Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wyszukiwarka google przekierowuje mnie na stronę z reklamami

siCk_BoY_ 16 Lip 2013 20:02 1461 4
  • #1 16 Lip 2013 20:02
    siCk_BoY_
    Poziom 11  

    Od pewnego czasu mam podobny problem ze dwoma stronami. U mnie jednak złośliwy kod wkrada się do pliku wp-config.php
    Stawiałem już serwis od nowa, zmieniałem wtyczki, jedyne czego nie robiłem to nie ruszałem szablonu strony. Być może to jest źródło problemu. Jednak dla pewności wrzucę logi z:
    AdwCleanera, MalwareBytes oraz OTL.
    Będę musiał to zrobić jeszcze na inny komputerach, które mają dostęp do strony www.

    tdsskiller nic nie znalazł

    0 4
  • #2 16 Lip 2013 20:47
    Kolobos
    Spec od komputerów

    Usun to co wykryl mbam.

    Zmien Adobe Reader 9 na Foxit: http://ninite.com/foxit/

    Wykonaj skrypt w OTL:

    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
    IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&q={searchTerms}
    FF - prefs.js..browser.search.defaultengine: "Web Search"
    FF - prefs.js..browser.search.defaultenginename: "Web Search"
    FF - prefs.js..browser.search.order.1: "Web Search"
    FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
    FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q="
    [2012-10-19 21:07:31 | 000,000,792 | ---- | M] () -- C:\Users\Andre\AppData\Roaming\mozilla\firefox\profiles\7z0ly6wd.default\searchplugins\startsear.xml
    O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.


    Wklej ten kod na forum, na ogol winne sa dziurawe skrypty lub serwer.

    0
  • #3 17 Lip 2013 13:01
    siCk_BoY_
    Poziom 11  

    Podrzucam jeszcze kolejne logi z innego komputera (będę prosił o pomoc przy jeszcze dwóch kolejnych, ale to później).
    Za pomocą Mbam usunąłem malwery. Dr Web CutIt rownież. tdsskiller znalazł jeden plik zainfekowany - usunąłem.

    Ponizej logi z OTL i AdwCleaner:

    0
  • #4 17 Lip 2013 23:44
    Kolobos
    Spec od komputerów

    Java do aktualizacji: http://ninite.com/java/

    Wykonaj skrytpt:

    :OTL
    IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=419&sr=0&q={searchTerms}
    IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=419&sr=0&q={searchTerms}
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.25.2)
    O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.25.2)

    0
  • #5 28 Sty 2014 09:08
    siCk_BoY_
    Poziom 11  

    Udało mi się pozbyć problemu. Długo z tym walczyłem. Aż w końcu znalazłem wtyczkę Threat Scan Plugin, która wskazała jako źródło infekcji jedną z wtyczek zainstalowanych w wordpressie.
    Okazała się nią wtyczka All in Seo Pack. Co dziwne była ściągnięta z repozytorium wordpressa.
    Nie wiem w jaki sposób doszło do infekcji, ale od czasu usunięcia wtyczki nie mam problemu z przekierowaniem strony z google ani innych serwisów do mojej strony.
    Dzięki za chęć pomocy.
    Mam nadzieję, że to się komuś przyda na przyszłość.

    0
  Szukaj w 5mln produktów