system
(system)
19 Październik 2009 17:12
#1
Komputer znajomej dziwnie się zachowuje. Poza tym, że wszystko bardzo długo się uruchamia to co jakiś czas podczas przeglądania Internetu (Firefox) otwiera się nowe okno przeglądarki gdzie pokazują się reklamy.
Poza tym wczoraj znajoma pisała esej i przez jakiś czas nie mogła uruchomić Microsoft Word. Potem samo się naprawiło, ale komputer generalnie nadal wygląda na zainfekowany.
Avast wykrywa różne świństwa, w tym trojana, ale sobie z nimi nie radzi. Podczas jednego skanowania Avastem i Ad-Awarem komputer sam się zrestartował.
Inne dane:
Log HijackThis
deFco247
(deFco247)
19 Październik 2009 17:13
#2
Pokaż logi OTL , oraz SREng .
(Na Windows Vista uruchamiamy programy z menu Uruchom jako Administrator… )
deFco247
(deFco247)
19 Październik 2009 17:43
#4
Uruchom SREng -> System Repair -> zakładka Browser Addons -> odszukaj i usuń:
To jest RSIT, a nie OTL.
system
(system)
19 Październik 2009 17:59
#5
Poprawny OTL
Pośpieszyłem się troszeczkę
Usunąłem wskazane wpisy.
deFco247
(deFco247)
19 Październik 2009 18:17
#6
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :OTL FF - prefs.js…browser.startup.homepage: “http://www.theprizeday.com/today.php|http://pl.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pl:official\n ” FF - prefs.js…extensions.enabledItems: {0BA0192D-94A5-45e3-B2B8-3EC5A1A0B5EC}:2.0.0.1050 FF - prefs.js…extensions.enabledItems: {2224E955-00E9-4613-A844-CE69FCCAAE91}:3.8.1.4690 FF - HKLM\software\mozilla\Firefox\Extensions\{2224E955-00E9-4613-A844-CE69FCCAAE91}: C:\Program Files\Internet Saving Optimizer\3.8.1.4690\FF [2009-09-10 21:29:19 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\Extensions\{0BA0192D-94A5-45e3-B2B8-3EC5A1A0B5EC}: C:\Program Files\Media Access Startup\2.0.0.1050\FF [2009-09-10 21:29:38 | 00,000,000 | —D | M] [2009-09-11 00:52:49 | 00,002,381 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\sukoku117.xml O2 - BHO: (Media Access Startup) - {25B8D58C-B0CB-46b0-BA64-05B3804E4E86} - C:\Program Files\Media Access Startup\2.0.0.1050\HPIEAddOn.dll () O2 - BHO: (NP Helper Class) - {35B8D58C-B0CB-46b0-BA64-05B3804E4E86} - C:\Program Files\Internet Saving Optimizer\3.8.1.4690\NPIEAddOn.dll () O2 - BHO: (System Search Dispatcher) - {CDBFB47B-58A8-4111-BF95-06178DCE326D} - C:\Program Files\System Search Dispatcher\1.4.3.1040\ssd.dll () O3 - HKU\S-1-5-21-3750299932-3708562329-2801604769-1000…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-3750299932-3708562329-2801604769-1000…\Toolbar\WebBrowser: (no name) - {5617ECA9-488D-4BA2-8562-9710B9AB78D2} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] :Files C:\Program Files\Media Access Startup C:\Program Files\Internet Saving Optimizer C:\Program Files\System Search Dispatcher :Services IDriverT ArcaBit.TaskScheduler ArcaBit.Core.LoggingService ArcaBit.Core.Configurator ABNetMon ABFileMon :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
jessica
(jessica)
19 Październik 2009 18:23
#7
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL FF - prefs.js…extensions.enabledItems: {0BA0192D-94A5-45e3-B2B8-3EC5A1A0B5EC}:2.0.0.1050 FF - prefs.js…extensions.enabledItems: {2224E955-00E9-4613-A844-CE69FCCAAE91}:3.8.1.4690 FF - HKLM\software\mozilla\Firefox\Extensions\{2224E955-00E9-4613-A844-CE69FCCAAE91}: C:\Program Files\Internet Saving Optimizer\3.8.1.4690\FF [2009-09-10 21:29:19 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\Extensions\{0BA0192D-94A5-45e3-B2B8-3EC5A1A0B5EC}: C:\Program Files\Media Access Startup\2.0.0.1050\FF [2009-09-10 21:29:38 | 00,000,000 | —D | M] [2009-09-11 00:52:49 | 00,002,381 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\sukoku117.xml O2 - BHO: (Media Access Startup) - {25B8D58C-B0CB-46b0-BA64-05B3804E4E86} - C:\Program Files\Media Access Startup\2.0.0.1050\HPIEAddOn.dll () O2 - BHO: (NP Helper Class) - {35B8D58C-B0CB-46b0-BA64-05B3804E4E86} - C:\Program Files\Internet Saving Optimizer\3.8.1.4690\NPIEAddOn.dll () O2 - BHO: (System Search Dispatcher) - {CDBFB47B-58A8-4111-BF95-06178DCE326D} - C:\Program Files\System Search Dispatcher\1.4.3.1040\ssd.dll () O3 - HKU\S-1-5-21-3750299932-3708562329-2801604769-1000…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-3750299932-3708562329-2801604769-1000…\Toolbar\WebBrowser: (no name) - {5617ECA9-488D-4BA2-8562-9710B9AB78D2} - No CLSID value found. :Files C:\Program Files\Internet Saving Optimizer C:\Program Files\Media Access Startup C:\Program Files\System Search Dispatcher :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
system
(system)
19 Październik 2009 19:55
#8
Miałem małe problemy. Po zastosowaniu Twoich poleceń, deFco247, OTL zaciął się podczas wykonywania komendy [emptytemp]. Pojawił się błąd “invalid checksum”(mniej więcej), po czym program nic nie robił (czekałem naprawdę długo). Musiałem go zamknąć. Firefox nie mógł otworzyć żadnej strony (połączenie zostało zresetowane) i przestraszyłem się, że coś się stało z ustawieniami Internetu (konfiguracja Internetu u nas w akademiku jest wyzwaniem nawet jeżeli wszystko działa…), ale Internet Explorer nie ma problemu z wyświetlaniem stron. Skype również łączy się bez problemu. Usunąłem problematyczną komendę i program wykonał polecenia bez problemu (wybaczcie samowolkę).
Log z czyszczenia
Log po czyszczeniu
@jessi : czy powinienem wykonywać Twój kod jeżeli wykonałem kod deFco247? U Ciebie równeż jest [emtytemp] :>
deFco247
(deFco247)
19 Październik 2009 19:59
#9
Jessi zapewne napisała skrypt nie zauważając mojej odpowiedzi.
Log czysty.
W OTL kliknij CleanUp .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport.
Wyczyść rejestr i dysk CCleaner .
Usuń zbędniki z autostartu.
system
(system)
19 Październik 2009 20:25
#10
Dziękuję bardzo za pomoc Komputer działa trochę lepiej Jeżeli Malwarebytes znajdzie jakieś infekcje - dam znać.