Pojawiajace sie reklamy & niechciane toolbary


(Slaashst7) #1

Witam, od jakiegos czasu mam problem z wirusami. Pierwsze wirusy obciazaly mi procesor na 100% ale ich pozbylem sie sam z racji ze nikt nie chcial pomoc.

Teraz doszlo cos nowego. W losowych momentach, w losowej ilosci sa odtwarzane reklamy dzwiekone (nie cale, sa one uciete) oraz cos mnie przekierowuje z Google na reklamy. Kolejny symptom to takie dzialanie jakbym kliknal poza miejsce w ktorym pisze i po prostu pisanie mi sie wylacza i musze kliknac jeszcze raz.

Prosze o przeanalizowanie logow i wyznaczenie mi tego co musze usunac:

http://www.wklej.eu/index.php?id=2c6e788627 - HijackThis log

http://www.wklej.eu/index.php?id=ae8068159f - OTL log


(jessica) #2

Nie widać tu żadnej infekcji.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

Jeśli coś znajdzie, to niech usunie, a raport tu pokażesz.

jessi


(Slaashst7) #3

http://www.wklej.eu/index.php?id=4689f5157c log z OTL po wykonaniu skryptu (toolbary w firefoxie dalej sa, nie zmienilo sie nic poza tym ze zresetowalo mi chyba pamiec wszystkich pluginow... sugerowalo to otwarcie strony glownej GreaseMonkey, jakbym wlasnie to zainstalowal).

Log z Flash Scanu MBAM - http://3paste.com/s/1821

Log z Qucick scanu - http://3paste.com/s/1822

Ten MBAM to dobry program. Tak pratrze, to blokuje co chwile polaczenie z potencjalnie zawirusowana strona.. kiedy ja nic nie otwieram..

Zaraz wykonam pelny start i walne restart.

Zna ktos jeszcze jakies takie przydatne programy? A teraz lece zmieniac hasla na mailu.


(jessica) #4

Do usuwania toolbarow > ToolBar S&D >http://www.fixitpc.pl/index.php?/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/ - post nr 3

Lista tego, co usuwa: >http://sites.google.com/site/eric71mespages/toolbarsd.en - kliknąć na CHANGELOG

jessi


(Slaashst7) #5

Fun fact:

IP z ktorymi probuje sie polaczyc moj komputer to:

89.28.125.109

89.28.14.116

212.117.170.147

Boje sie ze zostalem zarazony jakims RAT-em.


(jessica) #6

Trochę to egzotyczne, ale MBAM powinien wykryć takie przekierowania DNS-ów, i je usunąć.

/


(Slaashst7) #7

MBAM blokuje wszystkie podejrzane polaczenia, co nie zmienia faktu ze sa dalej z corach to innych IP.

220.248.226

94.96.44.217

212.117.183.204

58.141.23.50

94.96.184.216

(jessica) #8

Przywracanie prawidłowego DNS>http://www.fixitpc.pl/index.php?/topic/4-naprawianie-szkod-systemowych/


(Muszii) #9

Mogę też prosić o pomoc. Pojawiające się reklamy w nowych oknach.

 

http://www.wklej.org/id/1261797/ - OTL

http://www.wklej.org/id/1261806/ - Extras


(Acorus) #10

Odinstaluj Jump Flip,Bundled software uninstaller,WPM17.8.0.3297,

Lollipop.Użyj AdwCleaner http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Pokaż nowy OTL.txt


(Muszii) #11

http://www.wklejto.pl/190814 - OTL


(Acorus) #12

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O4 - HKCU..\Run: [bedffeabbfecagfdgfdgdfg] "C:\Users\radek\AppData\Local\Temp\mounbaor.exe" File not found
O4 - HKCU..\Run: [NextLive] C:\Users\radek\AppData\Roaming\newnext.me\nengine.dll (NewNextDotMe)
[2014-02-05 09:22:41 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-01-24 11:49:40 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
[2014-01-13 15:17:11 | 000,000,000 | ---D | C] -- C:\Users\radek\.android
[2014-01-13 15:17:09 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Local\cache
[2014-01-13 15:17:03 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Roaming\newnext.me
[2014-01-13 15:16:59 | 000,000,000 | ---D | C] -- C:\Users\radek\Documents\Mobogenie
[2014-01-13 15:16:59 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Local\Mobogenie
[2014-01-13 15:16:59 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Local\genienext
[2014-01-13 15:16:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mobogenie

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.


(Muszii) #13

wielkie dzięki wszystko działa bez zarzutu