Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

foer21

Prośba o sprawdzenie logów

dodany przez foer21, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

foer21    0

foer21
Napisano

Witam serdecznie.

 

Mam problem z wyskakującymi samoistnie reklamami i oknami :/

Proszę jeśliby ktoś miał chwilkę czasu, w sprawdzeniu i ewentualnej pomocy mi.

 

Oto logi:

 

Otl.txt

Extras.txt

 

FRST.txt

Addition.txt

 

 

Z góry dziękuję.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano

Logi FRST zostały zrobione na starej wersji programu. (sprzed 105 dni)

 

Pobierz Aktualne FRST >> FRST

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano

Masa adware. Liczne przekierowywania istartsurf do tego adware ciężkiego kalibru m.in XTab!.

 

Dezynfekcja:

 

1. Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST

Plik fixlist.txt umieść obok programu FRST

 

CloseProcesses:
ShortcutTarget: Torpedo.lnk -> C:\Users\Marcin\AppData\Local\Torpedo\Torpedo.exe (No File)
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1432763862&z=0aa878f748f280b3f7d1d7dg3z3c4o5m2q0ccbdt5m&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1432763862&z=0aa878f748f280b3f7d1d7dg3z3c4o5m2q0ccbdt5m&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1432763862&z=0aa878f748f280b3f7d1d7dg3z3c4o5m2q0ccbdt5m&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1432763862&z=0aa878f748f280b3f7d1d7dg3z3c4o5m2q0ccbdt5m&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953&q={searchTerms}
HKU\S-1-5-21-3485814945-2674890229-2802059630-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1432763862&z=0aa878f748f280b3f7d1d7dg3z3c4o5m2q0ccbdt5m&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953
HKU\S-1-5-21-3485814945-2674890229-2802059630-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://www.msn.com/pl-pl/?ocid=iehp
HKU\S-1-5-21-3485814945-2674890229-2802059630-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1432763862&z=0aa878f748f280b3f7d1d7dg3z3c4o5m2q0ccbdt5m&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\.DEFAULT -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st750lm022xhn-m750mbb_s2usj9ec505953&ts=1425315424
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st750lm022xhn-m750mbb_s2usj9ec505953&ts=1425315424
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st750lm022xhn-m750mbb_s2usj9ec505953&ts=1425315424
SearchScopes: HKU\S-1-5-21-3485814945-2674890229-2802059630-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953&ts=1432763914&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3485814945-2674890229-2802059630-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953&ts=1432763914&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3485814945-2674890229-2802059630-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953&ts=1432763914&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3485814945-2674890229-2802059630-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953&ts=1432763914&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3485814945-2674890229-2802059630-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953&ts=1432763914&type=default&q={searchTerms}
BHO: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files\XTab\SupTab.dll [2015-05-18] (Thinknice Co. Limited)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1432763862&z=0aa878f748f280b3f7d1d7dg3z3c4o5m2q0ccbdt5m&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953
FF Extension: QuickSearch - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\i3em6apg.default\Extensions\searchffv2@gmail.com [2015-05-27]
FF Extension: Search Enginer - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\i3em6apg.default\Extensions\sweetsearch@gmail.com [2015-05-27]
FF HKLM\...\Firefox\Extensions: [searchffv2@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\i3em6apg.default\extensions\searchffv2@gmail.com
FF HKLM\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\i3em6apg.default\extensions\sweetsearch@gmail.com
OPR Extension: (Edu App) - C:\Users\Marcin\AppData\Roaming\Opera Software\Opera Stable\Extensions\pjeingpaffcbfngbbjhekmbclkkoeegf [2015-05-27]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe http://www.istartsurf.com/?type=sc&ts=1432763862&z=0aa878f748f280b3f7d1d7dg3z3c4o5m2q0ccbdt5m&from=face&uid=ST750LM022XHN-M750MBB_S2USJ9EC505953
R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [157824 2015-05-18] (XTab system)
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [697000 2015-05-27] (DTools LIMITED) <==== ATTENTION
S2 insvc_1.10.0.14; "C:\Program Files\Infonaut_1.10.0.14\Service\insvc.exe" [X]
S3 ALSysIO; \??\C:\Users\Marcin\AppData\Local\Temp\ALSysIO.sys [X]
S1 scfd_1_10_0_16; system32\drivers\scfd_1_10_0_16.sys [X]
2015-05-27 23:58 - 2015-05-27 23:58 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect
2015-05-27 23:58 - 2015-05-27 23:58 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2015-05-27 23:58 - 2015-05-27 23:58 - 00000000 ____D () C:\Program Files\XTab
2015-05-27 18:51 - 2015-05-27 18:51 - 0613255 _____ (CMI Limited) C:\Users\Marcin\AppData\Local\nst9C9F.tmp
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f
DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}
DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} 
EmptyTemp:

 

2. Przez Panel Sterowania Odinstaluj:

GamesDesktop 008.120

istartsurf uninstall

SmartWeb

 

3. Pobierz AdwClaner uruchom go i kliknij szukaj a gdy ukatywni się przycisk usuń kliknij go.

 

AdwClaner: http://www.bleepingcomputer.com/download/adwcleaner/

 

4. Wstaw raport ze skryptu (Fixlog) i raport z Adwclaner (Raport z Adwclaner znajduję się w tym folderze: C:\AdwCleaner) + zrób nowe logi z FRST (Zaznacz też: Addition i ShortCup)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano

W logach nie widzę już niczego podejrzanego.

 

Kosmetyka:

 

1. Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST

Plik fixlist.txt umieść obok programu FRST

 

CloseProcesses:
HKLM\...\Run: [gmsd_pl_120] => [X]
ShortcutTarget: GTA V Key Generator.lnk -> C:\ProgramData\{245e6bc1-78c6-bfb0-245e-e6bc178caf05}\GTA V Key Generator.exe (No File)
ShortcutTarget: Gta5Keygen.lnk -> C:\ProgramData\{db2ccd43-798b-aae9-db2c-ccd43798350d}\Gta5Keygen.exe (No File)
ShortcutTarget: Torpedo.lnk -> C:\Users\Marcin\AppData\Local\Torpedo\Torpedo.exe (No File)
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Extension: No Name - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\i3em6apg.default\extensions\searchffv2@gmail.com [not found]
FF Extension: No Name - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\i3em6apg.default\extensions\sweetsearch@gmail.com [not found]
C:\Users\Marcin\AppData\Roaming\7FAB1943-1432743362-E111-A7EC-DC0EA1F29838\nsl8C62.tmp
C:\Users\Marcin\AppData\Roaming\7FAB1943-1432743362-E111-A7EC-DC0EA1F29838\hnsq812F.tmp
C:\Users\Marcin\AppData\Roaming\7FAB1943-1432743362-E111-A7EC-DC0EA1F29838\jnsl6B6C.tmp
C:\Users\Marcin\AppData\Roaming\7FAB1943-1432743362-E111-A7EC-DC0EA1F29838  
R2 lozycegu; C:\Users\Marcin\AppData\Roaming\7FAB1943-1432743362-E111-A7EC-DC0EA1F29838\nsl8C62.tmp [301056 2015-05-28] () [File not signed]
R2 xubigomo; C:\Users\Marcin\AppData\Roaming\7FAB1943-1432743362-E111-A7EC-DC0EA1F29838\hnsq812F.tmp [334848 2015-05-27] () [File not signed]
R2 zeminoxy; C:\Users\Marcin\AppData\Roaming\7FAB1943-1432743362-E111-A7EC-DC0EA1F29838\jnsl6B6C.tmp [306176 2015-05-27] () [File not signed]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Help and HOW-TO.lnk -> C:\Program Files\SpeedFan\speedfan.chm (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Release info.lnk -> C:\Program Files\SpeedFan\speedfan.txt (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\SpeedFan.lnk -> C:\Program Files\SpeedFan\speedfan.exe (No File)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Uninstall SpeedFan.lnk -> C:\Program Files\SpeedFan\uninstall.exe (No File)
C:\ProgramData\{245e6bc1-78c6-bfb0-245e-e6bc178caf05}\GTA V Key Generator.exe (No File)
C:\Users\Marcin\AppData\Local\Torpedo\Torpedo.exe (No File)
EmptyTemp:
DeleteQuarantine:

 

2. Raportu (Fixlog) z tego nie dawaj, podsumuj obecny stan komputera.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

foer21    0

foer21
Napisano

jeszcze przed wykonaniem tego scrypt ponownie powłączały mi się reklamy samo instalujące się, jak i znów wróciła strona istartsurf, zatrzymałem te instalacje, pojawił się na pulpicie skrót: Continue Live Installation, przegladarka najpierw sie zminimalizowała a póżniej zamknęła,

sorka za znaki ale mam niemiecką klawiature

 

może spróbuje wykonać wszystko jeszcze raz?

 

to wyglądało jakby okres oczekiwania miał jakiś wpływ.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano

Na poczatek, upewni się czy wykonanałeś pkt. 1 z mojego ostatniego postu, jeżeli tak to:

 

Użyj >> Malwarebytes

 

Po uruchomieniu:

 

  • Postępuj zgodnie z kreatorem instalacyjnym, przy instlacji odznacz okres testowy.
  • Po instlacji uruchom ponownie komputer.
  • Interfejs MalwareBytes > Skanowanie > Pełne Skanowanie systemu > Podczas skanowania nic nie rób, po prostu czekaj.
  • Po zakończeniu skanu, jeżeli program coś wykryje będzie wymgane ponowne uruchomienie komputera, zaraz po tym wyskoczy raport ze skanowania, który zaprezentujesz na forum.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

foer21    0

foer21
Napisano

linia 50 i 53 w załączonym ci logu z FRST, to zostalo i te reklamy mi sie po włączały

 

tak wykonałem wszystko tak jak piszesz

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

foer21    0

foer21
Napisano

Ok skanowanie przeprowadzone, pliki przekazane do kwarantanny, reset wykonany,

Oto raport co wykryło:

 

Malware

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

foer21    0

foer21
Napisano

Dziękuje ci Bardzo, pomogłeś w 100 %, mój błąd, musiałem, jednak coś źle zrobić.

Wykonałem całość od samego początku, jeszcze raz, krok po kroku wklepując skrypty, a wszystko zakończyłem na skanie malwarem.

Jest wszystko OK, nic nie pokazał, po restarcie od naszego ostatniego postu nic się nie wydarzyło.

 

Wiec mam nadzieję, że wszystko będzie dobrze.

Jeszcze raz Dziękuje.

 

Pozdrawiam Marcin.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...