Stefano54
(Stefan54 54)
22 Sierpień 2009 22:16
#1
Witam.
Mam problem z komputerem. Po wykryciu przez avasta trojanów Kavos, malware-gen, adspy-cm przeskanowałem komputer programami sbybot i superantispywere które wykryły i usuneły rodzine adaware MyWebsearch/FunWebProducts. Pomimo tego nie mogę odpalić ani f-secure ani kaspersky online skanera. Dotyczy to zarówno przeglądarki firefox jak i iexplorer. Np. przy odpalaniu f-secure’a zamiast sna strone z programem przerzuca mnie na coś takiego http://wstaw.org/pokaz/17262/
Proszę o sprawdzenie czy jeszcze jakieś inne złośliwe oprogramowanie nie zostało na komputerze.
Log Hijack this:
http://www.wklej.org/id/138701/
Pozdrawiam i z góry dzięki za pomoc
Umpfh
(Umpfh)
22 Sierpień 2009 22:21
#2
Zaznaczasz i Fix.
O8 - Extra context menu item: &Search - ?p=ZKfox000
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
Daj loga z OTL
Stefano54
(Stefan54 54)
22 Sierpień 2009 22:33
#3
Zafiksowałem w HJT
Log z OTL http://wklej.org/id/138709/
Umpfh
(Umpfh)
22 Sierpień 2009 22:49
#4
Wejdź w: C:\WINDOWS\System32\drivers\etc\ tam masz plik: Hosts , otwórz go za pomocą notatnika i skasuj te wpisy:
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 11100 more lines...
Wklej w okienko OTL poniższy wpis (przesuń suwak, żeby widzieć cały!) i klik na Run Fix. następnie po restarcie dajesz nowego loga z OTL
:Processes
explorer.exe
:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O32 - AutoRun File - [2008-08-27 15:41:06 | 00,000,088 | ---- | M] () - H:\Autorun.inf -- [FAT32]
O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\APPInst.exe -- [2008-10-10 16:16:14 | 03,514,368 | ---- | M] (Samsung Electronics)
:Files
C:\Documents and Settings\Stefan\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
:Commands
[emptytemp]
[start explorer]
[Reboot]
Stefano54
(Stefan54 54)
22 Sierpień 2009 23:17
#5
Znalazłem plik hosts ale nie moglem zapisać w notatniku zmian.
Wykonałem drugą część polecenia i po restarcie pokazało się: http://wklej.org/id/138725/
Log z OTL: http://wklej.org/id/138727/
Co dalej ?
Umpfh
(Umpfh)
22 Sierpień 2009 23:34
#6
uruchom OTL i wpisz:
:Processes
explorer.exe
:OTL
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 11100 more lines...
:Commands
[emptytemp]
[start explorer]
[Reboot]
dajesz loga po restarcie utworzonego + nowego z OTL.
Stefano54
(Stefan54 54)
22 Sierpień 2009 23:51
#7
Zrobione,
Log OTL http://wklej.org/id/138733/
Co dalej?
– Dodane 23.08.2009 (N) 1:59 –
Pominąłem log z restartu oto on http://wklej.org/id/138735/
Umpfh
(Umpfh)
23 Sierpień 2009 00:11
#8
Przeskanuj cały obszar komputera tym: http://www.programosy.pl/program,malwar … lware.html i usuń wszystko co znajdzie, wklej loga po usunięciu
Stefano54
(Stefan54 54)
23 Sierpień 2009 01:06
#9
Przeskanowałem
Log z programu http://wklej.org/id/138763/
– Dodane 23.08.2009 (N) 3:17 –
Dodatkowo daje log z OTL http://wklej.org/id/138768/
Po wykonaniu tego skanowania wyłączyłem i włączyłem przywracanie systemu
Co dalej ?
Umpfh
(Umpfh)
23 Sierpień 2009 01:26
#10
A usunąłeś wszystko?
Skaner działa?
Wejdź w: C:\WINDOWS\System32\drivers\etc\ i podmień plik hosts, masz tutaj do podmiany: http://www.sendspace.com/file/27c5wa
Stefano54
(Stefan54 54)
23 Sierpień 2009 02:01
#11
Tak usunąłem wszystko co pokazał.
Scanner dalej się nie uruchamia to samo co na początku,
Dodatkowo nie można zainstalować aktualizacji windows internet explorer 7 dla systemu XP ten problem tez istniał wcześniej - komp inicjuje proces aktualizacji po czym przechodzi cały proces i wywala komunikat ze nie mozna zainstalować oprogramowania i wymagany jest restart, po restarcie dalej pojawia sie balon z tą samą aktualizacjią i komunikatem ze jest gotowa do zainstalowania i tak w kółko.
Plik hosts podmieniłem
Co można z tym więcej zrobić?
Umpfh
(Umpfh)
23 Sierpień 2009 06:38
#12
deFco247
(deFco247)
23 Sierpień 2009 08:28
#13
Podmiana pliku hosts to był bardzo zły pomysł .
Ów usunięty plik chronił system przed kilkoma tysiącami niebezpiecznych witryn. http://en.wikipedia.org/wiki/Hosts_file … s_blocking
Poza tym nie trzeba Combofixa, bo on nic nie zmieni, skoro nawet prostego AskBarDis nikt nie potrafi usunąć. :evil:
Stefano54 , w OTL wklej:
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy OTL.txt
Stefano54
(Stefan54 54)
23 Sierpień 2009 14:06
#14
Zroblłem ja pisał deFco log http://wklej.org/id/139007/ z usuwania
i ze skanowania http://wklej.org/id/139008/ .
Skaner f-secure’a startuje :).
Czy coś jeszcze z tym komputerem trzeba zrobić?
Umpfh
(Umpfh)
23 Sierpień 2009 14:08
#15
deFco247
(deFco247)
23 Sierpień 2009 14:09
#16
Log wygląda na czysty.
W OTL kliknij CleanUp .
Wyczyść rejestr i dysk CCleaner .
Usuń zbędniki z autostartu.
Jak już chcesz użyć skanera online, to przeskanuj obszar całego komputera i podaj raport, jeśli coś wykryje.
Stefano54
(Stefan54 54)
23 Sierpień 2009 14:53
#17
Oki przeskanowane i nic nie znalazł http://wklej.org/id/139034/ .
Dzięki za pomoc.