Shopndrop, coupons itd


(Aravelek) #1

Hej,

 

od jakiegoś czasu mam problem z wyświetlanymi reklamami podpisanymi jako coupons. W Chrome mimo usuwania instaluje się ponownie po zamknięciu i otworzeniu rozszerzenie "shopndrop".

Były też jakieś programy w "dodaj usun programy", ale usunąłem je i nie wracają na ten moment.

 

FRST (musialem kilka wpisów usunać, bo tam był pliki klientów, xls, ppt, csv, pdf)

http://wklej.to/dxROk

 

Addition

http://wklej.to/C5t7J

 

Shrtct

http://wklej.to/s3BqC

 

Pomożecie?


(Atis) #2

Odinstaluj Spybot - Search & Destroy i Connectify.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
BootExecute: autocheck autochk * sdnclean64.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
CHR Extension: (shopndrop) - C:\ProgramData\hhjedipfjnifcfmkiphfgaedlomopogo\ [2014-06-06]
C:\AdwCleaner
C:\ProgramData\hhjedipfjnifcfmkiphfgaedlomopogo
C:\ProgramData\McAfee
C:\ProgramData\3662f4937ebc104
Task: {3065DE83-1F52-463B-AE60-80C4E544BFAB} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDImmunize.exe
Task: {B46E4E24-9B54-4218-A901-6FBB46F33FBF} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDScan.exe
Task: {E026CEB4-7FC7-4AD9-BC31-9EDE3BA14776} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDUpdate.exe
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Aravelek) #3

Hej!

 

dzięki za szybką reakcje!

Poniżej logi:

 

Fixlog

http://wklej.to/FN1Qt

 

FRST

http://wklej.to/2bFdy


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
C:\Windows\System32\Tasks\Safer-Networking
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST


(Aravelek) #5

Czy to już wszystko?

Już posprzątane? :slight_smile:

 

Wyrzuciłem też wcześniej wszystkie pozycje z adobe flash, mogę ponownie zainstalować?


(Atis) #6

Tak.

Flash Player 16.0.0.235 ActiveX

Flash Player 16.0.0.235 Plugin


(Aravelek) #7

Dziękuję za pomoc.

 

Jak można nauczyć czytać się te logi poprawnie i tworzyć fixy? są jakieś materiały czy tylko doświadczenie?


(Atis) #8

Musisz się samodzielnie nauczyć rozpoznawać szkodliwe wpisy:

http://www.fixitpc.pl/topic/23904-frst-tutorial-obs%C5%82ugi-farbar-recovery-scan-tool/


(Aravelek) #9

Hej,

 

niestety problem dalej jest, ale zmienił troche charaketer.

Obecnie po kliknięciu jakiegoś linka czy to w gmail, czy na jakiejś stronie internetowej podmieniany jest adres url i ładuje się albo sztuczna strona z pobranie aktualenej javy albo aktualnego flasha. czesto też otwierają sie bukmacherzy oraz gry.

 

Proszę o pomoc.

Poniżej logi

 

shrtct

http://wklej.to/dT5b6

 

add

http://wklej.to/pRBBa

 

FRST

http://wklej.to/wGu8y


(Atis) #10

W logu nic nie widać.

Fałszywy Flash lub Java to najczęściej oznacza zainfekowany router.

Resetowanie ustawień przeglądarki

Jak odinstalowywać rozszerzenia w Firefox


(Aravelek) #11

Hej,

 

nie sadzę aby to był router bo sytuacja powtarza się w dwóch biurach oraz w domu.

Zresetowałem ustawienia chrome, zobaczmy czy pomoże.Muszę sprawdzić też inne przeglądarki.

 

Oprócz podmiany redirectów podmieniana jest zawartość popularnych placementów reklamowych. Zaczyna być ładowana reklama z adserwera po czym nagle zmieniana jest jej zawartość na jakaś reklamę gry flashowej albo cos związanego z gamblingiem. 


(Atis) #12

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt


(Aravelek) #13

Niestety nie ma takiej strony

http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe

 

skąd moge pobrac bezpiecznei te narzędzie?

 

zauważyłtem też, że przy klikaniu w link kiedy nie mam otawrtej przeglądarki otwierają się nowe karty w chrome

http://–extensions-on-chrome-urls/

http://–test-type/

http://–load-extension%3Dc/Program%20Files/Google/Chrome/Application/Extensions/chrome/app

http://–load-component-extension%3Dc/Program%20Files/Google/Chrome/Application/Extensions/chrome/man

 

macie jakieś pomysły skąd to?

 

EDIT:

nie wiem czy tam jest http:// czy dodało sie przy kopiowaniu…


(Acorus) #14

http://support.kaspersky.com/viruses/solutions?qid=208280684


(Aravelek) #15

 

dzięki. nic nie znalazł.

 

po resecie wyszukiwarki, nie ma problemu już z podmianą linków i reklam.

 

Martwią mnie już tylko te otwierane karty, macie pomysł dlaczego one się otwierają? czy reinstalka chrome pomoze?