andore
(Andore)
4 Styczeń 2015 14:26
#1
Od pewnego czasu W chromie, co jakis czas dostaje przekierowanie do Cityadspix a potem do Ali express. Nie wiem skąd to się wzięło bo nic ostatnio nie instalowałam. Kaspersky oczywiście nie widzi żadnego malware’a.
Addition - http://wklej.org/hash/599481e4931/
FRST - http://wklej.org/hash/1a32bf6b5b8/
Dzięki za pomoc
Miszel03
(Michal Glaba)
4 Styczeń 2015 15:02
#2
Zarażone DNS
Tcpip\Parameters: [DhcpNameServer] 5.175.225.190 8.8.8.8
Jeśli używasz routera, to go zresetuj (jeśli nie wiesz jak, to skontaktuj się ze swoim dostawcą internetu).
Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST
Plik fixlist.txt umieść obok programu FRST
CloseProcesses:
HKU\S-1-5-21-2555031829-1915374467-2933209100-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1383210205&from=cor&uid=ST9500420AS_5VJBVWP1XXXX5VJBVWP1
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383210205&from=cor&uid=ST9500420AS_5VJBVWP1XXXX5VJBVWP1&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383210205&from=cor&uid=ST9500420AS_5VJBVWP1XXXX5VJBVWP1&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383210205&from=cor&uid=ST9500420AS_5VJBVWP1XXXX5VJBVWP1&q={searchTerms}
SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=d2bae0ee-e1ba-4ec4-a307-94b649c2b935&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383210205&from=cor&uid=ST9500420AS_5VJBVWP1XXXX5VJBVWP1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://isearch.avg.com/search?cid=&mid=&lang=&ds=&pr=&d=&v=&sap=dsp&q={searchTerms}
Task: {1DB0470E-9D92-492C-BD3A-B98FECA9ADF9} - System32\Tasks\FoxTab => C:\Users\ASZYMA~1.COR\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\Windows\Tasks\FoxTab.job => C:\Users\ASZYMA~1.COR\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
CMD: ipconfig /flushdns
EmptyTemp:
DeleteQuarantine:
3. Pobierz AdwClaner uruchom go i kliknij szukaj a gdy ukatywni się przycisk usuń kliknij go.
Adwclaner: http://www.bleepingcomputer.com/download/adwcleaner/
4. Wrzuć raport ze skryptu (Fixlog) i z Adwclaner (Raport z Adwclaner znajduję się w tym folderze: C:\AdwCleaner ) i zrób nowe logi z FRST (Zaznacz też: Addition i ShortCup )
andore
(Andore)
4 Styczeń 2015 16:10
#3
Acorus
(Acorus)
4 Styczeń 2015 16:14
#4
Miszel03
(Michal Glaba)
4 Styczeń 2015 19:27
#5
DNS - nadal zarażone
Tcpip\Parameters: [DhcpNameServer] 5.175.225.190 8.8.8.8
Sprawdź czy szkodliwego adresu DNS nie ma w właściwościach połączenia sieciowego.
http://windows.microsoft.com/pl-pl/windows/change-tcp-ip-settings#1TC=windows-7
W FireFox i Google Chrome wyszukiwarki zmień na domyślne google.pl
Chrome:
Menu > Ustawienia > Szukaj > Zarządzaj Wyszukiwarkami > Usuń babylon
FireFox:
Menu > Wyszukiwarki > Usuń helperbar
FireFox:
========
FF SearchEngineOrder.1: Ask.com
FF Keyword.URL: hxxp://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=d2bae0ee-e1ba-4ec4-a307-94b649c2b935&affid=110774&searchtype=ds&babsrc=lnkry&q=
Chrome:
=======
CHR HomePage: Default -> hxxp://search.babylon.com/?affID=112465&tt=060612_8_&babsrc=HP_ss&mntrId=c46af378000000000000782bcbdb1c84
CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112465&tt=060612_8_&babsrc=HP_ss&mntrId=c46af378000000000000782bcbdb1c84"
Te Programy Odinstaluj :
Java 6 Update 18
Te Programy Zaktualizuj :
Java 7 Update 21
Zrób nowe logi z FRST (Zaznacz też: Addition i ShortCup )
andore
(Andore)
5 Styczeń 2015 11:27
#6
Dzięki. Pomógł reset do ustawień fabrycznych i ustawienie wszystkiego od nowa. Elegancko wszystko działa
Pozdrawiam!
Miszel03
(Michal Glaba)
5 Styczeń 2015 13:02
#7
Rozumiem że wykonałeś te działania: ?
Jeżeli tak to kończymy.
Pozdrawiam,
Michał.
andore
(Andore)
18 Styczeń 2015 14:25
#8
Wszystko było zrobione i przez jakiś czas było dobrze, a teraz znów są problemy, jednakże rzadziej no i pojawiły się przekierowania na strony porno.
Zrobiłam więc wszystko od początku i wklejam logi poniżej:
Addition - http://wklej.org/hash/774e2048303/
AdwCleaner - http://wklej.org/id/1599544/
Fixlog - http://wklej.org/id/1599546/
FRST - http://wklej.org/hash/591dde0c2a6/
Shortcut - http://wklej.org/hash/7c39822b25c/
Pozdrawiam
Atis
(Atis)
21 Styczeń 2015 22:18
#9
Przestań cytować wszystkie odpowiedzi.
Odinstaluj McAfee Security Scan Plus.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ProxyServer: [S-1-5-21-2555031829-1915374467-2933209100-1001] => 174.37.236.46:3128
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF SearchEngineOrder.1: Ask.com
FF Keyword.URL: hxxp://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=d2bae0ee-e1ba-4ec4-a307-94b649c2b935&affid=110774&searchtype=ds&babsrc=lnkry&q=
FF NetworkProxy: "autoconfig_url", "https://mediahint.com/default.pac"
FF NetworkProxy: "type", 2
FF SearchPlugin: C:\Users\aszymanska.CORE1\AppData\Roaming\Mozilla\Firefox\Profiles\tptgzirs.default\searchplugins\askcom.xml
FF SearchPlugin: C:\Users\aszymanska.CORE1\AppData\Roaming\Mozilla\Firefox\Profiles\tptgzirs.default\searchplugins\Web Search.xml
FF Extension: Site Matcher Pro - C:\Users\aszymanska.CORE1\AppData\Roaming\Mozilla\Firefox\Profiles\tptgzirs.default\Extensions\prositematcher@prositematcher.com [2014-07-10]
FF Extension: No Name - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
CHR HomePage: Default -> hxxp://search.babylon.com/?affID=112465&tt=060612_8_&babsrc=HP_ss&mntrId=c46af378000000000000782bcbdb1c84
CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112465&tt=060612_8_&babsrc=HP_ss&mntrId=c46af378000000000000782bcbdb1c84"
CHR HKLM-x32\...\Chrome\Extension: [khfmhhkhlcicilgpinhlghpndhlmjieb] - C:\ProgramData\DownloadnSave\khfmhhkhlcicilgpinhlghpndhlmjieb.crx [Not Found]
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.)
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
2015-01-15 10:40 - 2015-01-15 10:40 - 00000000 ____ D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
2015-01-15 10:40 - 2015-01-15 10:40 - 00000000 ____ D () C:\Program Files\McAfee Security Scan
2015-01-14 18:50 - 2015-01-15 10:40 - 00001931 _____ () C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
2015-01-14 18:50 - 2015-01-15 10:40 - 00000000 ____ D () C:\ProgramData\McAfee Security Scan
2015-01-14 18:50 - 2015-01-14 18:50 - 00000000 ____ D () C:\ProgramData\McAfee
2015-01-04 16:54 - 2015-01-18 14:31 - 00000000 ____ D () C:\AdwCleaner
Task: {8B00A116-8C40-48D3-8BC5-08276EEBC2F7} - System32\Tasks\{0C17F4C4-7A9B-435E-8828-34F27E7F2712} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120/pl/abandoninstall?page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;systemlevelpresent
Task: {B5478A01-2BEC-4CB8-8BFE-443A29FFB3D6} - System32\Tasks\{7AA62B81-9921-4051-8BD4-1600A6FBD91B} => pcalua.exe -a C:\Users\aszymanska.CORE1\Downloads\5016_5020_drivers\Setup.exe -d C:\Users\aszymanska.CORE1\Downloads\5016_5020_drivers
Task: {FD4067B3-E551-451F-8664-880788F36A62} - System32\Tasks\{AC1A2D8D-C6EF-47E3-866C-87E7E8A4B43A} => pcalua.exe -a C:\Users\aszymanska.CORE1\AppData\Local\Temp\Temp1_5016_5020_drivers.zip\Setup.exe
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Atis
(Atis)
27 Styczeń 2015 21:31
#11
Nie wiem, bo tego nie widać w logu.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Hosts:
DeleteQuarantine:
Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST