Damianesko Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Witam Od jakiegoś czasu avast wywala komunikaty o atakach przez zagrożenie URL:mal podczas uruchamiania przeglądarki chrome, firefox, opera (domyślna). Podobnie rzecz ma się kiedy otwieram kolejne strony w sieci + dochodzi do tego przekierowywanie klikanych linków na strony nakłaniające do podawania numerów telefonu itp.. jest to częste i utrudnia przeglądanie sieci. Skanowanie avastem nie pomogło, Spy searcg&destroy trochę różnych nieprawidłowości wykrył, naprawił ale to tematu nie załatwiło. Użyłem ComboFixa i to tez nie pomogło. Dopiero teraz trafiłem na to forum i przeczytałem ze combofix nie jest raczej zalecany więc złączam zalecane logi i combofixa (skoro już go zrobiłem) również. Skanowanie gmerem zatrzymuje się na chwilę po wystartowaniu programu tak że nie można przeprowadzić pełnego skanowania. Addition.txt FRST.txt Shortcut.txt ComboFix.txt GMER.txt Odnośnik do komentarza
jessica Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 1) Odinstaluj do-search uninstall. 2) Użyj AdwCleaner. Najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego. Pokaż raport z niego. 3) Zrób nowe logi FRST. Odnośnik do komentarza
Damianesko Opublikowano 29 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Załączam logi AdwCleanerS1.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Wymagane poprawki, bo adware nie zostało usunięte - nadal w systemie aktywne usługi / sterownik adware WordAnchor 1.10.0.19 z grupy Vitruvian oraz polityki Google. I jeszcze dodam, że WordAnchor 1.10.0.19 nabyłeś z serwisu dobreprogramy.pl przy udziale śmiecia "Asystent pobierania": KLIK. Na dysku widać poniższy plik "Asystenta" i zaraz po nim utworzone komponenty adware: C:\Users\user\Downloads\Photostage-Slideshow(17952)-dp.exe Akcje do wdrożenia: 1. Przez Panel sterowania odinstaluj adware WordAnchor 1.10.0.19. Przy okazji, pozbądź się także starych niezbezpiecznych wersji (luki): Adobe Flash Player 10 ActiveX, Adobe Reader 9.1.2 - Polish, Java 6 Update 18, Java 7 Update 11, OpenOffice.org 3.2 oraz zbędnego Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-356970189-196760685-2834952327-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\Users\user\AppData\Local\Temp\catchme.sys [X] FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-356970189-196760685-2834952327-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Users\user\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > usuń wszystkie profile i utwórz nowy Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Damianesko Opublikowano 29 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Wszystko wykonano załączam logi: Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Wszystko zrobione. Drobne poprawki. Otwórz Notatnik i wklej w nim: S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X] BootExecute: autocheck autochk * sdnclean.exe HKU\S-1-5-21-356970189-196760685-2834952327-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Damianesko Opublikowano 29 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 serdeczne dzięki za tak błyskawiczna i profesjonalną pomoc. Wszystko działa. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Wszystko zrobione. Teraz: 1. Usuń używane narzędzia za pomocą DelFix. 2. Zrób skan za pomocą Hitman Pro. Nic nie usuwaj, dostarcz tylko raport co program wykrywa. Odnośnik do komentarza
Damianesko Opublikowano 29 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 załączam loga, dzięki za pomoc HitmanPro_20150629_2147.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Hitman wykrył jeden szczątkowy klucz po adware (przedstawiany "podwójnie" - jedna z lokalizacji to skrót zwrotny). Usuń za pomocą programu. Na koniec wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi