Coupon downloader w firefox

Silene (Merial) 2014-05-18 13:01:20 UTC #1

Witam,

http://www.wklejto.pl/201344

http://www.wklejto.pl/201345

Z góry dziękuję.

Atis (Atis) 2014-05-18 14:02:17 UTC #2

Następnym razem skopiuj zawartość z notatnika i ręcznie wklej na stronie wklejto, bo gdy używasz opcji Wybierz plik to nie można tego odczytać:

http://www.wklejto.pl/txt201340

W panelu sterowania odinstaluj CouponDownloaderi McAfee Security Scan Plus

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Silene (Merial) 2014-05-18 14:47:59 UTC #3

Postaram się zapamiętać uwagę do wklejania Podmienię teraz linki.

FRST http://www.wklejto.pl/201347

Addition http://www.wklejto.pl/201346

Atis (Atis) 2014-05-18 15:10:26 UTC #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

(Cherished Technololgy LIMITED) C:\ProgramData\IePluginServices\PluginService.exe
() C:\Program Files\CouponDownloader\CouponDownloaderService.exe
() C:\Program Files\004\rqpbhevlkc32.exe
HKLM\...\Run: [eRecoveryService] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = 
SearchScopes: HKCU - {BAC91D62-474B-4F70-BBFB-C4340ABBCFC5} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3298566&CUI=UN40077362731991159&UM=2
BHO: CoupEixteNsIon - {AD2FF42D-3ACE-54ED-BF5F-4FFBCEA18406} - C:\ProgramData\CoupEixteNsIon\ndBt6.dll No File
BHO: YouTuAdBllockoer - {D448FA7F-5D1D-4D2A-2E1D-AB5B04E4227C} - C:\ProgramData\YouTuAdBllockoer\I5l.dll No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
R2 CouponDownloaderService; c:\Program Files\CouponDownloader\CouponDownloaderService.exe [691200 2014-05-01] ()
R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [704112 2014-05-08] (Cherished Technololgy LIMITED)
R2 rqpbhevlkc32; C:\Program Files\004\rqpbhevlkc32.exe [543232 2014-05-10] ()
S2 mdmxsdk; system32\DRIVERS\mdmxsdk.sys [X]
C:\AdwCleaner
C:\Program Files\CouponDownloader
C:\Program Files\Coupon Downloader
C:\_OTL
C:\ProgramData\IePluginServices
C:\Program Files\004
C:\Users\Silene\AppData\Local\Temp\*.EXE
Task: {041D551C-70B5-454A-B7C2-B2B2BF55DB33} - System32\Tasks\{360F02F9-0C50-462D-80FE-8645D53211BE} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&amp;ver=5.9.0.114&amp;LastError=404
Task: {816E37D6-29C1-4FAB-81F5-E1C2074B51EE} - System32\Tasks\{51EDF365-E89C-477B-AB9D-5C1959A7336A} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&amp;ver=5.9.0.114&amp;LastError=404
Task: {A7E9C3F0-62E9-4103-926A-AC9E039FB22B} - System32\Tasks\{14B4130A-3CC6-4BA4-BC79-7F0337D7F018} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&amp;ver=5.10.0.116&amp;LastError=404
Task: {C77F1722-CFC5-4362-AE72-C132D010B4ED} - System32\Tasks\{D6586287-23C2-4A62-889D-039926C81C64} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&amp;ver=5.9.0.114&amp;LastError=404
Task: {EB0B0FFD-7190-46CF-B240-867FC18CC3BC} - System32\Tasks\{A96CD301-9374-49A7-8856-45D87F8DF121} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&amp;ver=6.1.0.129.272&amp;LastError=404
AlternateDataStreams: C:\Windows:AstInfo
Reboot:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Silene (Merial) 2014-05-18 15:26:09 UTC #5

Chyba pomogło, bo nie widzę na forum już tych hiperłączy, wielkie dzięki!

Przesyłam:

FixLog: http://www.wklejto.pl/201355

FRST: http://www.wklejto.pl/201354

Atis (Atis) 2014-05-18 15:35:23 UTC #6

Skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania:

http://windows.microsoft.com/pl-pl/windows/delete-restore-point#1TC=windows-vista

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

Język PL > Settings > General Settings > Language > Polish

Silene (Merial) 2014-05-18 16:37:00 UTC #7

hm, ten Malwar wciąż się jeszcze instaluje (nie wiem czy coś nie zawisło, bo zatrzymał sie jakieś 2 mm przed końcem paska), trochę mu to zajmuje. Te dodatki do ff do not track me i quick start miały się zainstalować?

Atis (Atis) 2014-05-18 16:46:17 UTC #8

Podałem link i ten instalator nie zawiera żadnych dodatków.

Nie mam pojęcia skąd pobrałaś ten program?

Silene (Merial) 2014-05-18 17:36:23 UTC #9

używałam tylko linków od Ciebie, a zainstalowało się to i jeszcze jakieś śmieci. Usuwam te dodatki. Teraz zamiast strony startowej włącza mi się jakieś "http://start.qone8.com/?type=sc&ts=1400430461&from=sfpsnew2&uid=ST9500325AS_S2W92FGHXXXXS2W92FGH" wszystko zaczęło się jak weszłam w link od Malwarebytes Anti-Malware.

Malware jest w trakcie skanowania

Results of screen317's Security Check version 0.99.83 Windows Vista Service Pack 2 x86 (UAC is disabled!) Internet Explorer 9 Internet Explorer 8 Antivirus/Firewall Check: Microsoft Security Essentials avast! Antivirus Antivirus up to date! Anti-malware/Other Utilities Check: CCleaner JavaFX 2.1.1 Java 7 Update 55 Adobe Flash Player 13.0.0.214 Adobe Reader 10.1.9 Adobe Reader out of Date! Mozilla Firefox (28.0) Google Chrome 34.0.1847.131 Google Chrome 34.0.1847.137 Process Check: objlist.exe by Laurent Microsoft Security Essentials MSMpEng.exe Microsoft Security Essentials msseces.exe Malwarebytes Anti-Malware mbam.exe AVAST Software Avast AvastSvc.exe AVAST Software Avast AvastUI.exe System Health check Total Fragmentation on Drive C: %End of Log

Atis (Atis) 2014-05-18 17:56:48 UTC #10

Przestań kłamać, bo instalator Malwarebytes nie zawiera takich śmierci.

qone8.com śmieć dodawany do różnych asystentów pobierania oferowanych przez portale z oprogramowaniem.

Silene (Merial) 2014-05-18 18:12:51 UTC #11

Atis, ale ja mam powód by kłamać? Bardzo Ci dziękuję za pomoc z tym coupon downloarderem, jestem naprawdę wdzięczna, bo sama bym sobie nie poradziła, ale jak ściągałam malware przy okazji wgrał mi się qone8 i jeszcze kilka rzeczy, które od razu usnęłam, nie wiem skąd i dlaczego, bo miałam otwarte tylko forum i po kolei klikałam na linki z posta. W każdym razie udało mi się wszystko usunąć i już nie widać by włączało się coś niepożądanego. Czy mam jeszcze wykonać jakieś kroki czy skany? Malware skończył skan i przeniósł wszystko do kwarantanny.

Atis (Atis) 2014-05-18 18:46:09 UTC #12

Link prowadzi do strony producenta Malwarebytes i nie zawiera żadnych szkodliwych dodatków, bo przed chwilą zainstalowałem ten program.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pokaż nowy raport FRST i Addition.

Silene (Merial) 2014-05-18 19:56:24 UTC #13

Zrobione.

FRST: http://www.wklejto.pl/201404

Addition: http://www.wklejto.pl/201405

Zmieniając temat, polecisz jakiegoś firewall'a? Żeby się takie dziadostwo nie przypałętało znowu.

Atis (Atis) 2014-05-18 21:01:10 UTC #14

Zmień stronę startową i domyślną wyszukiwarkę:

https://support.google.com/chrome/answer/2765944?hl=pl

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [t4pc_en_3] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12692&tm=351&src=ds&p={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12692&tm=351&src=ds&p={searchTerms}
CHR Extension: (No Name) - C:\Users\Silene\AppData\Local\Google\Chrome\User Data\Default\Extensions\pelmeidfhdlhlbjimpabfcbnnojbboma [2014-05-18]
C:\AdwCleaner
C:\Users\Silene\AppData\Local\nswA466.tmp
C:\Users\Silene\AppData\Local\Temp\*.exe
Task: C:\Windows\Tasks\Opera scheduled Uninstall survey 1400432330.job => ?

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Wątpię żeby firewall zabezpieczył przed instalacją adware.

Możesz sprawdzić program program Unchecky: KLIK

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK

Silene (Merial) 2014-05-18 21:31:32 UTC #15

http://www.wklejto.pl/201419

Atis (Atis) 2014-05-18 21:58:05 UTC #16

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

FF NewTab: chrome://quick_start/content/index.html

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

Silene (Merial) 2014-05-18 22:05:13 UTC #17

Zrobione. Jeszcze raz wysłać FRST?

Atis (Atis) 2014-05-18 22:09:20 UTC #18

Nie potrzeba nowych raportów.

Silene (Merial) 2014-05-18 22:10:41 UTC #19

Rozumiem więc, że to koniec. Jeszcze raz bardzo dziękuję za pomoc i poświęcony czas!

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem