Cityadspix - przekierowania na Ali express

Dla specjalistów Bezpieczeństwo
#1

Od pewnego czasu W chromie, co jakis czas dostaje przekierowanie do Cityadspix a potem do Ali express. Nie wiem skąd to się wzięło bo nic ostatnio nie instalowałam. Kaspersky oczywiście nie widzi żadnego malware’a.

 

Addition - http://wklej.org/hash/599481e4931/

FRST - http://wklej.org/hash/1a32bf6b5b8/

 

Dzięki za pomoc

#2

  1. Zarażone DNS 

    Tcpip\Parameters: [DhcpNameServer] 5.175.225.190 8.8.8.8

Jeśli używasz routera, to go zresetuj (jeśli nie wiesz jak, to skontaktuj się ze swoim dostawcą internetu).

 

  1. Do notatnika wklej i zapisz jako  fixlist.txt  i kliknij  Fix  w Interfejsie  FRST

Plik  fixlist.txt  umieść  obok  programu  FRST

CloseProcesses:
HKU\S-1-5-21-2555031829-1915374467-2933209100-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1383210205&from=cor&uid=ST9500420AS_5VJBVWP1XXXX5VJBVWP1
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383210205&from=cor&uid=ST9500420AS_5VJBVWP1XXXX5VJBVWP1&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383210205&from=cor&uid=ST9500420AS_5VJBVWP1XXXX5VJBVWP1&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383210205&from=cor&uid=ST9500420AS_5VJBVWP1XXXX5VJBVWP1&q={searchTerms}
SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=d2bae0ee-e1ba-4ec4-a307-94b649c2b935&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383210205&from=cor&uid=ST9500420AS_5VJBVWP1XXXX5VJBVWP1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://isearch.avg.com/search?cid=&mid=&lang=&ds=&pr=&d=&v=&sap=dsp&q={searchTerms}
Task: {1DB0470E-9D92-492C-BD3A-B98FECA9ADF9} - System32\Tasks\FoxTab => C:\Users\ASZYMA~1.COR\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\Windows\Tasks\FoxTab.job => C:\Users\ASZYMA~1.COR\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
CMD: ipconfig /flushdns
EmptyTemp:
DeleteQuarantine:

3. Pobierz  AdwClaner  uruchom go i kliknij  szukaj  a gdy ukatywni się przycisk  usuń  kliknij go.

 

 Adwclaner:  http://www.bleepingcomputer.com/download/adwcleaner/

 

4. Wrzuć raport ze skryptu (Fixlog) i z  Adwclaner  (Raport z  Adwclaner  znajduję się w tym folderze:  C:\AdwCleaner ) i zrób nowe logi z FRST (Zaznacz też:  Addition  i  ShortCup )

#3

Raport z Adwcleaner - http://wklej.org/hash/86600381d4d/

Fixlog - http://wklej.org/hash/3d20b8a7fb6/

Shortcut - http://wklej.org/id/1583759/

Addition - http://wklej.org/id/1583760/

FRST - http://wklej.org/id/1583761/

 

 

I teraz chwila prawdy… czy reset routera był skuteczny?

#4

Nie.http://forum.dobreprogramy.pl/wirus-reklama-amazon-t486597/

#5

  1.  DNS - nadal  zarażone

    Tcpip\Parameters: [DhcpNameServer] 5.175.225.190 8.8.8.8

Sprawdź czy szkodliwego adresu DNS nie ma w właściwościach połączenia sieciowego. 

 

http://windows.microsoft.com/pl-pl/windows/change-tcp-ip-settings#1TC=windows-7

 

  1. W FireFox i Google Chrome wyszukiwarki zmień na domyślne google.pl

 

Chrome: 

Menu > Ustawienia > Szukaj > Zarządzaj Wyszukiwarkami > Usuń  babylon

 

FireFox:

Menu > Wyszukiwarki > Usuń  helperbar

FireFox:
========
FF SearchEngineOrder.1: Ask.com
FF Keyword.URL: hxxp://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=d2bae0ee-e1ba-4ec4-a307-94b649c2b935&affid=110774&searchtype=ds&babsrc=lnkry&q=

Chrome: 
=======
CHR HomePage: Default -> hxxp://search.babylon.com/?affID=112465&tt=060612_8_&babsrc=HP_ss&mntrId=c46af378000000000000782bcbdb1c84
CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112465&tt=060612_8_&babsrc=HP_ss&mntrId=c46af378000000000000782bcbdb1c84"
  1. Te Programy Odinstaluj :

Java 6 Update 18

 

  1. Te Programy Zaktualizuj :

Java 7 Update 21

 

  1. Zrób nowe logi z FRST (Zaznacz też:  Addition  i  ShortCup )
#6

Dzięki. Pomógł reset do ustawień fabrycznych i ustawienie wszystkiego od nowa. Elegancko wszystko działa :slight_smile:

Pozdrawiam!

#7

Rozumiem że wykonałeś te działania:  ?

 

 

 

Jeżeli tak to kończymy.

 

Pozdrawiam,

Michał. 

#8

Wszystko było zrobione i przez jakiś czas było dobrze, a teraz znów są problemy, jednakże rzadziej no i pojawiły się przekierowania na strony porno.

Zrobiłam więc wszystko od początku i wklejam logi poniżej:

 

Addition - http://wklej.org/hash/774e2048303/

AdwCleaner - http://wklej.org/id/1599544/

Fixlog - http://wklej.org/id/1599546/

FRST - http://wklej.org/hash/591dde0c2a6/

Shortcut - http://wklej.org/hash/7c39822b25c/

 

Pozdrawiam

#9

Przestań cytować wszystkie odpowiedzi.

Odinstaluj McAfee Security Scan Plus.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ProxyServer: [S-1-5-21-2555031829-1915374467-2933209100-1001] => 174.37.236.46:3128
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF SearchEngineOrder.1: Ask.com
FF Keyword.URL: hxxp://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=d2bae0ee-e1ba-4ec4-a307-94b649c2b935&affid=110774&searchtype=ds&babsrc=lnkry&q=
FF NetworkProxy: "autoconfig_url", "https://mediahint.com/default.pac"
FF NetworkProxy: "type", 2
FF SearchPlugin: C:\Users\aszymanska.CORE1\AppData\Roaming\Mozilla\Firefox\Profiles\tptgzirs.default\searchplugins\askcom.xml
FF SearchPlugin: C:\Users\aszymanska.CORE1\AppData\Roaming\Mozilla\Firefox\Profiles\tptgzirs.default\searchplugins\Web Search.xml
FF Extension: Site Matcher Pro - C:\Users\aszymanska.CORE1\AppData\Roaming\Mozilla\Firefox\Profiles\tptgzirs.default\Extensions\prositematcher@prositematcher.com [2014-07-10]
FF Extension: No Name - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
CHR HomePage: Default -> hxxp://search.babylon.com/?affID=112465&tt=060612_8_&babsrc=HP_ss&mntrId=c46af378000000000000782bcbdb1c84
CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112465&tt=060612_8_&babsrc=HP_ss&mntrId=c46af378000000000000782bcbdb1c84"
CHR HKLM-x32\...\Chrome\Extension: [khfmhhkhlcicilgpinhlghpndhlmjieb] - C:\ProgramData\DownloadnSave\khfmhhkhlcicilgpinhlghpndhlmjieb.crx [Not Found]
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.)
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
2015-01-15 10:40 - 2015-01-15 10:40 - 00000000 ____ D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
2015-01-15 10:40 - 2015-01-15 10:40 - 00000000 ____ D () C:\Program Files\McAfee Security Scan
2015-01-14 18:50 - 2015-01-15 10:40 - 00001931 _____ () C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
2015-01-14 18:50 - 2015-01-15 10:40 - 00000000 ____ D () C:\ProgramData\McAfee Security Scan
2015-01-14 18:50 - 2015-01-14 18:50 - 00000000 ____ D () C:\ProgramData\McAfee
2015-01-04 16:54 - 2015-01-18 14:31 - 00000000 ____ D () C:\AdwCleaner
Task: {8B00A116-8C40-48D3-8BC5-08276EEBC2F7} - System32\Tasks\{0C17F4C4-7A9B-435E-8828-34F27E7F2712} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120/pl/abandoninstall?page=tsDownload&amp;installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;systemlevelpresent
Task: {B5478A01-2BEC-4CB8-8BFE-443A29FFB3D6} - System32\Tasks\{7AA62B81-9921-4051-8BD4-1600A6FBD91B} => pcalua.exe -a C:\Users\aszymanska.CORE1\Downloads\5016_5020_drivers\Setup.exe -d C:\Users\aszymanska.CORE1\Downloads\5016_5020_drivers
Task: {FD4067B3-E551-451F-8664-880788F36A62} - System32\Tasks\{AC1A2D8D-C6EF-47E3-866C-87E7E8A4B43A} => pcalua.exe -a C:\Users\aszymanska.CORE1\AppData\Local\Temp\Temp1_5016_5020_drivers.zip\Setup.exe
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#10
#11

Nie wiem, bo tego nie widać w logu.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Hosts:
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST