BestsellerAntivirus -


(Bakos) #1

Problem widzę jest bardzo powszechny w najnowszych tematach a dotyczy:

problem z security toolbarem 7.1

NetWorm-i.Virus@fp i tym podobne.

Problem bierze się o ile się nie mylę z autoryzacji "dziwnych" filmów w Windows media player jak ktoś wciśnie ściągniecie autoryzacji albo coś w tym stylu dokładnie nie pamiętam to dostaje właśnie takie krzaczki że:

na dole non stop jakieś alerty o szpiegu ze połączenie internetowe zostaje ograniczone o 49% że komp zwalnia o 30% i wszystko po to żeby ściągnąć ten programik antyspamowy BestsellerAntivirus.

Jak sie go ściągnie to on przeskanuje znajduje od razu te wirusy i wszystko niby fajnie tylko że on jest zainstalowany i szukałem w necie czy to jest dobry program czy może jakaś wtyka a co nic nie mogę znaleźć odpowiedzi bo angielski kuleje.

Jak sie go nie odinstaluje to intensywność tych komunikatów przyprawia o zawrót głowy oczywiście dochodzi jeszcze ten toolbar i IE sie przekierowuje na stronę chyba z tym programikiem.

Widzę ze jeessica udzielała dobrych rad i każdy był zadowolony wiec proszę i ja o instrukcje jak to naprawić bo próbowałem i jakoś nie wyszło.

Dodam jeszcze ze Spybot potrafi znaleźć tego NetWorm-i.Virus@fp i usunąć ale zaraz zrobi sie inny ze zmienioną końcówką.

mój log z hijacka:

Pytanie jak uwolnić przegladarke?

Jak usunąc toolbara?

i czy ten Bestseler moze zostać? Bo jak go usune to mi sie swieci non stop alert.


(Agatonster) #2

Z polskim też nie najlepiej... :?

Na Forum używamy polskich znaków.

Proszę poprawić pisownię w opisie problemu.

W celu edycji swojego posta proszę skorzystać z przycisku icon_edit.gif

Zignorowanie prośby będzie skutkowało usunięciem tematu do Kosza.


(Bakos) #3

Poprawione polskie znaki.

Ściąga sie za darmo BestsellerAntivirus i jak narazie usuwa to tylko pewnie za kilka dni każe sie wykupić bo minie okres darmówki.

A pytanie było czy to jest dobry program czy podpucha bo pierwszy raz mi sie zdarzyło żeby Windows sam pokazał że ma szpiega i od raz zaproponował leczenie. Wydało mi sie to mocno podejrzane. Ale jeśli program jest legalny to fajno.

A teraz czy może ktoś doradzić jak odblokować przeglądarek IE i jak to pousuwać?


(Kaka') #4

bakos , zamykam temat do czasu wyjaśnienia całej sprawy. Proszę, skontaktuj się ze mną za pomocą PW lub Gadu.

Złączono Posta : 29.10.2007 (Pon) 16:43

Temat odblokowuję.


(jessica) #5

Daj nowe logi z Hijacka i ComboFix, bo upłynęło trochę czasu i nie wiadomo, jaka jest teraz sytuacja.

Log z ComboFixa, jeśli będzie długi, to wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

A BestsellerAntivirus to jest "rogue" program, czyli szkodnik udający Antivirusa, a w rzeczywistości ściągający Trojany na komputer.

Trzeba go jak najszybciej usunąć.

jessi


(Bakos) #6

Log z combinefix

http://www.zajazdamigo.republika.pl/combine.txt

hijack


(jessica) #7

No i proszę - ComboFix samoczynnie usunął tego BestsellerAntivirusa! :slight_smile:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\jlkkj.bak2.ren

C:\WINDOWS\system32\mndmphjp.exe .ren

C:\WINDOWS\system32\jlkkj.ini.ren

C:\WINDOWS\system32\jlkkj.bak1.ren

C:\WINDOWS\system32\drivers\FMTR.sys.ren

C:\WINDOWS\system32\ywgmzqez.dll

C:\WINDOWS\system32\kydibvlp.dll

C:\WINDOWS\system32\efcdbcb.dll

J:\Recycled\ctfmon.exe


Driver::

BootDrv


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D68CED94-1809-412B-B3B0-5F8E66F3BA72}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-

[-HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ccApp"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Symantec NetDriver Monitor"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tguard"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NetWatcherPro"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NBKeyScan"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NWEReboot"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ugescw"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{D68CED94-1809-412B-B3B0-5F8E66F3BA72}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcdbcb]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ywgmzqez]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{06aee560-7fac-11dc-9e1e-101111111111}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e933858-b6bc-11db-889f-101111111111}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8c153c8-0c74-11dc-899b-101111111111}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da1bcba8-489c-11dc-8a45-101111111111}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec1a734e-9051-11db-8824-000ea6079526}]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj nowe logi.

jessi


(Bakos) #8

combinefix

http://www.zajazdamigo.republika.pl/combine2.txt

i ad-watch pyta sie o:

c:\proram Files\Beniamin\tguard.exe

...Nero BackItUp\NBKeyScan.exe

c:\Program Files\Common Files\Storage Protector\ strpmor

Storage Protector zainstalowałem dziś na tejk samej zasadzie co BestsellerAntivirus, też sam sie zaoferował.

IE - odblokowane i niema tool bara :).


(jessica) #9

A co ma Ad-watch do tych wpisów?

To są puste, bezplikowe wpisy.

Nie wiem, dlaczego usunięcie ich się nie udało.

Zaraz to powtórzymy.

Wklej do Notatnika :

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Authentication Packages"=-

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

  00

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na "Wszystkie pliki" >>> Zapisz jako FIX.REG >>> uruchom ten plik (dwuklik). Potem znów Wklej do Notatnika :

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ugescw"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ccApp"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Symantec NetDriver Monitor"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tguard"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NetWatcherPro"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NBKeyScan"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NWEReboot"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Salestart"=

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log.

jessi


(Bakos) #10

combine

http://www.zajazdamigo.republika.pl/combine3.txt

hijack

http://www.zajazdamigo.republika.pl/hi.log

Nadal sie pyta czy przepuścić C:\Pro..\STORAGE\ugescw.exe -start

strpmor ten też.

Może ja źle robie i powinienem to robić w trybie awaryjnym bez sieci?


(jessica) #11

Jeśli log Hijacka był robiony przed ComboFixem, to, wg mnie, wszystko jest już OK.

Zupełnie nie rozumiem, o co chodzi.

Przecież tych obiektów już nie ma na dysku, ani w rejestrze!

jessi


(Bakos) #12

Jak właczam combofixa z tymi danymi co były podne wyżej od raz sie uruchamia ad-watch i pyta czy przepuscić tego STORAGE

potem jest restart

wlacza sie windows - normalnie.

combofix sobie robi raport a wtedy sie znów włacza AD-watch i pyta czy przepuscić C:\Pro..\STORAGE\ugescw.exe -start

Zrobiłem ten raport z combofixa a potem dopiero z Hijacka.

Coś pewnie powmieszałem?


(jessica) #13

Jeśli była taka kolejność logów, jak podałeś, to chyba oznacza, że infekcja powróciła.

Na wszelki wypadek daj jeszcze raz te logi, (nowe!).

jessi


(Bakos) #14

hijack - pierwszy

combofix nierestartował sie windows ale zawsze jak właczam combo to wyskakuje Ad-watch i sie pyta co robić.

http://www.zajazdamigo.republika.pl/combine4.txt


(Gutek) #15

Daj log z Combo


(Bakos) #16

log z combofixa jest podany pod adresem jak wyżej widocznie niezauważony

wiec jeszcze raz :

http://www.zajazdamigo.republika.pl/combine4.txt


(Gutek) #17

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

możesz rejestr przelecieć albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

Opis RegCleaner - http://www.agavk.p9.pl/strony/progra_regcleaner.php

Zobacz - Obsługa jv16 PowerTools

przeskanuj pliki na http://virusscan.jotti.org/ i wklej raporty


(Bakos) #18

Komunikaty już dziś nie wyskoczyły wiec chyba wszystko ok jest.

Dodatkowo raporty z hijacka:

http://www.zajazdamigo.republika.pl/hi2.txt

combofix:

http://www.zajazdamigo.republika.pl/combine5.txt

Martwi mnie tylko to przy włączaniu combofixa:

rap1.JPG


(Gutek) #19

Wyłącz Ad-watch i użyj jeszcze raz