Nietypowy problem - wirus przekierowujący na inne strony?


(V Fox V) #1

Witam !

Mam dośc nietypowy problem. Ostatnio momętami mocno muli mi się net. Na początku nie podejżewałem o to wirusa, ale to nie jedyny objaw. Dziwnie zmienił mi się wygląd googli. Coś jakby rozdziałka się zmieniła, litery zrobiły się większe i nie jestem pewiem, czy nie zmieniła się czcionka - sam nic takiego nie ustawałem... i kiedy wyszukuje sobie coś w tychże googlach, znajduje mi normalnie strony, ale kiedy klikam w jakiś link, automatycznie następuje przekierowanie na inną strone (a właściwie, to nawed kilka przekierowań, adresy w padku adresu zmieniają się jak w kalejdoskopie :roll: ) Ale, żeby było zabawniej - kiedy dany adres ręcznie wpisuje w pasku adresu, wchodzi mi normalnie na tą strone, której adres wpisuje. Zeskanowałem system ad-aware'em

  • znalazł 13 jakiś ciasteczek i innych drobnych szpiegów reklamowych. Problem nadal występował. Pobrałem program Spyware terminator. Ot co znalazł :

http://img175.imageshack.us/my.php?imag ... tornq1.jpg

Jak kliknąłem usuń, to wyskoczyło, że żeby całkowicie to usunąc, muszę zamknąc jeszcze jakiś proces - zamknąłem i piec się zresetował. Przeskanowałem ponownie terminatorem, i znowu wynajduje to samo. Ogulnie możecie się śmiac :smiley: ale nie lubie jak mi antywir jakieś dziwne żeczy wynajduje głęboko w plikach systemowych. Jestem użytkownikiem dośc zielonym :wink: i zawsze obawiam się, czy nie jest to poprostu heurystyka, czy antywir nie kwalifikuje czegoś błędnie. Przeważnie ryzykuje, ale tym razem nawed nie jestem w 100% przekonany, czy to napewno jakiś wirus, bo komputer chodzi ładnie, nie ma żadnych problemów oprócz tych googli i spowolnienia neta, więc wole uzyskac opinie użytkowników bardziej zaawansowanych. I jeszcze jedna dziwna żecz - nie mogłem pobrac hijackthis... próbowałem z czterech różnych stron, na kilka różnych sposobów - ciągle nic. W końcu pobrałem zamiast wersji .exe wersje .com z tąd :

http://www.searchengines.pl/Narzedzia-H ... 15989.html

i tutaj mam log :

http://www.wklej.org/id/23131/

aha, i jeszcze w autostarcie znalazłem takie coś - apsh.exe

Ufff... już chyba dokładniej nie mogłem problemu opisac :slight_smile: Dodam tylko, że przez te muły napisanie tej wiadomości, uzyskanie odpowiednich danych, publikacja zdjęc itd. zajęło mi ponad półtorej godziny :o

Pozdrawiam i mam nadzieję, na waszą fachową pomoc. :roll:

FOX100


(Leon$) #2

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń - pokaż log

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 uruchom dwuklikiem

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

podczas pobierania zapisz pod przypadkową nazwą np. abc.com (z rozszerzeniem com)

:slight_smile:


(V Fox V) #3

nie chce mi pobrac tego avengera, chyba też go w jakiś sposób blokuje - nie da się tego usunąc combofix'em ? bo mam go akurat na kompie...

Albo mam inny pomysł - mógłbyś pobrac ten program pod odpowiednią nazwą i rozszerzeniem, i wysłac mi go na maila ? v.fox.v@wp.pl

Byłbym niezmiernie wdzięczny :slight_smile:


(Leon$) #4

czy możesz uruchomić Combofix dwuklkiem i pokazać log?

:slight_smile:


(V Fox V) #5

Combofix się nie uruchamia, klikam dwukrotnie i nic :frowning:


(Spandau) #6

Czy pobrałeś Combofixa i zapisałeś pod zmienioną nazwą jak zalecił Leon czy nadal próbujesz uruchomić ten który masz na komputerze, bo on nadaje się już do kosza przy Twojej infekcji?

Jeśli nie pobrałeś a możesz to zrobić to pobierz ponownie Combofixa już w trakcie pobierania zapisz pod zmienioną nazwą jak zalecił Leon (z rozszerzeniem com), następnie wejdź w tryb awaryjny windows i uruchom Combofixa dwuklikiem

:slight_smile:


(V Fox V) #7

Nie pobrałem, bo nie mogę pobrac :frowning: nie pojawia się w ogóle żadne okienko jak to zapisac, gdzie pod jaką nazwą itd. nie ważne, czy klikam bezpośrednio w link, czy otwieram go na nowej stronie, czy robie "zapisz element docelowy jako " - nic się nie dzieje. :frowning:


(Spandau) #8

Wysyłam je na Twój email z instrukcją

Poszło, więc tak najpierw spróbuj Avengerem - skrypt podał Leon następnie użyj Combofixa w trybie awaryjnym windows

:slight_smile:


(V Fox V) #9

Ok, świetnie, dzięki wielkie, w tryb awaryjny dobrze pamiętam, że wciskając F8 podczas startu systemu się wchodziło ? :slight_smile:

I potem jak combofix zrobi loga, to wejśc w trybie normalnym ? :slight_smile: Sorki, że tak łopatologicznie, ale kto pyta nie błądzi :wink:


(Spandau) #10

Tak - Tak :slight_smile:


(V Fox V) #11

tu jest log z avangera, z tego co tam wyczytałem, to niewiele usunął, bo niby tam nic nie było...

http://www.wklej.org/id/23183/

to mam to teraz zrobic, czy użyc combofix w trybie awaryjnym ?

muli się jakby mniej chyba, ale przekierowania wciąż są...


(Spandau) #12

Wejdź w tryb awaryjny windows i uruchom Combofixa dwuklikiem :slight_smile:


(V Fox V) #13

Niestety, combofix chyba nie działa.

Uruchomiłem system w trybie awaryjnym, kliknąłem dwa razy na combofix. ( ten od Ciebie oczywiście, ze zmienioną nazwą ) zaczął się ładowac, niby wszystko ładnie pięknie, a po chwili mi się pojawiła jakaś informacja, że combofix wykrył brak czegoś, chyba panelu przywracania plików systemu windows czy cos takiego, i że leży to w moim interesie, żeby to pobrac. Zgodziłem sie, i mi się po chwili pojawiło, że nie ma połączenia z netem, żebym go podłączył i kliknął ok. kliknąłem, i znowu wyjechało, że nie ma połączenia, i pomineło to i zaczęło jechac dalej. Aż do momentu, kiedy pojawiło się coś takiego : " skanowanie systemu w celu wykrycia zainfekowanych plików. Zazwyczaj nie trwa to dłużej niż 10 min. W przypadku mocno zainfekowanego systemu czas ten może się minimalnie przedłużyc. "

czekałem kilkanaście minut i nic, nawed nie było słychac, żeby komp pracował. Zamknąłem to okno i jeszcze raz uruchomiłem combofix, tym razem od razu zaznaczyłem, że nie chce tego czegoś instalowac i znowu stanęło w tym samym momęcie, tym razem czekałem 20 min. i nic, więc włączyłem kompa normalnie. :frowning:


(Spandau) #14

Pobierz The Avenger (uruchom ten który masz) zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

Nstępnie uruchom program Malwarebytes Instrukcje i program w linku Leona przeskanuj wszystkie dyski usuń co znajdzie i daj log na forum

Jeśli ten program się nie uruchomi to ponownie spróbuj uruchomić Combofixa


(V Fox V) #15

link do loga

http://www.wklej.org/id/23218/

Malware właśnie pobrałem, zaraz będe instalował.


(V Fox V) #16

ZNALAZŁ !!

http://www.wklej.org/id/23239/

internet zdaje się chodzic znacznie szybciej (chociaz nie wiem czemu lampka na modemie zapiernicza jak ... zazwyczaj robi tak, jak net jest mocno wykorzystywany...) google powróciły do dawnego wyglądu, i przekierowania zniknęły !!

Podziwiam, pozdrawiam i SERDECZNIE DZIĘKUJE ZA PROFESJONALNĄ POMOC !!


(Spandau) #17

Teraz pobierz Combofix przeskanuj system i daj log na forum. Chcemy zobaczyć czy coś jeszcze nie zostało

:slight_smile:


(V Fox V) #18

Combofix też działał ładnie, ale po tym, jak się zakończyło ileśtam etapów chyba coś tam jeszcze usunął, po czym pojawiło się okienko "restartowanie systemu windows" i tak czekałem jakiś czas i nic się nie działo, więc go zresetowałem. Na dusku c, pojawiły mi się dwa pliki : boot.bak i cmldr - usunąc je ?


(Spandau) #19

Nie usuwaj, sprawdź czy nie ma pliku ComboFix.txt, jeśli jest to daj ten log na forum


(V Fox V) #20

nie ma, ani luzem, ani w folderze qoobox ani w dolderze combofix.

folder qoobox się usuwa nie ? ( tam jest jeszzcze chyba log z okolic wakacji, choc dałbym sobie głowe urwac, że go usuwałem :? ) :wink: