Otwierają się dziwne strony

przez mostostal » 20.11.2012 (Wt) 10:23

Od wczoraj zaczęły mi się otwierać same (!) strony z zachętami do kupna różnych rzeczy. Jakaś reklama czy co..?
Jako pierwsze pojawiały się strony z adresu http:www.pl.yurmobile.com, potem inne...
Nie pamiętam wszystkich ale dziś każdą otwartą stronę zapisuje jako screengrab w osobnym folderze.
Skanowałem komputer Malwarebytes, McAfee, Avastem, SpyBotem, AdwareSE i dalej to samo. Tzn np Spybot wykrył sporo jakichś śmieci, i niby usunął, tak samo Avast, wykrył jakiegoś trojana i też niby usunął.
Najlepsze jest to, że owe strony otwierają się samoistnie bez uruchomionego Firefoxa.
Oto kilka wyłapanych przez WOT:

Ki czort..? Co to za świństwo jest..?

System mam XP.
Nie jestem zbyt biegły w kompach ale co nieco tam liznąłem.

Proszę o pomoc...

przez Acorus » 20.11.2012 (Wt) 10:28

Pokaż logi z OTL analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html

przez mostostal » 20.11.2012 (Wt) 11:13

Jeszcze dwa razy się otworzyły strony teraz...

A oto logi z OTL'a

Extras:

http://wklej.to/W8HtO

OTL:

http://wklej.to/Ohqo0

przez Acorus » 20.11.2012 (Wt) 11:22

Odinstaluj Claro Chrome Toolbar,VDownloader Toolbar,Spybot - Search & Destroy,Ad-Aware Browsing Protection,AVG Security Toolbar,blekko search bar,McAfee Security Scan Plus,Softonic toolbar on IE and Chrome.Użyj AdwCleaner http://general-changelog-team.fr/fr/dow ... adwcleaner z funkcji Delete.
Pokaż nowy OTL.txt

przez mostostal » 20.11.2012 (Wt) 11:24

Nie chciałem umieszczać tu bezpośrednich linków, żeby sobie ktoś niezasyfił kompa ale wkleiłem te adresy na wklejkę..
Takie np strony się pokazują:

http://wklej.to/8hUA3

-- Dodane 20.11.2012 (Wt) 10:50 --

Log z adwcleaner'a:

http://wklej.to/PK9Hh

-- Dodane 20.11.2012 (Wt) 10:56 --

Log z OTL:

http://wklej.to/XckjP

-- Dodane 20.11.2012 (Wt) 11:18 --

Źle zaznaczyłem opcje w OTLu więc raz jeszcze log:

OTL:

http://wklej.to/U1FU6

Extras:

http://wklej.to/BNg8w

przez Acorus » 20.11.2012 (Wt) 13:47

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
MOD - [2012-11-05 11:57:12 | 003,055,976 | ---- | M] () -- C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_1\supt4pc_pl_1.exe
MOD - [2012-11-02 19:59:20 | 002,139,168 | ---- | M] () -- c:\Documents and Settings\All Users\Dane aplikacji\PC Performer Manager\2.4.897.175\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.dll
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\OEM\USTAWI~1\Temp\sony_ssm.sys --
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\OEM\USTAWI~1\Temp\ewdmaudn.sys -- (ewdmaudn)
IE - HKU\S-1-5-21-606747145-1409082233-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://safesearchr.lavasoft.com/?source ... 50AAC29C31
IE - HKU\S-1-5-21-606747145-1409082233-1417001333-1003\..\URLSearchHook: {6c97a91e-4524-4019-86af-2aa2d567bf5c} - No CLSID value found
IE - HKU\S-1-5-21-606747145-1409082233-1417001333-1003\..\SearchScopes\{0574F703-EA47-4D86-9D9D-EF8D158D2556}: "URL" = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=
IE - HKU\S-1-5-21-606747145-1409082233-1417001333-1003\..\SearchScopes\{CB50EB55-FA7F-4427-9941-CF2E38DB3AF2}: "URL" = http://websearch.ask.com/redirect?clien ... src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYFDPL&apn_uid=E1AD37F6-8B9D-472F-9819-0EA0F9861566&apn_sauid=A15736F6-E253-43B8-A08D-3130382A3094
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.selectedEngine: "blekko"
[2012-03-06 00:58:46 | 000,000,000 | ---D | M] (Softonic Toolbar) -- C:\Documents and Settings\OEM\Dane aplikacji\Mozilla\Firefox\Profiles\k7f77nv8.default\extensions\ffxtlbra@softonic.com
[2012-11-20 00:37:05 | 000,000,000 | ---D | M] (Lavasoft Search Plugin) -- C:\Documents and Settings\OEM\Dane aplikacji\Mozilla\Firefox\Profiles\k7f77nv8.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
[2012-04-30 17:18:23 | 000,002,571 | ---- | M] () -- C:\Documents and Settings\OEM\Dane aplikacji\Mozilla\Firefox\Profiles\k7f77nv8.default\searchplugins\askcom.xml
[2012-03-06 00:58:29 | 000,002,060 | ---- | M] () -- C:\Documents and Settings\OEM\Dane aplikacji\Mozilla\Firefox\Profiles\k7f77nv8.default\searchplugins\softonic.xml
[2012-11-20 00:37:03 | 000,000,616 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\adawaretb.xml
O3 - HKLM\..\Toolbar: (no name) - {9E131A93-EED7-4BEB-B015-A0ADB30B5646} - No CLSID value found.
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
O4 - HKU\S-1-5-21-606747145-1409082233-1417001333-1003..\Run: [RDReminder] C:\Program Files\PC Performer\PCPerformer.exe -rem File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Reg Error: Value error.)
[2012-11-20 00:37:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\OEM\Dane aplikacji\blekko
[2012-11-19 18:57:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\OEM\Dane aplikacji\PerformerSoft
[2012-11-19 18:57:17 | 000,017,464 | ---- | C] (PerformerSoft LLC) -- C:\WINDOWS\System32\roboot.exe
[2012-11-19 18:57:09 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\PC Performer Manager
[2012-11-19 18:56:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\supt4pc_pl_1
[2012-11-19 18:56:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\supt4pc_pl_1
[2012-11-19 18:56:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_1
[2012-11-06 22:27:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\OEM\Dane aplikacji\blekkotb_019
[2012-04-07 01:31:35 | 003,486,088 | ---- | C] (Ask) -- C:\Program Files\Common Files\ApnToolbarInstaller.exe
[2012-04-07 01:31:35 | 000,143,240 | ---- | C] (Ask.com) -- C:\Program Files\Common Files\ApnStub.exe
[2012-11-19 18:57:29 | 000,000,268 | ---- | M] () -- C:\WINDOWS\tasks\PC Performer_UPDATES.job
[2012-11-19 18:57:29 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\PC Performer_DEFAULT.job

:Commands
[emptytemp]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.

przez mostostal » 20.11.2012 (Wt) 16:08

Sorki za głupie pytanie ale czy mam wkleić to razem z tym apostrofem ,, na górze i napisem
:Commands
[emptytemp]
na dole..?

właśnie takich niuansów nie wiem nigdy. . ;-)

przez Acorus » 20.11.2012 (Wt) 16:30

Wpisujesz od :OTL do [emptytemp]

przez mostostal » 20.11.2012 (Wt) 16:50

tzn , że :OTL ma się zawierać w tym co przeklejam oraz słowo :Commands też czy tak..?

-- Dodane 20.11.2012 (Wt) 15:52 --

Sorki, że taka "młotkologia" w moim przypadku ale wierz mi, staram się.. dla mnie to czarna magia wszystko, ale wiedziony przez dobrego przewodnika docieram do celu, czasem.. ;-)

-- Dodane 20.11.2012 (Wt) 15:54 --

wkleiłem bez apostrofu i słowa [emptytemp] i..
pokazała się klepsydra i .. .nic się nie dzieje. Od kilku dobrych minut wygląda jakby się zwiesiło...

Tak ma być..?

-- Dodane 20.11.2012 (Wt) 15:58 --

Teraz wkleiłem bez apostrofa i słowa :OTL oraz bez nawiasu [emptytemp] oi jakby zadziałało. Migiem wywaliło loga o takiej treści:
http://wklej.to/q695S

teraz robię restart...

-- Dodane 20.11.2012 (Wt) 16:07 --

Niestety po restarcie żaden raport się więcej nie pokazał.
Odpaliłem więc OTL'a ręcznie i dałem "skanuj"...
Oto logi:

OLT:

http://wklej.to/UHmnL

Extras:

http://wklej.to/o1D47

przez Acorus » 20.11.2012 (Wt) 17:10

Mało czytelne-napisałem

Wpisujesz od :OTL do [emptytemp]

Czekasz cierpliwie aż skończy i każe potwierdzić restart.

przez mostostal » 20.11.2012 (Wt) 17:18

tzn w pole polecenia OTL'a wklejam wszystko aż do nawiasu [emptytemp] a na początku :OTL (czy bez tego..?)
Sorki ale jak wpiszę na początku :OTL to na tabelce programu OTL kursor myszy zmienia się w klepsydrę i wygląda że nic się nie dzieje...
Ile to czasu może trwać..

-- Dodane 20.11.2012 (Wt) 17:19 --

ponad 30 min czekam i nic się nie zmieniło...
Klepsydra na polu OTL'a

Chyba to coś nie tak jednak...

Menedżer zadań windows pokazuje że OTL - brak odpowiedzi.

przez Acorus » 20.11.2012 (Wt) 18:55

Spróbuj wykonać w trybie awaryjnym.

przez mostostal » 20.11.2012 (Wt) 19:02

Nie da się tego zrobić....
Zwiesza się OTL. Kilka godzin czekałem i nic.
Wklejenie skryptu bez napisu :OTL i nawiasu [emptytemp] idzie ale przetwarza skrypt w sekundę i wywala od razu loga. Nie prosi o restart.
Poległem chyba.. ;-)

Co prawda od momentu kiedy usunąłem te wszystkie toolbary itd i skanowałem programem adwcleaner problem wyskakiwania stron znikł. Do tej pory nic nie wyskoczyło, żadna strona się sama nie otwiera .. ;-)

Hip hip..? Czy jeszcze nie..

-- Dodane 20.11.2012 (Wt) 18:04 --

Acorus napisał(a):Spróbuj wykonać w trybie awaryjnym.

Tiaa chętnie tylko jak to się robiło żeby wejść w tryb awaryjny..?

-- Dodane 20.11.2012 (Wt) 18:12 --

wciskanie klawisza F8 podczas startu systemu nic nie daje. (Tak wyczytałem w sieci..) Startuje normalny system.

-- Dodane 20.11.2012 (Wt) 18:15 --

Qrde jeszcze teraz się okazało, że chyba rozp... się avast. Nie chce odświeżyć bazy.. wywala jakiś błąd 404... połączenia z serwerem... Kurka... szkoda bo to płatna wersja.

przez Acorus » 20.11.2012 (Wt) 19:17

Spróbuj F5

przez mostostal » 20.11.2012 (Wt) 19:28

Wszedłem w awaryjny ale jest dokładnie tak samo.
Czy w okno OTLa mam wkleić :OTL czy nie..?
Bez :OTL wywala loga w ułamku sekundy ale dalej nie pyta sam o restart.
Przy pozostawieniu :OTL przed skryptem zwiesza się...

-- Dodane 23.11.2012 (Pt) 22:51 --

Witam!

Coś umarł wątek.. ;-)

Tak czy owak... dziwne strony się po potraktowaniu kompa wyżej wymienionymi programami nie otwierają za to avast wykrył wczoraj i dziś dwa wirusy
JS:ScriptSH-inf [Trj] i to w 4 lokalizacjach. Po przeskanowaniu - usunął (mam nadzieję).

Następnego dnia takie oto wirki:
PNP:Win32:InstallCore-AN [PUP]
JS:Bankfraud - AU [Trj]
Java: Malware-gen [Trj}
Ponownie skanowanie i niby usunął.. ale...

Od wczoraj co jakiś czas (kilka godzin) ni stąd ni zowąd wyłącza się komputer tzn restartuje. Najpierw robi się na kilka sekund niebieski ekran ale bez żadnych napisów a potem restart...

Dziś po skanowaniu generalnym Avast podaje że jest czysto ale znów pokazuje tabelę plików których przeskanować się nie da bo są ponoć zablokowane jakimś hasłem. Nie mogę skopiować loga Avasta (nie wiem czemu) więc pokazuję te pliki łopatologicznie na chama fotografując ekran!
Tak to wygląda: