Finduny jak usunąć?

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
katarzyna

Użytkownik
Posty: 1
Rejestracja: 01 mar 2012, 11:10

Finduny jak usunąć?

Post01 mar 2012, 15:14

Witam serdecznie,

Mam problem z firefoxem, który za każdym razem przekierowuje mnie na finduny. Nie da się tego odinstalować, nie mogę tego zlokalizować żadnym antywirusem. Rootkit skaner też niczego nie znalazł. Mam raport z ComboFix, który wklejam poniżej.

Będę wdzięczna za Waszą pomoc.

Kod: Zaznacz cały

ComboFix 12-02-29.01 - KASIA 2012-03-01   1:53.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1250.48.1045.18.1914.845 [GMT 1:00]
Uruchomiony z: c:\users\KASIA\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\KASIA\jre-6u31-windows-i586-iftw.exe
c:\users\KASIA\UnityWebPlayer.exe
.
.
(((((((((((((((((((((((((   Pliki utworzone od 2012-02-01 do 2012-03-01  )))))))))))))))))))))))))))))))
.
.
.
.
.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-23 16:23 . 2010-07-01 20:30   41184   ----a-w-   c:\windows\avastSS.scr
2012-02-23 16:23 . 2009-07-27 19:35   201352   ----a-w-   c:\windows\system32\aswBoot.exe
2012-02-23 16:12 . 2011-03-03 17:37   610648   ----a-w-   c:\windows\system32\drivers\aswSnx.sys
2012-02-23 16:12 . 2009-07-27 19:35   337112   ----a-w-   c:\windows\system32\drivers\aswSP.sys
2012-02-23 16:10 . 2009-07-27 19:35   35672   ----a-w-   c:\windows\system32\drivers\aswRdr.sys
2012-02-23 16:10 . 2009-07-27 19:35   53848   ----a-w-   c:\windows\system32\drivers\aswTdi.sys
2012-02-23 16:10 . 2009-07-27 19:35   57688   ----a-w-   c:\windows\system32\drivers\aswMonFlt.sys
2012-02-23 16:10 . 2009-07-27 19:35   20696   ----a-w-   c:\windows\system32\drivers\aswFsBlk.sys
2012-02-17 17:22 . 2010-05-02 18:06   472808   ----a-w-   c:\windows\system32\deployJava1.dll
2012-02-17 17:16 . 2011-11-13 23:20   414368   ----a-w-   c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-29 04:10 . 2009-10-02 16:43   237072   ------w-   c:\windows\system32\MpSigStub.exe
2012-01-12 00:19 . 2012-01-12 00:19   4448256   ----a-w-   c:\windows\system32\GPhotos.scr
2011-12-27 21:37 . 2011-12-27 21:27   16024112   ----a-w-   c:\users\KASIA\Firefox Setup 9.0.1.exe
2011-12-27 18:28 . 2011-12-27 18:28   782608   ----a-w-   c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2012-02-17 17:12 . 2011-11-12 20:24   134104   ----a-w-   c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-02-23 16:23   123536   ----a-w-   c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"NSUFloatingUI"="c:\program files\Sony\Network Utility\LANUtil.exe" [2008-12-04 270336]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-10-13 17351304]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-01-14 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-01-14 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-01-14 145944]
"RtHDVCpl"="RtHDVCpl.exe" [2009-01-14 6295552]
"Skytel"="Skytel.exe" [2009-01-14 1826816]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-30 835584]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"avast"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2012-02-23 4031368]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2008-11-05 16:32   98304   ----a-w-   c:\windows\System32\VESWinlogon.dll
.
R2 0175321324942351mcinstcleanup;McAfee Application Installer Cleanup (0175321324942351);c:\users\KASIA\AppData\Local\Temp\017532~1.EXE [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
.
.
--- Inne Usługi/Sterowniki w Pamięci ---
.
*NewlyCreated* - MEMSWEEP2
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation   REG_MULTI_SZ      FontCache
bthsvcs   REG_MULTI_SZ      BthServ
.
Zawartość folderu 'Zaplanowane zadania'
.
2012-02-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-16 15:36]
.
2012-03-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-16 15:36]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: mks.com.pl\www
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\KASIA\AppData\Roaming\Mozilla\Firefox\Profiles\9v94usxu.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/firefox?client=firefox-a&rls=org.mozilla:pl:official
FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: browser.search.selectedEngine - Suche
FF - user.js: browser.search.order.1 - Suche
FF - user.js: browser.search.defaultenginename - Suche
FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: privacy.item.cookies - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
.
- - - - USUNIĘTO PUSTE WPISY - - - -
.
Toolbar-{DFEFCDEE-CF1A-4FC8-88AD-18272BE37E29} - (no file)
.
.
.
**************************************************************************
skanowanie ukrytych procesów ... 
.
skanowanie ukrytych wpisów autostartu ...
.
skanowanie ukrytych plików ... 
.
skanowanie pomyślnie ukończone
ukryte pliki:
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\E897.tmp"
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Czas ukończenia: 2012-03-01  02:04:00
ComboFix-quarantined-files.txt  2012-03-01 01:03
.
Przed: 12 904 239 104 bajtów wolnych
Po: 12 966 535 168 bajtów wolnych
.
- - End Of File - - ECA502C15DDAB71536E525B1815828C6
Ostatnio zmieniony 01 mar 2012, 15:14 przez Lena, łącznie zmieniany 1 raz.
Powód: logi proszę umieszczać w tagach code
Na górę
filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Finduny jak usunąć?

Post03 mar 2012, 08:00

Daj logi z OTL - http://www.hotfix.pl/obsluga-programu-otl-a143.htm

F.
Na górę
irq

Użytkownik
Posty: 2
Rejestracja: 05 mar 2012, 13:12

Finduny jak usunąć?

Post05 mar 2012, 13:22

Witam, mam identyczny problem z firefoxem.
Przekierowanie na finduny znalazlem w configu firefoxa
pozycja

Kod: Zaznacz cały

keyword.URL : http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=

przy kazdej zmianie na domyslna i zamknieciu przegladarki, wraca ponownie do tej wartosci..

moje logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Na górę
filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Finduny jak usunąć?

Post05 mar 2012, 14:03

Masz szczęście, że Autorka tematu porzuciła swój temat, bo tu panuje zasada, że każdy musi mieć własny temat.

1) Użyj >Dostępne tylko dla zarejestrowanych użytkowników (ściągnij na Pulpit i kliknij w nim Deletion (uruchom z prawokliku "jako Administrator)
Pokaż raport z niego C:\AdwCleaner[S1].txt

2) Odinstaluj C:\Program Files\DAEMON Tools Toolbar

3) Odinstaluj C:\Program Files\Ask.com

4) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4
FF - prefs.js..browser.search.defaultenginename: "foxsearch"
FF - prefs.js..browser.search.order.1: "foxsearch"
FF - prefs.js..browser.search.selectedEngine: "foxsearch"
FF - prefs.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
FF - user.js..browser.search.selectedEngine: "foxsearch"
FF - user.js..browser.search.order.1: "foxsearch"
FF - user.js..browser.search.defaultenginename: "foxsearch"
FF - user.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
[2012-01-03 11:30:30 | 000,000,000 | ---D | M] (Facemoods) -- C:\Documents and Settings\irq\Dane aplikacji\Mozilla\Firefox\Profiles\b82172pl.default\extensions\ffxtlbr@Facemoods.com
[2012-01-03 11:30:30 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (facemoods.com BHO)
O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.)
O2 - BHO: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll (facemoods.com)
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [facemoods] C:\Program Files\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (facemoods.com)
O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexe File not found
[2011-08-19 11:07:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\irq\Dane aplikacji\PriceGong
[2012-03-03 16:01:00 | 000,000,230 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

:Commands
[emptytemp]


Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.
Na górę
irq

Użytkownik
Posty: 2
Rejestracja: 05 mar 2012, 13:12

Finduny jak usunąć?

Post12 mar 2012, 13:55

Powyższe kroki wykonane. Dodaje logi z adw cleanera, po wykonaniu skryptu i z koncowego skanowania:

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Po odpaleniu firefoxa, wyswietla sie firefoxowa strona startowa z googlem, po wpisaniu zapytania wyniki dalej wywalane sa na stronie Dostępne tylko dla zarejestrowanych użytkowników

Zmienilem strone startowa na zwykle google i wykiki sa juz ok; strona startowa nie wraca do firefoxowej wiec jest progres.
Dodatkowo pytania podawane bezposrednio do paska adresu tez juz nie kieruja na finduny (wynikiem jest strona zgodna z wyszkukaniem na zasadzie opcji "szczesliwy traf").

Jak dla mnie wiec problem rozwiazany :)
pozdrawiam i dziekuje, Irq
Na górę
filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Finduny jak usunąć?

Post12 mar 2012, 17:09

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 11 gości