kaktus900 Opublikowano 17 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 17 Kwietnia 2015 Szanowna Picasso Chcialbym z gory przeprosic za brak polskich znakow ale pisze z angielskiej wersji Windows. Nie jestem zbyt biegly w tematyce IT ale mam nadzieje ze uda mi sie przekazac wszystkie najwazniejsze informacje. Kiedy we wtorek (14.04.15) rano wlaczylem laptopa, moj program antywirusowy (Panda Internet Security 2014) wykryl I usunal lub poddal kwarantannie 7 wirusow Trj/Genetic.gen jeden po drugim. (Niestety, w trakcie pisania tego posta probujac skopiowac raporty tych wirusow okazalo sie ze wszystkie raporty zostaly wyczyszczone I nie moge podac dokladnie gdze sie te Trojany znajdowaly). Pozniej kiedy polaczylem sie z internetem I wpisalem cos w przegladarke google, momentalnie zmienily sie wyniki wyszukiwania I pojawilo sie duzo linkow do reklam I innych podejrzanych stron. Po paru sekundach, otwierala sie inna strona w nowej zakladce na ktorej bylo napisane ze moj laptop jest zainfekowany wirusem I ze powinienem zadzwonic pod podany numer. Wylaczylem przegladarke (Firefox) I probowalem tego samego na innych przegladarkach (Opera I Google Chrome) ale dzialo sie to samo tylko strony otwierajace sie w nowych zakladkach sie zmienialy. Przyklad jednej z tych stron to: hxxp://pc-errors-check5055z1.com/Alert-Warning-PC-Problems-UK/index.php?ip=82.5.153.176&num=%280800%29-051-3311 Sprobowalem poradzic sobie z tym problemem uzywajac programu Malwarebytes Anti-Malware I skan tym programem wykryl I poddal kwarantannie 56 roznego rodzaju problemow (log skanu dodany w zalaczniku). Niestety problem nie zostal rozwiazany. Nastepnie sprobowalem rozwiazac ten problem uzywajac SUPERAntispyware ktory znalazl I usunal 156 'Tracking Cookie' (log skanu dodany w zalaczniku). To tez nie rozwiazalo problemu. Nastepnie wykonalem kolejny gruntowny skan systemu programem antywirusowym ktory tym razem wykryl I usunal lub poddal kwarantannie wirusy Trj/Genetic.gen I Trj/Generic.pcc. To tez nie rozwiazalo problemu. W srode rano zrobilem gruntowny skan programem antywirusowym ktory juz nic nie wykryl, jednakze, problem pozostal. Oprocz uciazliwego wyskakiwania niechcianych stron I zmieniania wynikow wyszukiwania, uzywanie internetu jest bardzo powolne jak I caly system bardzo spowolnial. Logi FRST I GMER zostaly wykonane dzisiaj (17.04.15) I dodane do zalacznikow. Z gory dziekuje za pomoc. Mam nadzieje ze uda sie uratowac moj laptop gdyz przygotowuje sie do koncowych egzaminow na studiach I jest mi bardzo potrzebny. Pozdrawiam Grzegorz Addition.txt FRST.txt GMER log.txt Malwarebytes log.txt Shortcut.txt SUPERAntispyware scan log 14.04.15.txt Odnośnik do komentarza
picasso Opublikowano 20 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 20 Kwietnia 2015 Notuję następujące problemy adware w przeglądarkach: - Firefox zainfekowany adware DiscountExt. - Google Chrome przekonwertowane przez adware MultiPlug do wersji "developerskiej" i na bank tam było lub jest jakieś niewidoczne w logu dodatkowe rozszerzenie adware. Wymagana reinstalacja od zera. - Opera ma zainstalowane rozszerzenie Zenmate. Jeśli to wersja darmowa, serwuje reklamy, które mogą tworzyć "overlay": KLIK. When using ZenMate, we may display in the framework of our free services advertisements in your browser or smartphone which are generated by us or by third party providers. These advertisements may overlay other elements shown on your screen. Ale spowolnienie sieci to może być z całkiem innej przyczyny, tzn. aktywność Panda Internet Security 2014 i doinstalowanych dodatkowych skanerów. Do przeprowadzenia następujące akcje: 1. Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 2. Google Chrome: Wyeksportuj tylko zakładki. Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, zaznaczając podczas deinstalacji Usuń także dane przeglądarki. 3. W Operze odinstaluj Zenmate, jeśli to wersja darmowa serwująca reklamy. 4. Przez Panel sterowania odinstaluj dodatkowe skanery, stare wersje, zbędniki: Acrobat.com, Bitdefender 60-Second Virus Scanner, Bonjour, Java 7 Update 71, SUPERAntiSpyware. Sugeruję też przewertować firmowe oprogramowanie Acer i odinstalować co nie jest używane, co obniży liczbę uruchamianych procesów - np. CyberLink PowerDVD 9, MyWinLocker Suite, Norton Online Backup, wszystkie gry Oberon, pakiet Live Essentials. 5. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> {1C21D719-C031-482D-A625-A9A98863372B} URL = Toolbar: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> No Name - {30CEEEA2-3742-40E4-85DD-812BF1CBB83D} - No File HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bit Task: {EEB95C0A-9515-4DC1-B7D6-9E93B520CFB0} - System32\Tasks\{297C785B-E46A-4172-BE39-1E59FADA07D0} => pcalua.exe -a "C:\GOG Games\Planescape Torment\Setup-GhostDog's-PST-UI.exe" -d "C:\GOG Games\Planescape Torment" Task: {F3B69E76-FCEB-42A9-88BE-72AC309B2B6C} - System32\Tasks\{3F25AC42-5546-4903-AC1C-E71A6801619F} => pcalua.exe -a E:\GraphPad.Prism.v5.01.Retail.Incl.Keymaker-ZWT\setup.exe -d E:\GraphPad.Prism.v5.01.Retail.Incl.Keymaker-ZWT S3 AmUStor; \SystemRoot\system32\drivers\AmUStor.SYS [X] C:\Program Files (x86)\ActiveDiscount C:\Program Files (x86)\AdDToThis C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\SpaceCCoeuPonuApp C:\Program Files (x86)\The Key for YouTube C:\ProgramData\*.bdinstall.bin C:\ProgramData\{6102b12a-c37a-1cde-6102-2b12ac37c4ab} C:\ProgramData\{c5a24645-6934-8e8c-c5a2-246456931915} C:\ProgramData\2609058157272681152 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Temp C:\Users\Kaktus\AppData\Roaming\appdataFr3.bin C:\Users\Kaktus\AppData\Roaming\Microsoft\Word\Final%20Year%20project%20report%20(draft)304393153058117901\Final%20Year%20project%20report%20(draft).docx.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy. Odnośnik do komentarza
kaktus900 Opublikowano 22 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 22 Kwietnia 2015 Bardzo dziekuje za pomoc. Jak narazie Firefox dziala poprawnie, tylko raz sie sam wylaczyl. Odinstalowalem sugerowane programy, Google Chrome I ZenMate z Opery która teraz tez dziala bez zarzutow. Zalaczam logi z FRST. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
kaktus900 Opublikowano 26 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2015 Witam ponownie, Przed chwilą zauważyłem ponowienie infekcji Firefoxa przez adware DiscountExt z tymi samymi symptomami co poprzednio. Wczoraj streamowałem seriale ze strony www.zobaczto.tv i przed pierwszą infekcją też streamowałem z tej strony. Czy to może być spowodowane streamowaniem z tej strony czy to tylko przypadek? Wczoraj ściągnąłem także program Hola Better Internet, jeśli dobrze pamiętam, ze strony www.softonic.com lub coś podobnego. Czy to może być przez śćiągnięcie tego programu? Czy mogę użyć solucji do poprzedniej infekcji czy do tej infekcji będzie potrzebna nowa solucja? Załączam logi FRST. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 Tak, owszem widać adware DiscountExt w Firefox. Nie wiadomo skąd to się wzięło. Nie jestem w stanie się wypowiedzieć na temat www.zobaczto.tv, ale nie wykluczam tego jako źródła. Instalator Hola raczej nie powinien mieć związku, ale wspominasz Softonic (o ile uruchomiono wstrętny "Softonic Downloader"). Akcje do przeprowadzenia: 1. Powtórz te operacje w Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
kaktus900 Opublikowano 7 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2015 Bardzo dziękuję za pomoc, Firefox znowu działa Załączam logi FRST. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 Akcje pomyślnie wykonane. Teraz: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
kaktus900 Opublikowano 7 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2015 Załączam log AdwCleaner. AdwCleanerR0.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się