp286CC.FOT
C:\WINDOWS\system32\tmp266CC.FOT
C:\Documents and Settings\Howoj\Ustawienia lokalne\Temp\Quarantine.exe
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] uruchom kliknij w Change Paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,ale nie przenoś niczego do kwarantanny i nie usuwaj.
Liczba postów: 6
Liczba wątków: 1
Dołączył: 28.04.2014
Reputacja:
0
Proszę, oto raporty:
Raport FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
Raport ze skanowania TDSSKiller: [Aby zobaczyć linki, zarejestruj się tutaj]
PS: Czy te same kroki można wykonać dla systemu operacyjnego Windows Vista? Pytam, bo podobny problem mam na laptopie.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Nie można stosować tego samego skryptu nawet na takich samych systemach,skrypt jest dopasowany tylko i wyłącznie pod ten system.
TdssKiller wykrył tylko prawidłowe niepodpisane pliki.
Kliki odinstaluj adwcleaner.
Wklej na stronę raport z SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj] i kliknij Start.
Liczba postów: 6
Liczba wątków: 1
Dołączył: 28.04.2014
Reputacja:
0
Raport z SecurityCheck: [Aby zobaczyć linki, zarejestruj się tutaj]
Jeszcze raz bardzo dziękuję za tak wspaniałą pomoc
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
|