Chessgenius86 Opublikowano 19 Lutego 2015 Zgłoś Udostępnij Opublikowano 19 Lutego 2015 Witam Ciągle wyskakują reklamy w Firefox'ie i następują przekierowania na inne strony. AdwCleaner wykrył "Strong Signal" i go usunął ale powyższy problem pozostał. Logi z FRST i OTL poniżej. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Rucek Opublikowano 19 Lutego 2015 Zgłoś Udostępnij Opublikowano 19 Lutego 2015 Sprobuj jeszcze zrobic log GMER. Tutaj masz instrukcje: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?do=findComment&comment=318 Odnośnik do komentarza
Chessgenius86 Opublikowano 19 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2015 Jak tylko laptopik wróci w moje ręce(może minąć kilka dni) to spróbuję wykonać ten log. Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2015 Zgłoś Udostępnij Opublikowano 19 Lutego 2015 Logi z przestarzałego OTL nie są już obowiązkowe i je usuwam. W Firefox jest adware Strong Signal, szczątki tego adware są również w innych częściach systemu. Do wdrożenia następujące działania: 1. Odinstaluj program DriverDoc wątpliwego producenta "Solvusoft Corporation". 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150217 HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150217 BHO: No Name -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> No File CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2014-12-09] CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{08244EE6-92F0-47F2-9FC9-929BAA2E7235}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{4E77131D-3629-431C-9818-C5679DC83E81}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path C:\Program Files\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\McAfee C:\Users\Blysku\Downloads\adwcleaner*.exe C:\Users\Blysku\Downloads\wlsetup-web*.exe CMD: for /d %f in (C:\Users\Blysku\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W systemie są dwa konta: ==================== Accounts: ============================= Blysku (S-1-5-21-859423121-132849420-3883132106-1001 - Administrator - Enabled) => C:\Users\Blysku Błysku (S-1-5-21-859423121-132849420-3883132106-1000 - Administrator - Enabled) => C:\Users\Błysku Logi pochodzą z konta Blysku - czy to drugie jest używane? Jeśli nie, to je usuń. Jeśli jednak tak, to wymagane raporty FRST (z Addition, ale bez Shortcut) będąc zalogowanym na każdym koncie po kolei (poprzez pełny restart komputera a nie Wyloguj czy przełącz użytkownika). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj narzędzia ponownie, chodzi o wyniki poprzedniego usuwania) Odnośnik do komentarza
Chessgenius86 Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Czy log GMER nadal potrzebny? W międzyczasie na stronie startowej przeglądarki pojawiło się Key-Find.com i w ukrytych ikonach w zasobniku Search Protect. Wykonałem powyższe kroki. Oba konta używane. Logi poniżej. Addition.txt Fixlog.txt FRST.txt AdwCleanerR0.txt AdwCleanerS0.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Log z GMER na wszelki wypadek możesz podać. No cóż, key-find z protectorem ustawień nabyłeś z serwisu dobreprogramy.pl, którego nazwa w ogóle już nie odbija jakości, częstując się ich Asystentem pobierania: KLIK. Na dysku widać nie budzący wątpliwości plik "Asystenta" i zaraz po nim pojawienie się komponentów "protectora": 2015-02-23 07:35 - 2015-02-23 07:35 - 00000000 ____D () C:\ProgramData\IHProtectUpDate 2015-02-23 07:35 - 2015-02-23 07:35 - 00000000 ____D () C:\Program Files\XTab 2015-02-23 07:33 - 2015-02-23 07:33 - 00710792 _____ (App Web ) C:\Users\Błysku\Downloads\Freemake-Video-Converter(20113)-dp.exe AKCJA NA KONCIE Blysku: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll (Thinknice Co. Limited) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.key-find.com/?type=sc&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Blysku\AppData\Roaming\Mozilla\Firefox\Profiles\2zl3p4u4.default-1424684247287\extensions\fftoolbar2014@etech.com CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Blysku\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File Task: {52E057F4-A6A3-4474-A62A-5CE529D9B68D} - System32\Tasks\{B6E1F1A2-555F-454A-8977-9112DE579C2D} => pcalua.exe -a C:\Users\Błysku\AppData\Roaming\key-find\UninstallManager.exe -c -ptid=cor C:\Program Files\Opera C:\Program Files\XTab C:\ProgramData\IHProtectUpDate C:\Users\Błysku\AppData\Local\Opera Software C:\Users\Błysku\AppData\Roaming\Opera Software C:\Users\Błysku\Downloads\*(*)-dp*.exe CMD: sc config WinDefend start= demand EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Ponownie zresetuj Firefox. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. AKCJA NA KONCIE Błysku: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-859423121-132849420-3883132106-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150223 HKU\S-1-5-21-859423121-132849420-3883132106-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} FF HKU\S-1-5-21-859423121-132849420-3883132106-1000\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{08244EE6-92F0-47F2-9FC9-929BAA2E7235}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{4E77131D-3629-431C-9818-C5679DC83E81}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie fixlog.txt. 2. Na tym koncie także zresetuj Firefox. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Chessgenius86 Opublikowano 9 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2015 Na koncie Błysku nadal Key-find.com się pojawia. Pełny log z GMER poniżej. http://wklej.org/id/1658050/ Fixlog.txt FRST.txt Fixlog.txt FRST.txt gmerlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Marca 2015 Zgłoś Udostępnij Opublikowano 18 Marca 2015 Wszystko wykonane na obu kontach. Na koncie Błysku w ogóle nie widzę żadnych przekierowań Key-find.com. Gdzie to konkretnie obserwujesz - w IE czy Firefox, przy starcie przeglądarki czy później, w których miejscu (strona startowa, nowa karta, wyszukiwarka)? Zrób mi nowy log FRST Shortcut. Odnośnik do komentarza
Chessgenius86 Opublikowano 17 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 17 Kwietnia 2015 Jak odpalę Firefox, strona startowa? Logi poniżej. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się