Pojawiajace sie reklamy & niechciane toolbary

Vorian · 7 Sierpień 2010 09:21

Witam, od jakiegos czasu mam problem z wirusami. Pierwsze wirusy obciazaly mi procesor na 100% ale ich pozbylem sie sam z racji ze nikt nie chcial pomoc.

Teraz doszlo cos nowego. W losowych momentach, w losowej ilosci sa odtwarzane reklamy dzwiekone (nie cale, sa one uciete) oraz cos mnie przekierowuje z Google na reklamy. Kolejny symptom to takie dzialanie jakbym kliknal poza miejsce w ktorym pisze i po prostu pisanie mi sie wylacza i musze kliknac jeszcze raz.

Prosze o przeanalizowanie logow i wyznaczenie mi tego co musze usunac:

http://www.wklej.eu/index.php?id=2c6e788627 - HijackThis log

http://www.wklej.eu/index.php?id=ae8068159f - OTL log

jessica · 7 Sierpień 2010 14:01

Nie widać tu żadnej infekcji.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/ FF - prefs.js…browser.search.defaultenginename: “BearShare Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2452474&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.search.order.1: “BearShare Web Search” FF - prefs.js…browser.startup.homepage: “http://search.bearshare.com/” FF - prefs.js…extensions.enabledItems: {E84D42CA-64EB-11DE-A65F-8C3656D89593}:3.1 FF - prefs.js…keyword.URL: “http://search.bearshare.com/web?src=ffb&q=” [2010/07/03 20:52:51 | 000,000,000 | —D | M] (MediaBar) – C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\ff23355l.default\extensions{E84D42CA-64EB-11DE-A65F-8C3656D89593} [2010/08/04 02:42:57 | 000,000,000 | —D | M] – C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\ff23355l.default\extensions\toolbar@ask.com [2010/04/12 14:01:54 | 000,002,476 | ---- | M] () – C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\ff23355l.default\searchplugins\BearShareWebSearch.xml [2010/01/20 13:14:32 | 000,000,925 | ---- | M] () – C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\ff23355l.default\searchplugins\conduit.xml [2010/01/27 15:28:16 | 000,009,985 | ---- | M] () – C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\ff23355l.default\searchplugins\mywebsearch.xml [2010/04/12 14:01:54 | 000,002,476 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll () O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKCU…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\DataMngr\datamngr.dll) - C:\Program Files\BearShare Applications\MediaBar\DataMngr\datamngr.dll () MsConfig - StartUpReg: ALLUpdate - hkey= - key= - C:\Program Files\ALLPlayer\ALLUpdate.exe File not found [2010/08/03 23:09:41 | 000,000,000 | —D | C] – C:\Program Files\Ask.com :Files C:\Users\sony\AppData\Local\Temp*.html C:\Program Files\BearShare Applications :Commands [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

Jeśli coś znajdzie, to niech usunie, a raport tu pokażesz.

jessi

Vorian · 7 Sierpień 2010 17:31

http://www.wklej.eu/index.php?id=4689f5157c log z OTL po wykonaniu skryptu (toolbary w firefoxie dalej sa, nie zmienilo sie nic poza tym ze zresetowalo mi chyba pamiec wszystkich pluginow… sugerowalo to otwarcie strony glownej GreaseMonkey, jakbym wlasnie to zainstalowal).

Log z Flash Scanu MBAM - http://3paste.com/s/1821

Log z Qucick scanu - http://3paste.com/s/1822

Ten MBAM to dobry program. Tak pratrze, to blokuje co chwile polaczenie z potencjalnie zawirusowana strona… kiedy ja nic nie otwieram…

Zaraz wykonam pelny start i walne restart.

Zna ktos jeszcze jakies takie przydatne programy? A teraz lece zmieniac hasla na mailu.

jessica · 7 Sierpień 2010 17:42

Do usuwania toolbarow > ToolBar S&D >http://www.fixitpc.pl/index.php?/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/ - post nr 3

Lista tego, co usuwa: >http://sites.google.com/site/eric71mespages/toolbarsd.en - kliknąć na CHANGELOG

jessi

Vorian · 7 Sierpień 2010 17:49

Fun fact:

IP z ktorymi probuje sie polaczyc moj komputer to:

89.28.125.109

89.28.14.116

212.117.170.147

Boje sie ze zostalem zarazony jakims RAT-em.

jessica · 7 Sierpień 2010 18:04

Trochę to egzotyczne, ale MBAM powinien wykryć takie przekierowania DNS-ów, i je usunąć.

/

Vorian · 7 Sierpień 2010 19:07

MBAM blokuje wszystkie podejrzane polaczenia, co nie zmienia faktu ze sa dalej z corach to innych IP.

220.248.226

94.96.44.217

212.117.183.204

58.141.23.50

94.96.184.216

jessica · 7 Sierpień 2010 20:25

Przywracanie prawidłowego DNS>http://www.fixitpc.pl/index.php?/topic/4-naprawianie-szkod-systemowych/

muszii · 4 Luty 2014 10:32

Mogę też prosić o pomoc. Pojawiające się reklamy w nowych oknach.

http://www.wklej.org/id/1261797/ - OTL

http://www.wklej.org/id/1261806/ - Extras

Acorus · 4 Luty 2014 11:13

Odinstaluj Jump Flip,Bundled software uninstaller,WPM17.8.0.3297,

Lollipop.Użyj AdwCleaner http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Pokaż nowy OTL.txt

muszii · 5 Luty 2014 08:43

http://www.wklejto.pl/190814 - OTL

Acorus · 5 Luty 2014 09:31

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O4 - HKCU..\Run: [bedffeabbfecagfdgfdgdfg] "C:\Users\radek\AppData\Local\Temp\mounbaor.exe" File not found
O4 - HKCU..\Run: [NextLive] C:\Users\radek\AppData\Roaming\newnext.me\nengine.dll (NewNextDotMe)
[2014-02-05 09:22:41 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-01-24 11:49:40 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
[2014-01-13 15:17:11 | 000,000,000 | ---D | C] -- C:\Users\radek\.android
[2014-01-13 15:17:09 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Local\cache
[2014-01-13 15:17:03 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Roaming\newnext.me
[2014-01-13 15:16:59 | 000,000,000 | ---D | C] -- C:\Users\radek\Documents\Mobogenie
[2014-01-13 15:16:59 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Local\Mobogenie
[2014-01-13 15:16:59 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Local\genienext
[2014-01-13 15:16:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mobogenie

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.

muszii · 5 Luty 2014 11:18

wielkie dzięki wszystko działa bez zarzutu