Vorian
(Slaashst7)
7 Sierpień 2010 09:21
#1
Witam, od jakiegos czasu mam problem z wirusami. Pierwsze wirusy obciazaly mi procesor na 100% ale ich pozbylem sie sam z racji ze nikt nie chcial pomoc.
Teraz doszlo cos nowego. W losowych momentach, w losowej ilosci sa odtwarzane reklamy dzwiekone (nie cale, sa one uciete) oraz cos mnie przekierowuje z Google na reklamy. Kolejny symptom to takie dzialanie jakbym kliknal poza miejsce w ktorym pisze i po prostu pisanie mi sie wylacza i musze kliknac jeszcze raz.
Prosze o przeanalizowanie logow i wyznaczenie mi tego co musze usunac:
http://www.wklej.eu/index.php?id=2c6e788627 - HijackThis log
http://www.wklej.eu/index.php?id=ae8068159f - OTL log
jessica
(jessica)
7 Sierpień 2010 14:01
#2
Nie widać tu żadnej infekcji.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/ FF - prefs.js…browser.search.defaultenginename: “BearShare Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2452474&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.order.1: “BearShare Web Search” FF - prefs.js…browser.startup.homepage: “http://search.bearshare.com/ ” FF - prefs.js…extensions.enabledItems: {E84D42CA-64EB-11DE-A65F-8C3656D89593}:3.1 FF - prefs.js…keyword.URL: “http://search.bearshare.com/web?src=ffb&q= ” [2010/07/03 20:52:51 | 000,000,000 | —D | M] (MediaBar) – C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\ff23355l.default\extensions{E84D42CA-64EB-11DE-A65F-8C3656D89593} [2010/08/04 02:42:57 | 000,000,000 | —D | M] – C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\ff23355l.default\extensions\toolbar@ask.com [2010/04/12 14:01:54 | 000,002,476 | ---- | M] () – C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\ff23355l.default\searchplugins\BearShareWebSearch.xml [2010/01/20 13:14:32 | 000,000,925 | ---- | M] () – C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\ff23355l.default\searchplugins\conduit.xml [2010/01/27 15:28:16 | 000,009,985 | ---- | M] () – C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\ff23355l.default\searchplugins\mywebsearch.xml [2010/04/12 14:01:54 | 000,002,476 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll () O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKCU…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\DataMngr\datamngr.dll) - C:\Program Files\BearShare Applications\MediaBar\DataMngr\datamngr.dll () MsConfig - StartUpReg: ALLUpdate - hkey= - key= - C:\Program Files\ALLPlayer\ALLUpdate.exe File not found [2010/08/03 23:09:41 | 000,000,000 | —D | C] – C:\Program Files\Ask.com :Files C:\Users\sony\AppData\Local\Temp*.html C:\Program Files\BearShare Applications :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
Użyj MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
Jeśli coś znajdzie, to niech usunie, a raport tu pokażesz.
jessi
Vorian
(Slaashst7)
7 Sierpień 2010 17:31
#3
http://www.wklej.eu/index.php?id=4689f5157c log z OTL po wykonaniu skryptu (toolbary w firefoxie dalej sa, nie zmienilo sie nic poza tym ze zresetowalo mi chyba pamiec wszystkich pluginow… sugerowalo to otwarcie strony glownej GreaseMonkey, jakbym wlasnie to zainstalowal).
Log z Flash Scanu MBAM - http://3paste.com/s/1821
Log z Qucick scanu - http://3paste.com/s/1822
Ten MBAM to dobry program. Tak pratrze, to blokuje co chwile polaczenie z potencjalnie zawirusowana strona… kiedy ja nic nie otwieram…
Zaraz wykonam pelny start i walne restart.
Zna ktos jeszcze jakies takie przydatne programy? A teraz lece zmieniac hasla na mailu.
jessica
(jessica)
7 Sierpień 2010 17:42
#4
Vorian
(Slaashst7)
7 Sierpień 2010 17:49
#5
Fun fact:
IP z ktorymi probuje sie polaczyc moj komputer to:
89.28.125.109
89.28.14.116
212.117.170.147
Boje sie ze zostalem zarazony jakims RAT-em.
jessica
(jessica)
7 Sierpień 2010 18:04
#6
Trochę to egzotyczne, ale MBAM powinien wykryć takie przekierowania DNS-ów, i je usunąć.
/
Vorian
(Slaashst7)
7 Sierpień 2010 19:07
#7
MBAM blokuje wszystkie podejrzane polaczenia, co nie zmienia faktu ze sa dalej z corach to innych IP.
220.248.226
94.96.44.217
212.117.183.204
58.141.23.50
94.96.184.216
jessica
(jessica)
7 Sierpień 2010 20:25
#8
muszii
(Muszii)
4 Luty 2014 10:32
#9
Mogę też prosić o pomoc. Pojawiające się reklamy w nowych oknach.
http://www.wklej.org/id/1261797/ - OTL
http://www.wklej.org/id/1261806/ - Extras
Acorus
(Acorus)
4 Luty 2014 11:13
#10
Odinstaluj Jump Flip,Bundled software uninstaller,WPM17.8.0.3297,
Lollipop.Użyj AdwCleaner http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
Pokaż nowy OTL.txt
muszii
(Muszii)
5 Luty 2014 08:43
#11
Acorus
(Acorus)
5 Luty 2014 09:31
#12
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O4 - HKCU..\Run: [bedffeabbfecagfdgfdgdfg] "C:\Users\radek\AppData\Local\Temp\mounbaor.exe" File not found
O4 - HKCU..\Run: [NextLive] C:\Users\radek\AppData\Roaming\newnext.me\nengine.dll (NewNextDotMe)
[2014-02-05 09:22:41 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-01-24 11:49:40 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
[2014-01-13 15:17:11 | 000,000,000 | ---D | C] -- C:\Users\radek\.android
[2014-01-13 15:17:09 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Local\cache
[2014-01-13 15:17:03 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Roaming\newnext.me
[2014-01-13 15:16:59 | 000,000,000 | ---D | C] -- C:\Users\radek\Documents\Mobogenie
[2014-01-13 15:16:59 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Local\Mobogenie
[2014-01-13 15:16:59 | 000,000,000 | ---D | C] -- C:\Users\radek\AppData\Local\genienext
[2014-01-13 15:16:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mobogenie
:Commands
[emptytemp]
Kliknij Wykonaj skrypt.
muszii
(Muszii)
5 Luty 2014 11:18
#13
wielkie dzięki wszystko działa bez zarzutu