"Dodatkowe" reklamy w przeglądarkach


(graphdesign) #1

Proszę o pomoc w pozbyciu się nadprogramowych reklam w przeglądarkach. Pojawiły się (prawdopodobnie) po podłączeniu do komputera czytnika e-booków. Dwa tygodnie temu miałem inny problem (również po podłączeniu czytnika" - tzw. wirus policja, który przekierowywał każdą stronę w przeglądarkach. Po sformatowaniu dysku w czasie instalacji czystego systemu problem występował nadal, pomógł Combofix, który usunął jakiś wpis mbr0 i tcpip. Wczoraj podłączyłem czytnik ponownie i mam reklamy nad stronami, da się je zablokować adblockiem ale chciałbym się świństwa pozbyć. Reklamy są w IE oraz Chrome, nie ma ich w FF, najgorzej jest w IE. System przeskanowany Pandą, Avastem, ADW, MBAM - nic nie wykryły. Combofix usunął ponownie tcpip.reg ale nic to nie dało.

 

Poniżej logi z FRST

 

http://www.wklej.org/id/1503189/

 

http://www.wklej.org/id/1503191/

 

I jeszcze jedno pytanie - ponieważ podejrzewam czytnik - jak mogę z niego pozbyć się świństwa.


(Atis) #2

Zainfekowany jest router:

http://forum.dobreprogramy.pl/wirus-reklama-amazon-t486597/


(graphdesign) #3

Dzięki wielkie, zabezpieczyłem router, zmieniłem DNS-y na bezpieczne,  ciacha wykasowane, jest OK. Inna sprawa, że muszę go wymienić bo jest podatny na ataki a firmware poprawionego nie wydali. 

Ja nawet podejrzewałem, że to coś w routerze, dzwoniłem nawet do tepsy ale koleś z neostrady twierdził, że to NA PEWNO nie router.

Jeszcze raz dziękuję, przy okazji tego problemu poznałem chyba większość antywirusów, szczepionek i skanerów ;


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
CHR HomePage: Default -> hxxp://search.conduit.com/?ctid=CT3321897&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=4&UP=SP2C3A3CEA-75CA-400E-B6C9-346BCDA8C2B5&SSPV=
CHR StartupUrls: Default -> "hxxp://search.conduit.com/?ctid=CT3321897&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=4&UP=SP2C3A3CEA-75CA-400E-B6C9-346BCDA8C2B5&SSPV=", "", "hxxp://www.google.com/"
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&gs_ri={google:suggestRid}&xssi=t&q={searchTerms}&{google:inputType}{google:cursorPosition}{google:currentPageUrl}{google:pageClassification}{google:searchVersion}{google:sessionToken}{google:prefetchQuery}sugkey={google:suggestAPIKeyParameter}
C:\AdwCleaner
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\48473806.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\48473806.sys => ""="Driver"
EmptyTemp:

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST


(graphdesign) #5

Zrobione, dziękuję, nie umiałem tego conduita usunąć w żaden sposób już kiedyś.

 

Jednego klucza nie znalazł:

"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00avast" => Key deleted successfully.
"HKCR\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}" => Key not found.
"HKLM\SOFTWARE\Policies\Google" => Key deleted successfully.
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\\Default => Value was restored successfully.
Chrome HomePage deleted successfully.
Chrome StartupUrls deleted successfully.
Chrome DefaultSuggestURL deleted successfully.
C:\AdwCleaner => Moved successfully.
"HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\48473806.sys" => Key deleted successfully.
"HKLM\System\CurrentControlSet\Control\SafeBoot\Network\48473806.sys" => Key deleted successfully.
EmptyTemp: => Removed 505.1 MB temporary data.


The system needed a reboot.

Dobry jesteś w te klocki z tego co widzę na forum…