X

nx7300 - Przeglądarka firefox została zablokowana prawdopodobnie infekcja ukash

arni100 13 Oct 2013 16:38
  • #1 13 Oct 2013 16:38
    arni100
    Level 12  
    Helpful post? (0)
    Witam wszystkich.

    Wczoraj przeglądałem jedną stronę i niestety kliknąłem gdzie nie trzeba, a potem pojawiło się okno UWAGA POLIZJA.

    Laptop nie jest zablokowany mogę normalnie na nim działać tylko gdy uruchomię przeglądarkę Firefox to pojawia się na pasku dodatkowe okno z treścią UWAGA Pańska przeglądarka została zablokowana ze względów bezpieczeństwa z wskazanych niżej przyczyn. Wszystkie działania tego komputera zostały zarejestrowane. Wszystkie pliki są szyfrowane itp. czyli tzw. POLIZJA.

    Robiłem skan Dr Web i Avira ale nic to nie pomogło.
    Da radę jakoś to usunąć, poniżej przedstawiam logi z OTL.
    Pozdrawiam
  • #2 13 Oct 2013 18:06
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Uzyj AdwCleaner, opcja Scan i Clean:
    http://www.bleepingcomputer.com/download/adwcleaner/

    Sprawdz we wlasciwosciach skrotow przegladarek czy nie dopisal sie tam adres portaldosites.

    Wykonaj skrypt w OTL:

    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=FUJITSUXMHV2120BHXPL_NW9XT6B2P5U2&ts=1364658075
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=FUJITSUXMHV2120BHXPL_NW9XT6B2P5U2&ts=1364658075
    IE - HKU\S-1-5-21-1993962763-1500820517-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=FUJITSUXMHV2120BHXPL_NW9XT6B2P5U2&ts=1364658075
    IE - HKU\S-1-5-21-1993962763-1500820517-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=FUJITSUXMHV2120BHXPL_NW9XT6B2P5U2&ts=1364658075
    FF - prefs.js..browser.search.defaultenginename: "portaldosites"
    FF - prefs.js..browser.search.order.1: "portaldosites"
    FF - prefs.js..browser.search.selectedEngine: "portaldosites"
    [2013-03-30 17:41:15 | 000,000,781 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\portaldosites.xml
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 10.25.2)
    O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 10.25.2)
    [2013-04-08 01:12:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Arni\Dane aplikacji\eDownload
    [2013-03-30 17:40:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Arni\Dane aplikacji\eIntaller


    Zainstaluj: http://ninite.com/java/

    Gdyby nie pomoglo to zresetuj firefox do ustawien fabrycznych. http://support.mozilla.org/pl/kb/przywracanie-domyslnych-ustawien-firefoksa-latwe-r




    Co to za pliki?
    Spoiler:

    [2013-10-13 15:40:57 | 100,717,913 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\ꢬ痽哤;
    [2013-10-13 15:40:57 | 100,717,913 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\ꢬ痽哤;
    [2013-10-12 18:48:04 | 100,651,105 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\ᄍ竨哤;
    [2013-10-12 18:48:04 | 100,651,105 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\ᄍ竨哤;
    [2013-10-12 11:19:38 | 100,595,853 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\풇점哤;
    [2013-10-12 11:19:38 | 100,595,853 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\풇점哤;
    [2013-10-05 00:28:00 | 099,319,274 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\᎙ꧾ哤;
    [2013-10-05 00:28:00 | 099,319,274 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\᎙ꧾ哤;
    [2013-10-04 15:05:36 | 099,209,434 | ---- | M] ()(C:\WINDOWS\System32\?µ?;) -- C:\WINDOWS\System32\鬋μ哤;
    [2013-10-04 15:05:36 | 099,209,434 | ---- | C] ()(C:\WINDOWS\System32\?µ?;) -- C:\WINDOWS\System32\鬋μ哤;
    [2013-10-03 21:59:17 | 099,160,839 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\鎿٩哤;
    [2013-10-03 21:59:17 | 099,160,839 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\鎿٩哤;
    [2013-10-02 14:57:58 | 098,743,931 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\殙鸺哤;
    [2013-10-02 14:57:58 | 098,743,931 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\殙鸺哤;
    [2013-09-29 14:10:31 | 098,462,899 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\ጵ솂哤;
    [2013-09-29 14:10:31 | 098,462,899 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\ጵ솂哤;
    [2013-09-26 14:49:59 | 097,961,477 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\斾耴哤;
    [2013-09-26 14:49:59 | 097,961,477 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\斾耴哤;
    [2013-09-25 20:43:22 | 097,858,179 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\ڃ⥤哤;
    [2013-09-25 20:43:22 | 097,858,179 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\ڃ⥤哤;
    [2013-09-24 22:02:20 | 097,540,783 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\㑳ꎧ哤;
    [2013-09-24 22:02:20 | 097,540,783 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\㑳ꎧ哤;
    [2013-09-23 14:57:13 | 098,663,986 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\꿯哤;
    [2013-09-23 14:57:13 | 098,663,986 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\꿯哤;
    [2013-09-22 22:14:38 | 098,597,466 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\奌兖哤;
    [2013-09-22 22:14:38 | 098,597,466 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\奌兖哤;
    [2013-09-21 13:35:57 | 098,533,985 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\㌀밼哤;
    [2013-09-21 13:35:57 | 098,533,985 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\㌀밼哤;
    [2013-09-20 14:58:38 | 098,481,651 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\소빲哤;
    [2013-09-20 14:58:38 | 098,481,651 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\소빲哤;
    [2013-09-18 20:50:50 | 098,177,822 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\౮䈥哤;
    [2013-09-18 20:50:50 | 098,177,822 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\౮䈥哤;
    [2013-09-17 20:30:02 | 098,008,335 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\诎푭哤;
    [2013-09-17 20:30:02 | 098,008,335 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\诎푭哤;
    [2013-09-14 17:22:49 | 097,581,476 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\餺哤;
    [2013-09-14 11:22:38 | 097,581,476 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\餺哤;
    [2013-09-13 14:49:44 | 097,463,612 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\ᕯ報哤;
    [2013-09-13 14:49:44 | 097,463,612 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\ᕯ報哤;
    [2013-09-11 21:59:30 | 097,171,315 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\⃔烕哤;
    [2013-09-11 21:59:30 | 097,171,315 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\⃔烕哤;
    [2013-09-09 15:02:45 | 096,665,497 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\䉦蠡哤;
    [2013-09-09 15:02:45 | 096,665,497 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\䉦蠡哤;
    [2013-09-02 15:31:33 | 095,231,388 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\䄊䵡哤;
    [2013-09-02 15:31:33 | 095,231,388 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\䄊䵡哤;
    [2013-09-01 16:29:02 | 095,198,291 | ---- | M] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\쮻𐈟哤;
    [2013-09-01 16:29:02 | 095,198,291 | ---- | C] ()(C:\WINDOWS\System32\???;) -- C:\WINDOWS\System32\쮻𐈟哤;
  • #3 13 Oct 2013 19:34
    arni100
    Level 12  
    Topic author Helpful post? (0)
    Witam ponownie.
    Kolobos wykonałem.

    1.AdwCleaner log w załączniku.
    2.W właściwościach skrótów przeglądarek nie znalazłem adresu portaldosites.
    3.Skrypt w OTL wykonany log w załączniku.
    4.Zainstalowane java ze strony którą podałeś.
    5.Niestety nie można zresetować firefoxa do ustawień fabrycznych blokuje go te okno gdy chce kliknąć zamknij to okno pokazuje się potwierdzenie opuszczenia strony i jak klikasz opuść stronę to znowu się pojawia potwierdzenie opuszczenia strony i tak w kółko.

    Niestety nic nie pomogło. W załączniku daję nowe logi z OTL.

    Z tymi plikami to naprawdę nie wiem skąd wzięły się na dysku, może to wina tego że laptop czasami (nie jest to cykliczne) podczas uruchamiania łapie zawiechę i pomaga tylko hard reset (czyli wyłączyć i włączyć).
    Pozdrawiam
  • #4 13 Oct 2013 19:42
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Twoje grzebanie w opcjach OTL i zaznaczanie Wszystko wcale mi nie pomaga w sprawdzeniu.

    W logu nie widac nic ciekawego.

    Daj log z TDSSKiller oraz log z FRST:
    http://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/#entry119294
  • #5 13 Oct 2013 19:44
    Acorus 20
    Spec od komputerów
    Helpful post? (0)
    Reset Firefoxa: Pomoc-Informacje dla pomocy technicznej-Zresetuj program Firefox
  • #6 13 Oct 2013 19:49
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Juz podalem link do tego. Zawsze mozna w ostatecznosci odinstalowac firefox i usunac katalog profilu ff.
  • #7 13 Oct 2013 20:27
    arni100
    Level 12  
    Topic author Helpful post? (0)
    Witam

    Log z TDSSkiller w załączniku, natomiast z programu FRST log nie wychodzi wyskakuje błąd obrazek w załączniku.

    Acorus 20
    Pisałem że nie mogę zresetować firefoxa.

    Pozdrawiam
  • #8 13 Oct 2013 20:54
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Odinstaluj Avire oraz Comodo i sprawdz czy FRST zacznie dzialac. Jezeli nie to sprobuj w trybie awaryjnym.
  • #9 13 Oct 2013 21:30
    arni100
    Level 12  
    Topic author Helpful post? (0)
    Witam
    Po odinstalowaniu Aviry i Comodo program FRST ruszył logi w załączniku.

    Pozdrawiam
  • Helpful post
    #10 13 Oct 2013 22:08
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    -

    Chyba jedyne co Ci pozostalo to reinstalacja FF lacznie z usunieciem profilu przegladarki.
  • #11 13 Oct 2013 23:59
    arni100
    Level 12  
    Topic author Helpful post? (0)
    Dzięki Kolobos za pomoc i poświęcenie czasu skoro logi są OK to przejdę do ostateczności czyli odinstaluję firefoxa, nie próbowałem przesyłać plików ani teraz ani jak było zainstalowane Comodo i Avira.


    Dodano po 1 [godziny] 25 [minuty]:

    Witam
    Po reinstalacji FF i skasowaniu całej historii przeglądania póki co jest wszystko w normie.

    Temat do zamknięcia
    Pozdrawiam
  Search 4 million + Products
Browse Products