Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Malware? - Losowe otwieranie stron, odświeżanie.

Dalton22 24 Lut 2017 10:00 750 8
  • #1 24 Lut 2017 10:00
    Dalton22
    Poziom 9  

    Zamieszczam post, ponieważ już się poddałem.
    Przeskanowałem komputerek (laptop) wszystkim co uważam za skuteczne i użyteczne i nie pomogło.
    Opis problemu - we wszystkich posiadanych przeglądarkach występuje ten sam kłopot - w losowych momentach po kliknięciu Lewym Przyciskiem Myszki na karcie przeglądarki otwiera się nowa karta z zupełnie inna stroną (również zagramaniczną) reklamą, czasami bez paska adresu (sama treść).

    Pojawił się jeszcze jeden problem - po nacisnięciu jakiegokolwiek linka na stronie, lub wpisaniu nowego adresu do wyświetlenia pojawia się nowa strona (nowa karta) z informacją "Ta witryna jest nieosiągalna Nie udało się znaleźć adresu DNS serwera ........." dopiero po odświeżeniu strony otwiera się normalnie.

    Skanowałem komputer:
    Malwarebytes AntiMalware
    AdwCleaner
    HiJackThis_v2

    wszystkie programy coś tam znalazły i usunęły, problem nie zniknął.
    załączam log z OTL'a

    0 8
  • Pomocny post
    #2 24 Lut 2017 11:20
    Kolobos
    Spec od komputerów

    Wymagane sa logi z FRST jak widzisz we WSZYSTKICH watkach w tym dziale!

    0
  • #4 24 Lut 2017 13:41
    Domino_2
    Pomocny dla użytkowników

    Cytat:

    Task: {06A38589-7161-4853-99D2-0334AABAC6BE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {098E119A-7D66-4F12-90EB-D88321248D1C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {1019C9CD-D77F-4A83-AF53-45C06773B387} - System32\Tasks\{C4DC8F2E-0C77-4CF0-80BE-394FDD75CF04} => pcalua.exe -a C:\Users\Marcin\Desktop\KX_OEM_4.2.1409B\WinNT_2K\Setup.exe -d C:\Users\Marcin\Desktop\KX_OEM_4.2.1409B\WinNT_2K
    Task: {118078A9-A059-4DDC-92F4-EC29FB4D67EF} - System32\Tasks\{89B5DB66-8CA9-49EF-8F68-4D7A915D4950} => pcalua.exe -a C:\Users\Marcin\AppData\Local\Temp\jre-8u73-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== UWAGA
    Task: {16E41C66-3437-4431-9B62-D48F42400D7C} - System32\Tasks\{D2B36594-2084-4A56-B3FF-5120BAC588B5} => F:\programy\install_plug_chrome.exe
    Task: {2E2DD307-7A58-4FF9-8DB6-9CE8C7CAAEE8} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA
    Task: {31F045BD-973A-4CD6-A9D5-205C8E793441} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {717B24C6-FB78-4125-A594-6FD595865F0C} - System32\Tasks\{FDC9846F-2234-4AE8-A040-3AEA11C8D703} => F:\programy\install_plug_chrome.exe
    Task: {89F91F8C-44B9-497C-AC64-9E4485301641} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {BE7AED0F-8F25-444E-90DA-A9D063D47D67} - System32\Tasks\{ED4DFC37-6E94-4D86-8571-0DC14CE6C854} => pcalua.exe -a F:\programy\JkDefragGUI103\JkDefragGUI.exe -d F:\programy\JkDefragGUI103
    Task: {F1FB502D-1FC8-4A5C-A043-F7CEEA6CA074} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {F7E0113A-E972-40BC-B62E-B1F775A4AF69} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2830838368-39006565-3590604331-1000\...\MountPoints2: {8efa5db3-f1da-11e6-9fe1-2c27d7a50b43} - "G:\AutoRun.exe"
    ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak pliku
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-2830838368-39006565-3590604331-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    SearchScopes: HKU\S-1-5-21-2830838368-39006565-3590604331-1000 -> DefaultScope {4D493426-8887-44D1-823B-76E1D370BEF9} URL = hxxp://www.google.com/search?hl=pl&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2830838368-39006565-3590604331-1000 -> {4D493426-8887-44D1-823B-76E1D370BEF9} URL = hxxp://www.google.com/search?hl=pl&q={searchTerms}




    Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
    FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext => nie znaleziono
    FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll [Brak pliku]
    CHR HKU\S-1-5-21-2830838368-39006565-3590604331-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Marcin\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [2013-05-01]
    CHR HKU\S-1-5-21-2830838368-39006565-3590604331-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [debkinhcgejcbfgjiaalomcmkedjmiaa] - C:\Program Files (x86)\HP SimplePass 2012\tschrome.crx [2011-08-25]
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>
    U3 idsvc; Brak ImagePath
    U5 REALPLAYERUPDATESVC; Brak ImagePath
    2017-02-24 09:02 - 2017-02-24 09:53 - 00000000 ____D C:\AdwCleaner
    2017-02-23 12:54 - 2017-02-23 12:54 - 00000497 _____ C:\DelFix.txt
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, uruchom go i kliknij Fix/Napraw.

    Zainstaluj sobie dodatek do przeglądarki uBlock Origin.

    0
  • #5 24 Lut 2017 14:22
    Dalton22
    Poziom 9  

    Puki co nic to wniosło, strony otwierają się tak jak się otwierały (redirect), najciekawsze jest to że strony nie pojawiają się samoczynnie tylko po wciśnięciu przycisku myszki.
    Również ten drugi kłopot jest dokuczający, ponieważ nie mogę obsługiwać żadnej strony np. bankowej gdzie są przekierowania bo nie można odświeżać stron z płatnościami.

    mam jednak wrażenie że obydwa kłopoty występują tylko na jednej z sieci WIFI, przełączę się na hotspot z telefonu i jeszcze sprawdzę.

    0
  • #6 24 Lut 2017 14:37
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • #7 27 Lut 2017 08:16
    Dalton22
    Poziom 9  

    Przepraszam za weekendową nieobecność, zamieszczam aktualny log z FRST.
    Upewniłem się już i problem występuje tylko na jednym łączu intenretowym - )ADSL router Lan połaczony z drugim Wifi), z hotspota z komórki nie ma takiego efektu ...
    Jednocześnie nie mogę się dostać na router - powinien mnie wpuścić na 192.168.1.1 (taka jest brama domyślna w informacjach o sieci i połączeniu), pokazuje przekroczony czas oczekiwania, ping nie działa.

    0
  • #8 27 Lut 2017 09:25
    Kolobos
    Spec od komputerów

    Router jest zainfekowany, podmienione dnsy co widac w logu.

    Sprawdz: 192.168.0.1, jezeli tez nie to zresetuj router i ustaw wszystko ponownie. Pamietaj tez o zablokowaniu dostepu do panelu routera z internetu.

    Fixlist.txt dla FRST:
    Task: {D5C3BF6E-79EA-4B24-AFCC-5C8C3B1CC42D} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe
    Task: {DF9872FF-4287-4A45-B83F-39BAFE12A226} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-2830838368-39006565-3590604331-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
    Task: {FB310218-7244-4376-A4E5-586EDF801543} - System32\Tasks\RealCreateProcessScheduledTask88592S-1-5-21-2830838368-39006565-3590604331-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
    HKU\S-1-5-21-2830838368-39006565-3590604331-1000\...\Policies\system: [WallpaperStyle] 2
    HKU\S-1-5-21-2830838368-39006565-3590604331-1000\...\Policies\system: [WRP] 0
    HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun
    Tcpip\..\Interfaces\{0acc8772-d16a-432c-b0de-c49d9f2b04eb}: [DhcpNameServer] 185.162.9.197 8.8.4.4

    0
  • #9 28 Lut 2017 13:14
    Dalton22
    Poziom 9  

    Reset routera pomógł, DNS zresetowane.
    wszystko wróciło do normy.
    Do routera nie można się było dostać z zewnątrz, myślę że przybył do mnie już zainfekowany (przybył dwa tygodnie temu od dostawcy internetu).

    dziękuje i pozdrawiam

    0