wotyas
(Wotyas)
25 Sierpień 2011 23:50
#1
Witam,
od pewnego czasu mam problem z wszystkimi przeglądarkami - gdy wyszukuje coś na google.pl i chcę to otworzyć w nowej karcie, otwierają się różne strony (począwszy od pornosów, poprzez reklamy, skończywszy na durnych gierkach). Dopiero po ponownej próbie otwarcia stronki (klikam myszką na pasek adresu i naciskam Enter) jest ok.
Zauważyłem, że podczas ładowania stronki na dolnym szarym pasku widnieje napis Oczekiwanie na 6dayoftheweek.com …
Zaczęło mnie to już denerwować dlatego postanowiłem, że trzeba coś z tym zrobić.
Siedzę na necie już ponad 2 godziny (i nadal się męczę z tymi przekierowaniami) i szukając tego samego problemu u innych użytkowników staram się pozbyć tego ■■■■■■■■■■ z mojego komputera, ale niestety słabo mi to idzie.
Zrobiłem pełne skanowanie Malwarebytes’ Anti-Malware , ale nic oprócz 4 zainfekowanych plików nie wykrył (te 4 pliki oczywiście usunąłem).
Wyczytałem też coś o folderze Ask.com (C:\Program Files (x86)\Ask.com ) - że należy go usunąć … ? Stwierdziłem, że oprócz jednego pliku dll (który miałem nadzieję, że jest winny temu wszystkiemu) nie będę na razie niczego usuwał (chce mieć pewność, że np. jakiś program usunie to w 100%) i poczekam na Wasze rady.
Bardzo Was proszę o pomoc i instrukcję, co mam teraz zrobić - jakich programów użyć, jakie logi wkleić itp itd.
~wotyas
Edit:
Posłużyłem się tematem z tego forum o OTL ’u (mam tylko nadzieje, że wszystko dobrze ustawiłem ^^)
Linki do raportów :
http://wklej.to/81v4z
http://wklej.to/sRzxh
jessica
(jessica)
26 Sierpień 2011 04:34
#2
Nie masz żadnej infekcji, więc nie ma tu w czym pomagać.
Co prawda infekcja może być, bo masz System 64 bit, który dla “wirusów” jest idealnym rajem, bo mogą się w nim bardzo łatwo ukryć.
Daj log z MBRCheck >>[http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__6557entry6557 ](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6557)
Do >SystemLook wklej:
Naciśnij Look i pokaż raport.
jessi
wotyas
(Wotyas)
26 Sierpień 2011 13:06
#3
MBRCheck - http://wklej.to/wqp4E
SystemLook
Poniżej wklejam screena.
Wykonałem go w momencie, gdy chciałem wynik wyszukiwania na googlach otworzyć w nowej karcie (pierwsze co przyszło mi do głowy to getmac ).
Wczoraj zainstalowałem Avasta i w tym momencie wyskoczyły mi info o zarażonych plikach :
C:\Windows\assembly\tmp\U\800000cb.@
Zagrożenie: Win32:Malware-gen
Przenieś do Kwarantanny
Czynność zakończona powodzeniem.
Teraz avast robi mi jakieś pełne skanowanie po ponownym uruchomieniu komputera - sporo to będzie trwało (przeniosłem się na netbooka). Jak skończy to mogę wrzucić raport.
Gdy robiłem skana OTL’em, to w opcje skanowania wpisałem:
to chyba dobrze??
jessica
(jessica)
26 Sierpień 2011 13:43
#4
A więc nie ma Rootkita w MBR, .
MBAM nić nie wykrywa, w logach OTL nie ma nic podejrzanego.
Jednym słowem: nie ma żadnej infekcji, wszystko jest OK.
Daj jeszcze log z Webroot AntiZeroAccess > http://www.bezpieczenstwosystemow.pl/index.php?topic=8226.0 .
Z Internet Explorer oraz z Firefoxa, usuniemy wszystko, wszystkie dodatki, pluginy, itp:
Ściągnij >Ad-Remover i wciśnij w nim Clean
Pokaż raport z tego narzędzia.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://isearch.WhiteSmoke.com/?q={searchTerms} IE - HKU\S-1-5-21-123271592-1196402318-2589628964-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.WhiteSmoke.com IE - HKU\S-1-5-21-123271592-1196402318-2589628964-1000…\URLSearchHook: {14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-123271592-1196402318-2589628964-1000…\URLSearchHook: {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll (DeviceVM, Inc.) FF - prefs.js…browser.search.defaultthis.engineName: “InnoGames Polska Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.selectedEngine: “Search the web (WhiteSmoke)” FF - prefs.js…extensions.enabledItems: SignPlugin@bph.pl:1.4.0.6 FF - prefs.js…extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.12.2.100006 FF - prefs.js…extensions.enabledItems: ffxtlbr@whitesmoke.com:1.4.0 FF - prefs.js…extensions.enabledItems: {14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3}:3.6.0.10 FF - prefs.js…keyword.URL: “${FFX_KEYWORD_URL}” FF:64bit: - HKLM\Software\MozillaPlugins@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins@microsoft.com/GENUINE: disabled File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.8\extensions\Components: F:\Mozilla Firefox 3.6.8\components [2011-07-29 20:58:55 | 000,000,000 | —D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.8\extensions\Plugins: F:\Mozilla Firefox 3.6.8\plugins [2011-07-29 20:58:55 | 000,000,000 | —D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\Components: F:\Mozilla Firefox\components [2011-08-19 22:08:44 | 000,000,000 | —D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\Plugins: F:\Mozilla Firefox\plugins [2011-07-29 19:58:51 | 000,000,000 | —D | M] [2011-07-13 01:18:45 | 000,000,000 | —D | M] (No name found) – C:\Users\wotyas\AppData\Roaming\mozilla\Extensions [2011-08-16 17:05:38 | 000,000,000 | —D | M] (No name found) – C:\Users\wotyas\AppData\Roaming\mozilla\Firefox\Profiles\b04z5v8i.default\extensions [2011-08-16 15:42:53 | 000,000,000 | —D | M] (InnoGames Polska Community Toolbar) – C:\Users\wotyas\AppData\Roaming\mozilla\Firefox\Profiles\b04z5v8i.default\extensions{14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} [2011-07-14 21:16:09 | 000,000,000 | —D | M] (“DAEMON Tools Toolbar”) – C:\Users\wotyas\AppData\Roaming\mozilla\Firefox\Profiles\b04z5v8i.default\extensions\DTToolbar@toolbarnet.com [2011-08-16 17:05:38 | 000,000,000 | —D | M] (WhiteSmoke) – C:\Users\wotyas\AppData\Roaming\mozilla\Firefox\Profiles\b04z5v8i.default\extensions\ffxtlbr@whitesmoke.com [2011-07-13 13:09:29 | 000,000,000 | —D | M] (BPH Sign Plugin) – C:\Users\wotyas\AppData\Roaming\mozilla\Firefox\Profiles\b04z5v8i.default\extensions\SignPlugin@bph.pl [2011-08-01 14:19:40 | 000,000,000 | —D | M] (“Foxit PDF Creator Toolbar”) – C:\Users\wotyas\AppData\Roaming\mozilla\Firefox\Profiles\b04z5v8i.default\extensions\toolbar@ask.com [2011-06-22 14:26:08 | 000,000,935 | ---- | M] () – C:\Users\wotyas\AppData\Roaming\Mozilla\Firefox\Profiles\b04z5v8i.default\searchplugins\conduit.xml [2011-07-14 21:16:03 | 000,002,059 | ---- | M] () – C:\Users\wotyas\AppData\Roaming\Mozilla\Firefox\Profiles\b04z5v8i.default\searchplugins\daemon-search.xml File not found (No name found) – [2011-08-16 17:05:38 | 000,002,631 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\whitesmoke.xml O2 - BHO: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found O2 - BHO: (WhiteSmoke toolbar helper) - {F6389EFB-EA0B-40D4-AD5C-5F67AEBBB6AF} - C:\Program Files (x86)\WhiteSmoke.com \WhiteSmokeToolbar\1.4.27.0\bh\WhiteSmokeToolbar.dll (WhiteSmoke.com ) O3:64bit: - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found O3 - HKLM…\Toolbar: (WhiteSmoke Toolbar) - {E443139E-3828-402A-9765-DAEE418B30CB} - C:\Program Files (x86)\WhiteSmoke.com \WhiteSmokeToolbar\1.4.27.0\WhiteSmokeToolbarTlbr.dll (WhiteSmoke.com ) O3 - HKU\S-1-5-21-123271592-1196402318-2589628964-1000…\Toolbar\WebBrowser: (no name) - {14F6A182-4C6F-45AE-9F5A-AA3CCBB1CFA3} - No CLSID value found. O3:64bit: - HKU\S-1-5-21-123271592-1196402318-2589628964-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3 - HKU\S-1-5-21-123271592-1196402318-2589628964-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-123271592-1196402318-2589628964-1000…\Toolbar\WebBrowser: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000006 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found :Commands [emptyflash] [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
wotyas
(Wotyas)
26 Sierpień 2011 14:37
#5
Avast właśnie skończył mi skanować system i usuwać zainfekowane pliki i wygląda na to, że sobie poradził…
Pod koniec dzisiejszego dnia dam znać, czy mój problem został już całkowicie rozwiązany. Jeżeli nie, to zrobię co napisałeś/aś jessi.
jessica
(jessica)
26 Sierpień 2011 15:31
#6
W takim razie poczekamy …
A Ad-Remover użyj bez względu na wszystko, bo on usuwa “sponsorowe” śmieci (a nie infekcje).
jessi