aravelek
(Aravelek)
16 Grudzień 2014 22:48
#1
Hej,
od jakiegoś czasu mam problem z wyświetlanymi reklamami podpisanymi jako coupons. W Chrome mimo usuwania instaluje się ponownie po zamknięciu i otworzeniu rozszerzenie “shopndrop”.
Były też jakieś programy w “dodaj usun programy”, ale usunąłem je i nie wracają na ten moment.
FRST (musialem kilka wpisów usunać, bo tam był pliki klientów, xls, ppt, csv, pdf)
http://wklej.to/dxROk
Addition
http://wklej.to/C5t7J
Shrtct
http://wklej.to/s3BqC
Pomożecie?
Atis
(Atis)
16 Grudzień 2014 23:22
#2
Odinstaluj Spybot - Search & Destroy i Connectify.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
BootExecute: autocheck autochk * sdnclean64.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR Extension: (shopndrop) - C:\ProgramData\hhjedipfjnifcfmkiphfgaedlomopogo\ [2014-06-06]
C:\AdwCleaner
C:\ProgramData\hhjedipfjnifcfmkiphfgaedlomopogo
C:\ProgramData\McAfee
C:\ProgramData\3662f4937ebc104
Task: {3065DE83-1F52-463B-AE60-80C4E544BFAB} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe
Task: {B46E4E24-9B54-4218-A901-6FBB46F33FBF} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe
Task: {E026CEB4-7FC7-4AD9-BC31-9EDE3BA14776} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
aravelek
(Aravelek)
17 Grudzień 2014 07:51
#3
Hej!
dzięki za szybką reakcje!
Poniżej logi:
Fixlog
http://wklej.to/FN1Qt
FRST
http://wklej.to/2bFdy
Atis
(Atis)
17 Grudzień 2014 10:15
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
C:\Windows\System32\Tasks\Safer-Networking
DeleteQuarantine:
Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST
aravelek
(Aravelek)
17 Grudzień 2014 17:29
#5
Czy to już wszystko?
Już posprzątane?
Wyrzuciłem też wcześniej wszystkie pozycje z adobe flash, mogę ponownie zainstalować?
Atis
(Atis)
17 Grudzień 2014 20:07
#6
aravelek
(Aravelek)
17 Grudzień 2014 22:50
#7
Dziękuję za pomoc.
Jak można nauczyć czytać się te logi poprawnie i tworzyć fixy? są jakieś materiały czy tylko doświadczenie?
Atis
(Atis)
18 Grudzień 2014 13:47
#8
aravelek
(Aravelek)
9 Styczeń 2015 08:41
#9
Hej,
niestety problem dalej jest, ale zmienił troche charaketer.
Obecnie po kliknięciu jakiegoś linka czy to w gmail, czy na jakiejś stronie internetowej podmieniany jest adres url i ładuje się albo sztuczna strona z pobranie aktualenej javy albo aktualnego flasha. czesto też otwierają sie bukmacherzy oraz gry.
Proszę o pomoc.
Poniżej logi
shrtct
http://wklej.to/dT5b6
add
http://wklej.to/pRBBa
FRST
http://wklej.to/wGu8y
Atis
(Atis)
9 Styczeń 2015 15:06
#10
W logu nic nie widać.
Fałszywy Flash lub Java to najczęściej oznacza zainfekowany router.
Resetowanie ustawień przeglądarki
Jak odinstalowywać rozszerzenia w Firefox
aravelek
(Aravelek)
10 Styczeń 2015 08:41
#11
Hej,
nie sadzę aby to był router bo sytuacja powtarza się w dwóch biurach oraz w domu.
Zresetowałem ustawienia chrome, zobaczmy czy pomoże.Muszę sprawdzić też inne przeglądarki.
Oprócz podmiany redirectów podmieniana jest zawartość popularnych placementów reklamowych. Zaczyna być ładowana reklama z adserwera po czym nagle zmieniana jest jej zawartość na jakaś reklamę gry flashowej albo cos związanego z gamblingiem.
Atis
(Atis)
10 Styczeń 2015 15:58
#12
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt
aravelek
(Aravelek)
13 Styczeń 2015 11:18
#13
Acorus
(Acorus)
13 Styczeń 2015 11:41
#14
aravelek
(Aravelek)
14 Styczeń 2015 07:51
#15
dzięki. nic nie znalazł.
po resecie wyszukiwarki, nie ma problemu już z podmianą linków i reklam.
Martwią mnie już tylko te otwierane karty, macie pomysł dlaczego one się otwierają? czy reinstalka chrome pomoze?