Problem z niepożądanymi stronami internetowymi

xdagax · 27 Październik 2008 11:10

Po włączeniu komputera notorycznie włączają mi się jakieś strony internetowe i nie wystarczy ichj wyłączyć bo w ciągu 10 min. nawet 20 razy sie pojawiaja…

oto przykładowa stronka: http://dorm.dormitory.com/index24.html

co to moze byc??

Co powinnam zrobić??

Proszę o pomoc

wuuhacz · 27 Październik 2008 11:13

Przeskanuj kompa programem antywirusowym

Najprawdopodobniej masz jakiegoś wira i to jest powodem otwierania się stron

xdagax · 27 Październik 2008 11:50

ok tak zrobie

maku13 · 27 Październik 2008 12:25

daj log z HijackThis i Combofix -> instrukcja: viewtopic.php?f=16&t=36654

xdagax · 27 Październik 2008 13:06

aaa

maku13 · 27 Październik 2008 15:22

Wpisy poniżej zaznacz i usuń programem HijackThis korzystając z opcji fix:

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O2 - BHO: DrFlex IE Helper - {8EEB2711-9D21-4f9c-99A1-B7FC5A8CA56A} - C:\Program Files\QdrDrive\QdrDrive20.dll O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_01] cmd.exe /c md “%USERPROFILE%\Ustawienia lokalne\Temp” (User ‘USŁUGA LOKALNA’) O4 - HKLM…\Run: [{9e499c54-deea-633f-ed94-323a990223da}] C:\WINDOWS\System32\Rundll32.exe “C:\WINDOWS\system32\maffjnjrkkaqi.dll” DllStart O4 - HKCU…\Run: [GetModule25] C:\Program Files\GetModule\GetModule25.exe O4 - HKCU…\Run: [GetPack23] “C:\Program Files\GetPack\GetPack23.exe” O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_03] cmd.exe /c md “%SystemRoot%\System32\dllcache” (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_04] cmd.exe /C move /Y “%SystemRoot%\System32\syssetub.dll” “%SystemRoot%\System32\syssetup.dll” (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\RunOnce: [nlpo_01] cmd.exe /c md “%USERPROFILE%\Ustawienia lokalne\Temp” (User ‘USŁUGA SIECIOWA’) O4 - Startup: ppcb_32.lnk = C:\Program Files\ppcbooster\ppcb_32.exe

Wklej do notatnika:

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

xdagax · 27 Październik 2008 16:30

ComboFix.exe mam z tym problem gdzie to mam znalezc??

maku13 · 27 Październik 2008 16:49

viewtopic.php?t=36654 - pod koniec strony (zaraz za “Look2Me-Destroyer” jest link do ściągnięcia wraz z instrukcją obsługi.

xdagax · 27 Październik 2008 16:54

aaa

maku13 · 27 Październik 2008 17:04

Pobierz program SDFix : http://cybertrash.pl/images/tata/SDFix.html

Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)
Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
Wciśnij Y nastąpi proces usuwania.
Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.
Pokaż Report.txt znajdujący się w folderze SDFix.

potem nowy log Combofixa

xdagax · 27 Październik 2008 17:05

teraz cos mi wyskoczylo przy wlaczeniu kompa ze jakies nie znane sa pliki na kompie zeby przywrocic zeby wlozyc tam plyte(rozne nazwy byly)

xdagax · 27 Październik 2008 17:07

a tego mam nie usuwać ComboFix??

maku13 · 27 Październik 2008 17:08

jeszcze nie, bo się przyda.

xdagax · 27 Październik 2008 17:15

a jak tego niue dokoncze to co sie stanie??

bo mi sie nic nie wlacza jak naciskam f8

maku13 · 27 Październik 2008 17:19

klawisz F8 wciska się zaraz po wykryciu sprzętu na kompie, a jeszcze przed pojawieniem się “uruchamianie systemu Windows”. Jaką masz klawiaturę? Zwykłą czy bezprzewodową?

Leon1 · 27 Październik 2008 17:22

w normalnym trybie pobierz i zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pokaż log

xdagax · 27 Październik 2008 17:23

zwykla

xdagax · 27 Październik 2008 17:28

Malwarebytes’ Anti-Malware 1.30

Wersja bazy definicji: 1306

Windows 5.1.2600 Dodatek Service Pack 2

2008-10-27 18:28:08

mbam-log-2008-10-27 (18-28-01).txt

Typ skanowania: Szybkie skanowanie

Przeskanowane obiekty: 45921

Upłynęło: 1 minute(s), 48 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 13

Zainfekowane wartości rejestru: 2

Zainfekowane pliki rejestru: 1

Zainfekowane foldery: 0

Zainfekowane pliki: 3

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin.1 (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\myglobalsearchbar.) -> No action taken.

HKEY_CLASSES_ROOT\Interface{37b85a2a-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\Interface{37b85a2c-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\CLSID{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\CLSID{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\CLSID{ef281620-a3a3-4f08-874f-d68cfc9b7945} (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\Typelib{37b85a20-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{3c2615db-845c-5473-96e9-5036d15592af} (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\agadoo (Adware.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> No action taken.

Zainfekowane wartości rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar{37b85a29-692b-4205

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

C:\WINDOWS\ndxq3074.exe (Trojan.Downloader) -> No action taken.

C:\WINDOWS\system32\gansvmnspmczwekdp.dll-uninst.exe (Malware.Trace) -> No action taken.

C:\WINDOWS\system32\gvownjiwfhjlsrlk.exe (Trojan.Agent) -> No action taken.

Leon1 · 27 Październik 2008 17:42

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Otwórz notatnik i wklej

Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin] [-HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin.1] [-HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin] [-HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin.1] [-HKEY_CLASSES_ROOT\Interface{37b85a2a-692b-4205-9cad-2626e4993404}] [-HKEY_CLASSES_ROOT\Interface{37b85a2c-692b-4205-9cad-2626e4993404}] [-HKEY_CLASSES_ROOT\CLSID{014da6c9-189f-421a-88cd-07cfe51cff10}] [-HKEY_CLASSES_ROOT\CLSID{37b85a29-692b-4205-9cad-2626e4993404}] [-HKEY_CLASSES_ROOT\CLSID{ef281620-a3a3-4f08-874f-d68cfc9b7945}] [-HKEY_CLASSES_ROOT\Typelib{37b85a20-692b-4205-9cad-2626e4993404}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{3c2615db-845c-5473-96e9-5036d15592af}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\agadoo] [-HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] “{37b85a29-692b-4205-9cad-2626e4993404}”=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser] “{37b85a29-692b-4205-9cad-2626e4993404}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] “Local Page”=“http://www.google.com/”

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

potem nowy log Malware - pełny skan

xdagax · 27 Październik 2008 20:30

ok dzieki