Skocz do zawartości

Problem z włączającymi się stronami dla dorosłych


Rekomendowane odpowiedzi

Witam, od pewnego czasu mam problem jak powyżej, Używam przeglądarki Google Chrome, wchodząc na którąkolwiek stronę internetową, po pierwszym kliknięciu na danej stronie wyskakuje mi nowe okienko ze stroną: 

hxxp://adultyum.info/ .

Próbowałem sobie poradzić z tym problemem za pomocą programów, które były wymieniane na stronach internetowych, gdzie szukałem pomocy (nie będę ich wymieniał, gdyż moje działania ograniczały się do przeczytania, w jaki sposób moge poradzić sobie z problemem, w żaden sposób nie próbowałem ingerować w swój komputer, gdyż nie mam wystarczającej wiedzy ani zaufania do przypadkowych użytkowników. Jedynie pobrałem programy, które były uznane jako bezpieczne i skuteczne) :

SpyBot - Search and Destroy,

Malwarebytes Anti-Malware.

Skanowałem komputer oczywiście także za pomocą własnego Antywirusa (Avast).

Wprawdzie Spybot i Anti-Malware znalazły kilka infekcji, lecz usunięcie potencjalnie niebezpiecznych plików niestety nie miało żadnego wpływu na mój problem.

Nie wiem, czy ma to znaczenie, ale również korzystam z programów:

Ccleaner,

AppCleaner,

Ashampoo WinOptimizer 10,

DLL-Files.com FIXER,

Mam nadzieję, że temat został dodany prawidłowo i zawarłem wszelkie potrzebne informacje. 

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Problem z pornograficznymi pop-upami wynika z infekcji routera - pierwszy adres jest ukraiński: KLIK.

 

Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8

 

Tu nie pomoże żaden skaner, ani żadne naprawy spod Windows, infekcja jest na poziomie innego urządzenia, nie w systemie per se. Poboczne sprawy:

- Adware nie zostało dokładnie wyczyszczone - nadal są przekierowania istartsurf.com.

- W systemie są ślady używania programu-naciągacza z czarnej listy SpyHunter, kolejny kwiatek to śmieć Dll-Files.com Fixer.

 

 

Wykonaj następujące działania:

 

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Przez Dodaj/Usuń programy odinstaluj:

- Śmieciowe programy Dll-Files.com Fixer wersja 3.0.81.2643 i NetPanel (ankiety Gemiusa).

- Stare dziurawe wersje Adobe Flash Player 13 Plugin, Adobe Flash Player 9 ActiveX, Adobe Shockwave Player 12.0, Java™ 6 Update 20, Java™ SE Development Kit 6 Update 25, OpenOffice.org 3.2 oraz przestarzały SpyBot (słaby program, przestarzała konstrukcja, zastępuje go nowoczesny Malwarebytes Anti-Malware).

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00
ShortcutWithArgument: C:\Documents and Settings\komputer\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00
ShortcutWithArgument: C:\Documents and Settings\komputer\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00
ShortcutWithArgument: C:\Documents and Settings\komputer\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00
StartMenuInternet: chrome.exe - Chrome.exe
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\S-1-5-21-796845957-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
HKU\S-1-5-21-796845957-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" 
SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKU\S-1-5-21-796845957-329068152-1801674531-1003 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{1FAF8C54-31AE-FA45-9103-120A098EDA98}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{3A3A3278-4E97-0008-4E1B-6DDDDD51BE9F}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{ADCC7130-C0AA-41F2-7268-D6F2DB5DEC02}\InprocServer32 -> No File Path
CHR HKLM\...\Chrome\Extension: [nonnbhnjfhfcpmfdegkohnemghnglgpp] - C:\Documents and Settings\All Users\Dane aplikacji\ADDICT-THING\nonnbhnjfhfcpmfdegkohnemghnglgpp.crx [Not Found]
CHR HKU\S-1-5-21-796845957-329068152-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jmlmanpnnbnpabnonijjmnmplnbfcgbf] - C:\Program Files\NetPanel\chromegem.crx [2011-12-25]
FF HKU\S-1-5-21-796845957-329068152-1801674531-1003\...\Firefox\Extensions: [gemgecko@gemius.com] - C:\Program Files\NetPanel\gemgecko_ext
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
Startup: C:\Documents and Settings\komputer\Menu Start\Programy\Autostart\OPTISetup.lnk
BootExecute: autocheck autochk * ROBoot \??\C:\WINDOWS\system32\ASOROSet.binDfSDKBt
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
S3 WinRing0_1_2_0; \??\C:\Program Files\Razer\Razer Game Booster\Driver\WinRing0.sys [X]
AV: STOPzilla AntiVirus (Disabled - Up to date) {271A6322-9DAA-4E02-932D-7EDF389FFCF0}
C:\Documents and Settings\All Users\Dane aplikacji\STOPzilla!
C:\Documents and Settings\All Users\Dane aplikacji\{41dd2fbb-aaaf-3438-41dd-d2fbbaaabeee}
C:\Documents and Settings\All Users\Dane aplikacji\f692c51800004be1
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\komputer\Dane aplikacji\Logs
C:\Program Files\NetPanel
C:\Program Files\STOPzilla
C:\WINDOWS\46B04D534E344388B6EE80FAB66AEF9B.TMP
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\system32\Drivers\etc\hosts.*.backup
Hosts:
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GB_UPDATE" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GEST" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMMON " /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetPanel" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. W Google Chrome usuń całkowicie z dysku poprzedni profil zainfekowany adware - obecnie korzystasz z drugiego czystego profilu.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Zrobiłem wszystko, załączam potrzebne pliki, jednakże mam pytanie.

Zabezpieczyłem swój router dokładnie w sposób opisany na podanych stronach, zauważyłem jednak, że po wpisaniu komendy cmd.exe, a następnie polecenia ipconfig/all, widnieje podany adres Google przy "Serwery DNS", jednakże poniżej widnieją dwa wiersze:

  • Dzierżawa uzyskana:  23 lutego 2015
  • Dzierżawa wygasa: 26 lutego 2015

Chciałem się dowiedzieć czy jest to jakimś problemem, czy tak to powinno wyglądać, bo jestem zupełnie zielony w tym temacie.  :D

Rozumiem, że:

 

4. W Google Chrome usuń całkowicie z dysku poprzedni profil zainfekowany adware - obecnie korzystasz z drugiego czystego profilu.

 

oznacza zwyczajne ustawienie strony domyślnej (google), wyglądu oraz wyszukiwarek? Czy powinienem może zrobić coś jeszcze?

I jeszcze jedno pytanie, dotyczące używanych przeze mnie programów. Chciałem sie dowiedzieć, czy Ccleaner i Ashampoo Winoptimizer 10 to programy bezpieczne i przydatne, czy raczej powinienem jest usunąć, gdyż są zbyteczne. Jeśli tak, to jaki inny program byłby dobry do systematycznego czyszczenia komputera?    

Dziękuję bardzo za pomoc :)

Fixlog.txt

FRST.txt

Odnośnik do komentarza

Wszystko zrobione za wyjątkiem:

 

 

oznacza zwyczajne ustawienie strony domyślnej (google), wyglądu oraz wyszukiwarek? Czy powinienem może zrobić coś jeszcze?

Nie, nie o to chodzi. Podałam, by usunąć poprzedni profil, czyli w Google Chrome: menu Ustawienia > Ustawienia > Osoby > podświetl stary profil (nie pomyl go z bieżącym) i Usuń. Czy widzisz tam więcej niż jedną "Osobę"?

 

 

Chciałem się dowiedzieć czy jest to jakimś problemem, czy tak to powinno wyglądać, bo jestem zupełnie zielony w tym temacie.

Wszystko w porządku.

 

 

I jeszcze jedno pytanie, dotyczące używanych przeze mnie programów. Chciałem sie dowiedzieć, czy Ccleaner i Ashampoo Winoptimizer 10 to programy bezpieczne i przydatne, czy raczej powinienem jest usunąć, gdyż są zbyteczne. Jeśli tak, to jaki inny program byłby dobry do systematycznego czyszczenia komputera?

Nie mam specjalnych zastrzeżeń, programy możesz sobie oczywiście zostawić. Ale dodam, że uważam: im mniej cudownych optymalizacji, tym zmniejsza się ryzyko przeinwestowania i skutków ubocznych. Tu było wielu użytkowników, którzy próbując optymalizacji zaszkodzili sobie (wyłączyli za dużo, wyczyścili za dużo z rejestru). Proste ograniczenie ilości uruchamianych procesów, czyszczenie Tempów / niepotrzebnych plików oraz defragmentacja dysku to podstawowe działania zdrowotne. Ale już zbyt przedsiębiorczym czyszczeniem rejestru można sobie zaszkodzić - takie moduły są automatyczne i nie są nieomylne.

Odnośnik do komentarza

Nie było drugiego profilu, jednakże dla pewności usunąłem obecny i stworzyłem od nowa. Wszystko działa, nie wyskakują już żadne strony, mam też wrażenie, że poprawiła się wydajność systemu, jakby wszystko lepiej chodziło, ale może mi się tylko wydaje :P Dziękuję jeszcze raz serdecznie za pomoc i gratuluję niesamowitej wiedzy i umiejętności. :)

Odnośnik do komentarza

Tu jeszcze nie koniec akcji. Mnie nie chodziło o usuwanie obecnego profilu, bo to nie rozwiązuje sprawy którą mam na widoku. Na dysku był wykryty stary profil z adware oraz bieżący. Usunięcie bieżącego tworzy tylko kolejne repliki i mnoży katalogi, nie likwiduje folderu pierwszego odrzuconego profilu. W związku z tym, że utworzyłeś kolejny profil proszę o nowy log FRST z opcji Scan (bez Addition i Shortcut).

Odnośnik do komentarza

Tak, do usunięcia nadal ten martwy profil z adware. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\Documents and Settings\komputer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...