mzegar1 Opublikowano 22 Lutego 2015 Zgłoś Udostępnij Opublikowano 22 Lutego 2015 Witam, od pewnego czasu mam problem jak powyżej, Używam przeglądarki Google Chrome, wchodząc na którąkolwiek stronę internetową, po pierwszym kliknięciu na danej stronie wyskakuje mi nowe okienko ze stroną: hxxp://adultyum.info/ . Próbowałem sobie poradzić z tym problemem za pomocą programów, które były wymieniane na stronach internetowych, gdzie szukałem pomocy (nie będę ich wymieniał, gdyż moje działania ograniczały się do przeczytania, w jaki sposób moge poradzić sobie z problemem, w żaden sposób nie próbowałem ingerować w swój komputer, gdyż nie mam wystarczającej wiedzy ani zaufania do przypadkowych użytkowników. Jedynie pobrałem programy, które były uznane jako bezpieczne i skuteczne) : SpyBot - Search and Destroy, Malwarebytes Anti-Malware. Skanowałem komputer oczywiście także za pomocą własnego Antywirusa (Avast). Wprawdzie Spybot i Anti-Malware znalazły kilka infekcji, lecz usunięcie potencjalnie niebezpiecznych plików niestety nie miało żadnego wpływu na mój problem. Nie wiem, czy ma to znaczenie, ale również korzystam z programów: Ccleaner, AppCleaner, Ashampoo WinOptimizer 10, DLL-Files.com FIXER, Mam nadzieję, że temat został dodany prawidłowo i zawarłem wszelkie potrzebne informacje. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Problem z pornograficznymi pop-upami wynika z infekcji routera - pierwszy adres jest ukraiński: KLIK. Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8 Tu nie pomoże żaden skaner, ani żadne naprawy spod Windows, infekcja jest na poziomie innego urządzenia, nie w systemie per se. Poboczne sprawy: - Adware nie zostało dokładnie wyczyszczone - nadal są przekierowania istartsurf.com. - W systemie są ślady używania programu-naciągacza z czarnej listy SpyHunter, kolejny kwiatek to śmieć Dll-Files.com Fixer. Wykonaj następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Przez Dodaj/Usuń programy odinstaluj: - Śmieciowe programy Dll-Files.com Fixer wersja 3.0.81.2643 i NetPanel (ankiety Gemiusa). - Stare dziurawe wersje Adobe Flash Player 13 Plugin, Adobe Flash Player 9 ActiveX, Adobe Shockwave Player 12.0, Java 6 Update 20, Java SE Development Kit 6 Update 25, OpenOffice.org 3.2 oraz przestarzały SpyBot (słaby program, przestarzała konstrukcja, zastępuje go nowoczesny Malwarebytes Anti-Malware). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 ShortcutWithArgument: C:\Documents and Settings\komputer\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 ShortcutWithArgument: C:\Documents and Settings\komputer\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 ShortcutWithArgument: C:\Documents and Settings\komputer\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 StartMenuInternet: chrome.exe - Chrome.exe StartMenuInternet: IEXPLORE.EXE - iexplore.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-796845957-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-796845957-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-796845957-329068152-1801674531-1003 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{1FAF8C54-31AE-FA45-9103-120A098EDA98}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{3A3A3278-4E97-0008-4E1B-6DDDDD51BE9F}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{ADCC7130-C0AA-41F2-7268-D6F2DB5DEC02}\InprocServer32 -> No File Path CHR HKLM\...\Chrome\Extension: [nonnbhnjfhfcpmfdegkohnemghnglgpp] - C:\Documents and Settings\All Users\Dane aplikacji\ADDICT-THING\nonnbhnjfhfcpmfdegkohnemghnglgpp.crx [Not Found] CHR HKU\S-1-5-21-796845957-329068152-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jmlmanpnnbnpabnonijjmnmplnbfcgbf] - C:\Program Files\NetPanel\chromegem.crx [2011-12-25] FF HKU\S-1-5-21-796845957-329068152-1801674531-1003\...\Firefox\Extensions: [gemgecko@gemius.com] - C:\Program Files\NetPanel\gemgecko_ext FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k Startup: C:\Documents and Settings\komputer\Menu Start\Programy\Autostart\OPTISetup.lnk BootExecute: autocheck autochk * ROBoot \??\C:\WINDOWS\system32\ASOROSet.binDfSDKBt S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\Razer\Razer Game Booster\Driver\WinRing0.sys [X] AV: STOPzilla AntiVirus (Disabled - Up to date) {271A6322-9DAA-4E02-932D-7EDF389FFCF0} C:\Documents and Settings\All Users\Dane aplikacji\STOPzilla! C:\Documents and Settings\All Users\Dane aplikacji\{41dd2fbb-aaaf-3438-41dd-d2fbbaaabeee} C:\Documents and Settings\All Users\Dane aplikacji\f692c51800004be1 C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\komputer\Dane aplikacji\Logs C:\Program Files\NetPanel C:\Program Files\STOPzilla C:\WINDOWS\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\etc\hosts.*.backup Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GB_UPDATE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GEST" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMMON " /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetPanel" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome usuń całkowicie z dysku poprzedni profil zainfekowany adware - obecnie korzystasz z drugiego czystego profilu. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
mzegar1 Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Zrobiłem wszystko, załączam potrzebne pliki, jednakże mam pytanie. Zabezpieczyłem swój router dokładnie w sposób opisany na podanych stronach, zauważyłem jednak, że po wpisaniu komendy cmd.exe, a następnie polecenia ipconfig/all, widnieje podany adres Google przy "Serwery DNS", jednakże poniżej widnieją dwa wiersze: Dzierżawa uzyskana: 23 lutego 2015 Dzierżawa wygasa: 26 lutego 2015 Chciałem się dowiedzieć czy jest to jakimś problemem, czy tak to powinno wyglądać, bo jestem zupełnie zielony w tym temacie. Rozumiem, że: 4. W Google Chrome usuń całkowicie z dysku poprzedni profil zainfekowany adware - obecnie korzystasz z drugiego czystego profilu. oznacza zwyczajne ustawienie strony domyślnej (google), wyglądu oraz wyszukiwarek? Czy powinienem może zrobić coś jeszcze? I jeszcze jedno pytanie, dotyczące używanych przeze mnie programów. Chciałem sie dowiedzieć, czy Ccleaner i Ashampoo Winoptimizer 10 to programy bezpieczne i przydatne, czy raczej powinienem jest usunąć, gdyż są zbyteczne. Jeśli tak, to jaki inny program byłby dobry do systematycznego czyszczenia komputera? Dziękuję bardzo za pomoc Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Wszystko zrobione za wyjątkiem: oznacza zwyczajne ustawienie strony domyślnej (google), wyglądu oraz wyszukiwarek? Czy powinienem może zrobić coś jeszcze? Nie, nie o to chodzi. Podałam, by usunąć poprzedni profil, czyli w Google Chrome: menu Ustawienia > Ustawienia > Osoby > podświetl stary profil (nie pomyl go z bieżącym) i Usuń. Czy widzisz tam więcej niż jedną "Osobę"? Chciałem się dowiedzieć czy jest to jakimś problemem, czy tak to powinno wyglądać, bo jestem zupełnie zielony w tym temacie. Wszystko w porządku. I jeszcze jedno pytanie, dotyczące używanych przeze mnie programów. Chciałem sie dowiedzieć, czy Ccleaner i Ashampoo Winoptimizer 10 to programy bezpieczne i przydatne, czy raczej powinienem jest usunąć, gdyż są zbyteczne. Jeśli tak, to jaki inny program byłby dobry do systematycznego czyszczenia komputera? Nie mam specjalnych zastrzeżeń, programy możesz sobie oczywiście zostawić. Ale dodam, że uważam: im mniej cudownych optymalizacji, tym zmniejsza się ryzyko przeinwestowania i skutków ubocznych. Tu było wielu użytkowników, którzy próbując optymalizacji zaszkodzili sobie (wyłączyli za dużo, wyczyścili za dużo z rejestru). Proste ograniczenie ilości uruchamianych procesów, czyszczenie Tempów / niepotrzebnych plików oraz defragmentacja dysku to podstawowe działania zdrowotne. Ale już zbyt przedsiębiorczym czyszczeniem rejestru można sobie zaszkodzić - takie moduły są automatyczne i nie są nieomylne. Odnośnik do komentarza
mzegar1 Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Nie było drugiego profilu, jednakże dla pewności usunąłem obecny i stworzyłem od nowa. Wszystko działa, nie wyskakują już żadne strony, mam też wrażenie, że poprawiła się wydajność systemu, jakby wszystko lepiej chodziło, ale może mi się tylko wydaje Dziękuję jeszcze raz serdecznie za pomoc i gratuluję niesamowitej wiedzy i umiejętności. Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Tu jeszcze nie koniec akcji. Mnie nie chodziło o usuwanie obecnego profilu, bo to nie rozwiązuje sprawy którą mam na widoku. Na dysku był wykryty stary profil z adware oraz bieżący. Usunięcie bieżącego tworzy tylko kolejne repliki i mnoży katalogi, nie likwiduje folderu pierwszego odrzuconego profilu. W związku z tym, że utworzyłeś kolejny profil proszę o nowy log FRST z opcji Scan (bez Addition i Shortcut). Odnośnik do komentarza
mzegar1 Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Nowy log FRST. FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Tak, do usunięcia nadal ten martwy profil z adware. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Documents and Settings\komputer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Odnośnik do komentarza
mzegar1 Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 System się nie restartował, ale to chyba nie było potrzeby w tym wypadku? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Nie pisałam nic o restarcie, ponieważ nie miało go być = nie została zadana taka komenda w skrypcie. Zadanie wykonane, na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj IE8 (mimo że przeglądarka nieużywana): KLIK. Odnośnik do komentarza
mzegar1 Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Zrobiłem wszystko według opisu, załączam log. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 DelFix wykonał zadanie. Możesz skasować z dysku plik C:\Delfix.txt. Zapomniałam napisać. Mam drobną prośbę związaną z ulepszaniem FRST. Proszę skopiuj ten plik na Pulpit: C:\WINDOWS\Tasks\Epson Printer Software Downloader.job. Spakuj do ZIP, shostuj gdzieś i podaj mi link do niego. Odnośnik do komentarza
mzegar1 Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Link edytowany Mam nadzieję, że o to chodziło. Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Tak, dzięki. Plik pobrałam, link usuwam z posta. Odnośnik do komentarza
mzegar1 Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Również dziękuję bardzo za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi