andre1922
(Poznaniak 123)
4 Styczeń 2010 19:02
#1
Witam,
zwracam się o pomoc do, jak sądzę, odpowiednich ludzi. Otóż, jak zawarłem w tytule, mam problem z reklamiarzem i zapewne nie tylko nim.
Antywirus - Avast. Wykrywał cyklicznie skubańca, więc postanowiłem zrobić skan w trybie awaryjnym i wyplemić go z kompa. Przy okazji usunąłem ok. 20 innych wirusów w tym trojany. Po tej operacji komunikat o zainfekowanym kompie przez ulotkowicza przestał się pokazywać, zaś strony o różnej tematyce nadal lubią się pojawiać. Do tego dochodzi również niestabilna praca wielu programów jak np. Outlooka, ale to już zapewne wynikać będzie z loga, który przedstawiam poniżej:
http://wklej.org/id/256157/
Z góry proszę o pomoc. Za wskazanie każdej nieprawidłowości oraz naprowadzenie na odkręcenie problemu - z góry dziękuję.
jessica
(jessica)
4 Styczeń 2010 19:17
#2
Co to jest? Legalność?
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL SRV - [2009-12-23 16:10:48 | 00,058,744 | ---- | M] () [Auto | Stopped] – C:\Documents and Settings\All Users\Dane aplikacji\QuestService\questservice113.exe – (QuestService Service) IE - HKCU…\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL File not found FF - prefs.js…extensions.enabledItems: {8141440E-08F0-4339-9959-5C31C6A69F23}:4.1.0.5290 FF - prefs.js…extensions.enabledItems: {E889F097-B0BE-471B-89AD-B86B6F04B506}:4.1.0.1960 FF - prefs.js…extensions.enabledItems: {AAF6454A-4000-4015-84C1-6CD844C06B19}:1.0 FF - prefs.js…extensions.enabledItems: {E63605FC-D583-4C81-867F-9457BDB3EA1B}:4.1.0.2080 FF - HKLM\software\mozilla\Firefox\extensions\{E63605FC-D583-4C81-867F-9457BDB3EA1B}: C:\Program Files\Web Search Operator\4.1.0.2080\FF [2009-12-18 11:41:03 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\extensions\{8141440E-08F0-4339-9959-5C31C6A69F23}: C:\Program Files\Automated Content Enhancer\4.1.0.5290\FF [2009-12-18 11:41:16 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\extensions\{E889F097-B0BE-471B-89AD-B86B6F04B506}: C:\Program Files\Customized Platform Advancer\4.1.0.1960\FF [2009-12-18 11:41:31 | 00,000,000 | —D | M] [2009-12-29 17:44:46 | 00,000,000 | —D | M] (QuestService) – C:\Program Files\Mozilla Firefox\extensions{AAF6454A-4000-4015-84C1-6CD844C06B19} [2009-12-29 17:44:47 | 00,002,406 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\questservice113.xml O2 - BHO: (Automated Content Enhancer) - {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} - C:\Program Files\Automated Content Enhancer\4.1.0.5290\ACEIEAddOn.dll () O2 - BHO: (Customized Platform Advancer) - {42C7C39F-3128-4a17-BDB7-91C46032B5B9} - C:\Program Files\Customized Platform Advancer\4.1.0.1960\CPAIEAddOn.dll () O2 - BHO: (Content Management Wizard) - {B72681C0-A222-4b21-A0E2-53A5A5CA3D41} - C:\Program Files\Content Management Wizard\1.1.0.1990\CMWIE.dll () O2 - BHO: (Textual Content Provider) - {CAC89FF9-34A9-4431-8CFE-292A47F843BC} - C:\Program Files\Textual Content Provider\1.1.0.1810\TCPIE.dll () O2 - BHO: (Web Search Operator) - {EB4A577D-BCAD-4b1c-8AF2-9A74B8DD3431} - C:\Program Files\Web Search Operator\4.1.0.2080\WSO.dll () O4 - HKLM…\Run: [KernelFaultCheck] File not found O33 - MountPoints2{067e8874-cb32-11dc-b323-0018f3066550}\Shell\Open(&0)\command - “” = Recycled\ctfmon.exe O33 - MountPoints2{33736152-d826-11de-b6da-0018f3066550}\Shell - “” = AutoRun O33 - MountPoints2{33736152-d826-11de-b6da-0018f3066550}\Shell\AutoRun\command - “” = I:\AutoRun.exe – File not found O33 - MountPoints2{850b1ef4-d821-11de-b6d9-0023cdbbd1a3}\Shell - “” = AutoRun O33 - MountPoints2{850b1ef4-d821-11de-b6d9-0023cdbbd1a3}\Shell\AutoRun\command - “” = H:\AutoRun.exe – File not found [2009-12-18 11:42:47 | 00,000,000 | —D | C] – C:\Program Files\QuestService [2009-12-18 11:42:47 | 00,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\QuestService [2009-12-18 11:42:41 | 00,000,000 | —D | C] – C:\Documents and Settings\oem\Ustawienia lokalne\Dane aplikacji\Textual Content Provider [2009-12-18 11:42:25 | 00,000,000 | —D | C] – C:\Program Files\Textual Content Provider [2009-12-18 11:42:11 | 00,000,000 | —D | C] – C:\Program Files\Content Management Wizard [2009-12-18 11:41:52 | 00,000,000 | —D | C] – C:\Program Files\Internet Today [2009-12-18 11:41:52 | 00,000,000 | —D | C] – C:\Documents and Settings\oem\Ustawienia lokalne\Dane aplikacji\Internet Today [2009-12-18 11:41:31 | 00,000,000 | —D | C] – C:\Documents and Settings\oem\Ustawienia lokalne\Dane aplikacji\Customized Platform Advancer [2009-12-18 11:41:30 | 00,000,000 | —D | C] – C:\Program Files\Customized Platform Advancer [2009-12-18 11:41:16 | 00,000,000 | —D | C] – C:\Documents and Settings\oem\Ustawienia lokalne\Dane aplikacji\Automated Content Enhancer [2009-12-18 11:41:15 | 00,000,000 | —D | C] – C:\Program Files\Automated Content Enhancer [2009-12-18 11:41:04 | 00,000,000 | —D | C] – C:\Documents and Settings\oem\Ustawienia lokalne\Dane aplikacji\Web Search Operator [2009-12-18 11:41:03 | 00,000,000 | —D | C] – C:\Program Files\Web Search Operator [2009-12-18 11:40:38 | 00,000,000 | —D | C] – C:\Program Files\Gameztar Toolbar [2009-12-18 11:40:22 | 00,000,000 | —D | C] – C:\Documents and Settings\oem\Ustawienia lokalne\Dane aplikacji\Gameztar Toolbar :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
andre1922
(Poznaniak 123)
4 Styczeń 2010 20:53
#3
jessica
(jessica)
4 Styczeń 2010 21:00
#4
Jest OK.
Ponieważ ta infekcja pozostawia po sobie dużo różnych “rzeczy” niewidocznych w logach, więc dobrze by było użyć >MBAM .
Daj z niego raport.
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
Gutek
(Gutek)
4 Styczeń 2010 22:25
#5
Temat zamykam, nie pomagamy piratom!