Nie mogę uruchomić scanera online (f-secure, kaspersky)

Witam.

Mam problem z komputerem. Po wykryciu przez avasta trojanów Kavos, malware-gen, adspy-cm przeskanowałem komputer programami sbybot i superantispywere które wykryły i usuneły rodzine adaware MyWebsearch/FunWebProducts. Pomimo tego nie mogę odpalić ani f-secure ani kaspersky online skanera. Dotyczy to zarówno przeglądarki firefox jak i iexplorer. Np. przy odpalaniu f-secure’a zamiast sna strone z programem przerzuca mnie na coś takiego http://wstaw.org/pokaz/17262/

Proszę o sprawdzenie czy jeszcze jakieś inne złośliwe oprogramowanie nie zostało na komputerze.

Log Hijack this:

http://www.wklej.org/id/138701/

Pozdrawiam i z góry dzięki za pomoc

Zaznaczasz i Fix.

O8 - Extra context menu item: &Search - ?p=ZKfox000

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Daj loga z OTL

Zafiksowałem w HJT

Log z OTL http://wklej.org/id/138709/

Wejdź w: C:\WINDOWS\System32\drivers\etc\ tam masz plik: Hosts , otwórz go za pomocą notatnika i skasuj te wpisy:

O1 - Hosts: 127.0.0.1	www.00hq.com

O1 - Hosts: 127.0.0.1	00hq.com

O1 - Hosts: 127.0.0.1	010402.com

O1 - Hosts: 127.0.0.1	www.032439.com

O1 - Hosts: 127.0.0.1	032439.com

O1 - Hosts: 127.0.0.1	www.0scan.com

O1 - Hosts: 127.0.0.1	0scan.com

O1 - Hosts: 127.0.0.1	1000gratisproben.com

O1 - Hosts: 127.0.0.1	www.1000gratisproben.com

O1 - Hosts: 127.0.0.1	1001namen.com

O1 - Hosts: 127.0.0.1	www.1001namen.com

O1 - Hosts: 127.0.0.1	100888290cs.com

O1 - Hosts: 127.0.0.1	www.100888290cs.com

O1 - Hosts: 127.0.0.1	www.100sexlinks.com

O1 - Hosts: 127.0.0.1	100sexlinks.com

O1 - Hosts: 127.0.0.1	10sek.com

O1 - Hosts: 127.0.0.1	www.10sek.com

O1 - Hosts: 127.0.0.1	www.1-2005-search.com

O1 - Hosts: 127.0.0.1	1-2005-search.com

O1 - Hosts: 11100 more lines...

Wklej w okienko OTL poniższy wpis (przesuń suwak, żeby widzieć cały!) i klik na Run Fix. następnie po restarcie dajesz nowego loga z OTL

:Processes

explorer.exe


:OTL

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.

O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)

O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)

O18 - Protocol\Handler\ipp - No CLSID value found

O18 - Protocol\Handler\msdaipp - No CLSID value found

O32 - AutoRun File - [2008-08-27 15:41:06 | 00,000,088 | ---- | M] () - H:\Autorun.inf -- [FAT32]

O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\APPInst.exe -- [2008-10-10 16:16:14 | 03,514,368 | ---- | M] (Samsung Electronics)


:Files

C:\Documents and Settings\Stefan\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\

mountpoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""


:Commands

[emptytemp]

[start explorer]

[Reboot]

Znalazłem plik hosts ale nie moglem zapisać w notatniku zmian.

Wykonałem drugą część polecenia i po restarcie pokazało się: http://wklej.org/id/138725/

Log z OTL: http://wklej.org/id/138727/

Co dalej ?

uruchom OTL i wpisz:

:Processes

explorer.exe


:OTL

O1 - Hosts: 127.0.0.1	www.007guard.com

O1 - Hosts: 127.0.0.1	007guard.com

O1 - Hosts: 127.0.0.1	008i.com

O1 - Hosts: 127.0.0.1	www.008k.com

O1 - Hosts: 127.0.0.1	008k.com

O1 - Hosts: 127.0.0.1	www.00hq.com

O1 - Hosts: 127.0.0.1	00hq.com

O1 - Hosts: 127.0.0.1	010402.com

O1 - Hosts: 127.0.0.1	www.032439.com

O1 - Hosts: 127.0.0.1	032439.com

O1 - Hosts: 127.0.0.1	www.0scan.com

O1 - Hosts: 127.0.0.1	0scan.com

O1 - Hosts: 127.0.0.1	1000gratisproben.com

O1 - Hosts: 127.0.0.1	www.1000gratisproben.com

O1 - Hosts: 127.0.0.1	1001namen.com

O1 - Hosts: 127.0.0.1	www.1001namen.com

O1 - Hosts: 127.0.0.1	100888290cs.com

O1 - Hosts: 127.0.0.1	www.100888290cs.com

O1 - Hosts: 127.0.0.1	www.100sexlinks.com

O1 - Hosts: 127.0.0.1	100sexlinks.com

O1 - Hosts: 127.0.0.1	10sek.com

O1 - Hosts: 127.0.0.1	www.10sek.com

O1 - Hosts: 127.0.0.1	www.1-2005-search.com

O1 - Hosts: 127.0.0.1	1-2005-search.com

O1 - Hosts: 11100 more lines...


:Commands

[emptytemp]

[start explorer]

[Reboot]

dajesz loga po restarcie utworzonego + nowego z OTL.

Zrobione,

Log OTL http://wklej.org/id/138733/

Co dalej?

Dodane 23.08.2009 (N) 1:59

Pominąłem log z restartu oto on http://wklej.org/id/138735/

:slight_smile:

Przeskanuj cały obszar komputera tym: http://www.programosy.pl/program,malwar … lware.html i usuń wszystko co znajdzie, wklej loga po usunięciu

Przeskanowałem

Log z programu http://wklej.org/id/138763/

Dodane 23.08.2009 (N) 3:17

Dodatkowo daje log z OTL http://wklej.org/id/138768/

Po wykonaniu tego skanowania wyłączyłem i włączyłem przywracanie systemu

Co dalej ?

A usunąłeś wszystko?

Skaner działa?

Wejdź w: C:\WINDOWS\System32\drivers\etc\ i podmień plik hosts, masz tutaj do podmiany: http://www.sendspace.com/file/27c5wa

Tak usunąłem wszystko co pokazał.

Scanner dalej się nie uruchamia to samo co na początku,

Dodatkowo nie można zainstalować aktualizacji windows internet explorer 7 dla systemu XP ten problem tez istniał wcześniej - komp inicjuje proces aktualizacji po czym przechodzi cały proces i wywala komunikat ze nie mozna zainstalować oprogramowania i wymagany jest restart, po restarcie dalej pojawia sie balon z tą samą aktualizacjią i komunikatem ze jest gotowa do zainstalowania i tak w kółko.

Plik hosts podmieniłem

Co można z tym więcej zrobić?

Daj loga z Combofix: http://forum.dobreprogramy.pl/hijackthis-rsit-otl-dds-inne-instrukcja-t36654.html

Podmiana pliku hosts to był bardzo zły pomysł.

Ów usunięty plik chronił system przed kilkoma tysiącami niebezpiecznych witryn. http://en.wikipedia.org/wiki/Hosts_file … s_blocking

Poza tym nie trzeba Combofixa, bo on nic nie zmieni, skoro nawet prostego AskBarDis nikt nie potrafi usunąć. :evil:

Stefano54 , w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy OTL.txt

Zroblłem ja pisał deFco log http://wklej.org/id/139007/ z usuwania

i ze skanowania http://wklej.org/id/139008/.

Skaner f-secure’a startuje :).

Czy coś jeszcze z tym komputerem trzeba zrobić?

Przeskanuj komputer tym: http://www.programosy.pl/program,malwar … lware.html usuń co znajdzie

wyczyść komputer: http://www.forumpc.pl/index.php?showtopic=104989

Log wygląda na czysty.

W OTL kliknij CleanUp.

Wyczyść rejestr i dysk CCleaner.

Usuń zbędniki z autostartu.

Jak już chcesz użyć skanera online, to przeskanuj obszar całego komputera i podaj raport, jeśli coś wykryje. :slight_smile:

Oki przeskanowane i nic nie znalazł http://wklej.org/id/139034/.

Dzięki za pomoc. :smiley: :smiley: