Internet explorer sam wywala mi jakieś chńskie strony


(Tomczax) #1

siedziałem na stronie ze słownikiem i raptem jakieś chińskie znaczki i każe sciagnac pakiet językowy. Wszystko pozamykałem. Ale zobaczcie, teraz co jakiś czas internet explorer wywala mi strony japońskie http://img517.imageshack.us/img517/104/ ... unikat.jpg CO robić pomóżcie

-- Dodane 08.06.2010 (Wt) 9:34 --

jeszcze taki zrzut z ekranu http://img96.imageshack.us/img96/5233/c ... tronki.jpg na imagewshacka wrzucam bo wklejka mi coś nie działa. :frowning: Dodam, że korzystam z mozilli a odpala sie internet explorer. Czy takie coś może mi namieszać w komputerze i dostać się do jakiś haseł czy coś, bo np w tym samym momencie logowałem się na te forum. Nie mógł przechwycić mojego hasła np?


(Monczkin) #2

thomson , nazwij proszę temat konkretnie, bez zbędnych pomocy i krzyków w nazwie. Inaczej wyciągnę konsekwencje. Przeczytaj ten temat.

viewtopic.php?f=16&t=394978


(jessica) #3

A może byś tak łaskawie dał np. log z OTL :slight_smile: :slight_smile:

jessi


(Tomczax) #4

log z OTL

http://www.wklejto.pl/69506


(jessica) #5

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi


(Tomczax) #6

po restarcie komputera

http://www.wklejto.pl/69516

po skanie

http://www.wklejto.pl/69517

Jeżeli już jest wszystko ok to napiszcie. No i takie jeszcze pytanie czy takie coś mogło przechwycić mi hasło? dodam że od samego początku kazał mi zainstalować pakiet językowy a ja zawsze odmawiałem a później jak wywalał takie: http://img517.imageshack.us/img517/104/ ... unikat.jpg komunikaty to też zawsze klikałem na "nie". Czy to było jakieś włamanie czy po prostu jakiś syf ze strony?


(jessica) #7

W nowym logu nie widzę już nic podejrzanego.

W OTL kliknij na przycisk "CleanUp" - to go usunie razem z jego Kwarantanną.

Na postawione pytania nie potrafię odpowiedzieć, bo nie znam tej infekcji. Po prostu tylko dałam do usuwania to wszystko, co do niczego nie pasowało.

jessi


(Tomczax) #8

dla pewności zrobiłem dzisiaj jeszcze jednego loga z OTL czy mógłby ktoś sprawdzić i upewnić mnie w przekonaniu, że już wszystko w porządku.

log:

http://www.wklejto.pl/69563

-- Dodane 09.06.2010 (Śr) 13:44 --

extras:

http://www.wklejto.pl/69564


(jessica) #9

Log jest czysty.

Ale nie wiem, czy w komputerze jest czysto. :slight_smile:

Chodzi o to, że chińskie infekcje są bardzo często związane z Rootkitami, a OTL nie potrafi dostrzec Rootkitów.

Do Rootkitów to potrzebne są logi z GMER

Przynajmniej ten na ustawieniu:

Bo log podstawowy trwa nawet kilka godzin, a ten powyższy "usługowy" trwa tylko ok. 1 minuty.

Przed uruchomieniem GMER trzeba zrobić najpierw to:

1) użyć >defogger

2) usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

jessi


(Tomczax) #10

znowu się pokazało to okienko. Przed chwilą... boże

-- Dodane 09.06.2010 (Śr) 14:22 --

log z Gmer'a: dysk c zaznaczone tylko usługi:

http://www.wklejto.pl/69567

-- Dodane 09.06.2010 (Śr) 14:47 --

wyłączyłem jakieś podejrzane procesy w menadżerze, włączyłem gmera.

log z tego:

http://www.wklejto.pl/69570

zajęło mu to jakieś 20 min (się zdziwiłem ze tak szybko). Tylko skończyłem ten scan odpaliłem Mozillę i znowu chińskie znaczki się odpalają i proces x... cośtam się pojawia :frowning: wyleczcie mnie


(jessica) #11

Rootkita nie masz.

Skoro znów to wyskoczyło, to daj log z OTL - zobaczymy, czy nie powróciły te same pliki.

EDIT:

W tym podstawowym logu GMER - też nie widzę Rootkitów.

jessi


(szymonek760) #12

przeskanuj mbam http://www.malwarebytes.org/


(Tomczax) #13

otl:

http://www.wklejto.pl/69584

extras:

http://www.wklejto.pl/69585


(jessica) #14

Ciekawe, skąd nastąpiła reinfekcja?

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi


(Tomczax) #15

raport usuwania:

http://www.wklejto.pl/69605

otl:

http://www.wklejto.pl/69606

extras:

http://www.wklejto.pl/69607

Jak ochronić się mam przed ponowną taką infekcją, czemu ona się nawraca? a Tak się zastanawiam, może jest coś na karcie pamięci którą wkładałem do kompa... ale już pokazywałem loga jak była włożona to był ten log: http://www.wklejto.pl/69563


(jessica) #16

W nowym logu tego już nie ma.

Ciekawe, czy znów powróci?

Widać, że po podpięciu pena log był czysty, więc chyba to nie z tego pena się infekuje.

jessi


(Tomczax) #17

a jak można przed tym się zabezpieczyć bo teraz kurczę się boję z internetu korzystać, dodam, że nie chodzę po jakiś porn stronach itp. podczas tej infekcji sprawdzałem słówka na megasłowniku...

-- Dodane 09.06.2010 (Śr) 20:09 --

a jaki to jest typ wirusa w ogóle? To jest jakiś rozsyłany automatycznie, przypadkowo? czy ktoś mi łazi po kompie, albo celowo próbuje się włamać w jakiś sposób?

-- Dodane 10.06.2010 (Cz) 10:02 --

dzisiaj włączyłem komputer, mozillę i znowu od razu wyskoczył IE i pojawił się proces xhguge-1.exe i RichVideo.exe w menadżerze...

log z OTL:

http://www.wklejto.pl/69662

extras:

http://www.wklejto.pl/69663

widzicie dla mnie jeszcze jakiś ratunek oprócz formata?

-- Dodane 10.06.2010 (Cz) 10:04 --

kolejny proces się pojawił xhsb-1.exe


(jessica) #18

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi


(Tomczax) #19

przed chwilą przewalałem ręcznie folder po folderze i ręcznie przez shift+del usunąłem te pliki z folderu system32, więc nie wiem czy jest sens teraz włączać otl czy czekać aż się odnowią (bo zapewne się odnowią)


(jessica) #20

Dasz po prostu nowy log, jak się pojawią.

A teraz, dopóki ich nie ma, to w folderze C:\WINDOWS\system32\ utwórz dwa foldery , o nazwach takich, jak te usuwane pliki.

Ten trick utrudni powrót tych plików, bo System nie pozwala na utworzenie innego obiektu o nazwie takiej samej, jak już istniejący.

jessi