Mozilla - niechciane zakładki z reklamami, zgłoszony przypadek oszustwa

[czerkaski]

Witam

 

Mam nastepujacy problem

Za kazdym razem po uruchomieniu systemu i pierwszym wlaczeniu przegladarki program przez chwile nieodpowiada po czym wyswietlaja mi sie zakladki ktore teoretycznie antywirus avg blokuje, daje komunikat ze zgloszono probe oszustwa i usuwa zagrozenie ale niechciane zakładki zawsze się otwieraja

 

Adresy z przegladarki są nastepujace :

hxxp://s.m2pub.com/player.html?a=12506768&context=c16411113&size=800x600&rt=popunder&ci=10&r=http%3A%2F%2Fstatic.onlinefastpaydayloan.com%2Fac%2F%3Fz%3D1%26ilmernzkvtaztusnt%3D001CBF0D2BF99905%26pu%3D%26s%3D%26nm%3Dilmernzkvtaztusnt%26t%3D&u=http%3A%2F%2Fstatic.onlinefastpaydayloan.com%2Fac%2F%3Fz%3D1%26ilmernzkvtaztusnt%3D001CBF0D2BF99905%26pu%3D%26s%3D%26nm%3Dilmernzkvtaztusnt%26t%3D

 

lub

 

 

hxxp://static.webimpresion.com/ac/?z=1&ilmernzkvtaztusnt=001CBF0D2BF99905&pu=&s=&nm=ilmernzkvtaztusnt&t=

 

zalaczam logi z systemu windows vista 32 bity

 

Z gory dziekuje za pomoc

pozdrawiam

Extras.Txt

OTL.Txt

[picasso]

Zestaw logów niekompletny. W skład obowiązkowych logów wchodzą także FRST i GMER. Uzupełnij.

 

 

 

.

[czerkaski]

W zalaczniku przesylam uzupelnione logi

 

AVG podaje mi jeszcze komunikat o wirusie js/redir

gmer.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Nie podałeś w czym (konkretna ścieżka dostępu) AVG widzi to zagrożenie. W systemie widzę zadania adware w Harmonogramie, ale poza tym to brak innych obiektów. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {0D7B42C2-667F-49E4-8FA4-08A2822C19CD} - System32\Tasks\DSite => C:\Users\Ania\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-06-02] () 
Task: {CA14931F-2E4B-462F-8C61-34891E7A633D} - System32\Tasks\Digital Sites => C:\Users\Ania\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe [2013-04-12] () 
Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\Ania\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\Windows\Tasks\DSite.job => C:\Users\Ania\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE 
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&tt=gc_&babsrc=SP_ss&mntrId=03E7001A6BF3279C
BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Ania\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
FF Plugin: @divx.com/DivX Browser Plugin,version=1.0.0 - C:\Program Files\DivX\DivX Web Player\npdivx32.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
CHR HKLM\...\Chrome\Extension: [kiplfnciaokpcennlkldkdaeaaomamof] - C:\Users\Ania\AppData\Local\Torch\Plugins\TorchPlugin.crx [2013-02-10]
S2 CLTNetCnService; "C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon [X]
S3 stllssvr; "C:\Program Files\Common Files\SureThing Shared\stllssvr.exe" [X]
R1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [371248 2009-02-25] (Symantec Corporation)
S3 nmwcd; system32\drivers\ccdcmb.sys [X]
S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [X]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [X]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X]
C:\Program Files\Common Files\Symantec Shared
C:\Users\Ania\AppData\Local\Temp*.html
C:\Users\Ania\AppData\Local\Torch
C:\Users\Ania\AppData\Roaming\Babylon
C:\Users\Ania\AppData\Roaming\DigitalSites
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj: ACE Mega CoDecS Pack (potwornie stary pakiet kodeków), Adobe Reader 8.1.3, Adobe Shockwave Player 11 (stare wersje), Akamai NetSession Interface (zbędny), Update for Codec Pack (adware) i jednego z antywirusów (obiecnie byt dużo, aż dwa).

 

3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Norton 360 > Dalej.

 

4. Wyczyść przeglądarki:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

- Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[czerkaski]

W zalaczeniu przesylam logi po wykonaniu wszystkich krokow.

Co do lokalizacji js/redir to antywirus podaje nastepujaca :

 

file:C:\Users\Ania\AppData\Local\Mozilla\Firefox\Profiles\2xvp2eqe.default\Cache\E\18\86B6Bd01

AdwCleanerS0.txt

fixlist.txt

FRST.txt

[picasso]

Ależ co Ty mi tu podajesz: plik fixlist.txt (czyli mój skrypt) a nie fixlog.txt (wyniki przetwarzania skryptu). I wg raportu końcowego FRST kompletnie nie wykonany skrypt FRST. Co Ty właściwie zrobiłeś? I w związku z tym, że skrypt nie został wykonany reszta zadań poszła na opak. Zanim podam działanie poprawkowe (skrypt trzeba dososować pod nową sytuację) chcę się dowiedzieć z czym był problem.

 

 

Co do lokalizacji js/redir to antywirus podaje nastepujaca :

 

file:C:\Users\Ania\AppData\Local\Mozilla\Firefox\Profiles\2xvp2eqe.default\Cache\E\18\86B6Bd01

Wyczyść cache Firefox z poziomu opcji przeglądarki.

 

 

 

.

[czerkaski]

problem w tym ze nie zrobilem punktu pierwszego tak jak potrzeba wiec wynika ze zrobilem wszystko zgodnie z instrukcja ale od punktu drugiego