Blokowanie popularnych stron internetowych.

[Qartas]

Objawy zainfekowania:

Problem dotyczy nie wyświetlaniastron internetowych w dowolnej wyszukiwarce.
np. facebook, google.pl, youtube. Każdorazowo, po długim wczytywaniu strony wyświetla się prośba o aktualizacje Adobe flash playera do najnowszej wersji.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Gdy klikamy na install, avast informuje o zablokowanej infekcji :

URL: h_google_pl_setup_exe
Infekcja: Win32:Evo-gen [Susp]

Dziwne jest też to, że wpisując w adres przeglądarki - google.pl - ten komunikat pojawia się i nie ma możliwości jego pominięcia, gdy wpiszemy - google.fr - strona uruchamia się normalnie.

Wykonywane działania:

Pełne skanowanie Avastem wykryło 7 zagrożeń, jedno znajdowało się na partycji C
Pod nazwą : jre-7u40-windows_downloader.
Stan : Win32:adware-gen
pozostałe miały nazwę runctf.lnk i znajdowały się w folderze użytkownik.

Przed skanowaniem wykonano re-install przeglądarek oraz zainstalowano najnowszą wersje adobe flash player''a z oficjalnej strony producenta.
W przeglądarkach nie ma żadnych wtyczek, nie ma też programów wątpliwego pochodzenia w ewidencji istniejących - "dodaj lub usuń programy".

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Odinstaluj:

Ask Toolbar Updater


Do notatnika wklej i zapisz jako fixlist.txt

Kod:

(Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe
() C:\Program Files (x86)\BringStar\updateBringStar.exe
() C:\Program Files (x86)\BringStar\bin\utilBringStar.exe
HKLM-x32\...\Run: [fst_pl_49] => [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&ts=1393431537&type=default&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&ts=1393431537
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&ts=1393431537
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&ts=1393431537&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392713417&from=tt4u&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&ts=1393431537
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&ts=1393431537
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392713417&from=tt4u&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392713417&from=tt4u&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&ts=1393431537
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&ts=1393431537
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392713417&from=tt4u&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1392713417&from=tt4u&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1392713417&from=tt4u&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1392713417&from=tt4u&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1392713417&from=tt4u&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1392713417&from=tt4u&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&q={searchTerms}
SearchScopes: HKCU - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKCU - {0A834373-4C4A-456A-B97B-995524A79B54} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=9F795DCD-3ACF-4E37-9AF1-0D99691AB1B0&apn_sauid=5DF6BE7A-303B-469D-AA7E-CB7E4F1A9EAF
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.holasearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=E0F282CA9469C589&affID=121963&tsp=4956
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=TOSHIBAXMK5075GSX_71EBP32ETXX71EBP32ET&ts=1393431537&type=default&q={searchTerms}
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
BHO-x32: BringStar - {0ba6da2e-a2ee-4222-846f-79755e1d26f6} - C:\Program Files (x86)\BringStar\BringStarBHO.dll (BringStar)
BHO-x32: BringStar - {6f0d3dec-9246-4b6f-a5e3-c1c169493eef} - C:\Program Files (x86)\BringStar\BringStarbho.dll (BringStar)
R2 Update BringStar; C:\Program Files (x86)\BringStar\updateBringStar.exe [111904 2014-02-25] ()
R2 Util BringStar; C:\Program Files (x86)\BringStar\bin\utilBringStar.exe [111904 2014-02-25] ()
R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [501904 2014-02-26] (Cherished Technololgy LIMITED)
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
C:\Users\toshiba\AppData\Local\Temp\ggdrive-menu.exe
C:\Users\toshiba\AppData\Local\Temp\ggdrive-overlay.exe
C:\Users\toshiba\AppData\Local\Temp\installstats.exe

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

[Qartas]

Problem wyeliminowany.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Przy usuwaniu Ask Toolbar Updater wyświetlało:

"Nie masz wystarczających uprawnień do odinstalowania elementu (...)
skontaktuj się z administratorem systemu."

Zmienianie uprawnień na kontach użytkownika, tworzenie nowych nic nie dawało. Komenda przez wiersz poleceń- "net user administrator/acces:yes" - również nie pozwoliła na zezwolenie usunięcia go z ewidencji zainstalowanych programów.
Postanowiłem znaleźć i usunąć go ręcznie w plikach programów (86x).

[tachion]

Zrób nowe logi i przedstaw z FRST.txt + Addition.txt i dodatkowo zaznacz Shortcut.txt + Log z OTL