Samoczynne wybieranie "zarażonego" adresu www2.whatismyip

danielek17kot · 12 Sierpień 2012 23:22

Witam! Mój problem polega na tym iż mój komputer samoczynnie wybiera stronę www2.whatismyip.su (ten adres mniej więcej tak wygląda, jest napisane coś dalej po slashu ale nie zapamiętałem) po czym avast ją blokuje. Tyle, że ja nie wiem w ogóle o co w tym chodzi bo ja takiego czegoś nigdy nie wybierałem. Czy ktoś miał może podobny problem lub czy ktoś wie jak się “tego” problemu pozbyć?

Pozdrawiam

drawkora · 13 Sierpień 2012 09:19

Dodaj do posta obowiązkowe logi z programu OTL wg tej instrukcji: analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741

danielek17kot · 13 Sierpień 2012 22:25

otl http://wklej.org/id/810437/ extras http://wklej.org/id/810438/ dzisiaj kiedy włączyłem komputer pojawił mi się komunikat po jakichś 10 min że wykryto konia trojańskiego win32 i przeniesiono do kwarantanny, w tych logach pewnie będzie coś o tym napisane.

Atis · 13 Sierpień 2012 22:31

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - File not found [Auto | Stopped] – C:\windows\system32\nvsvc32.exe – (NVSvc) SRV - File not found [Auto | Stopped] – C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE – (MDM) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbmdm.sys – (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jubusenum.sys – (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] – E:\INSTALL\GMSIPCI.SYS – (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbnet.sys – (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_usbenumfilter.sys – (ew_usbenumfilter) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_hwusbdev.sys – (ew_hwusbdev) DRV - File not found [Kernel | Disabled | Unknown] – C:\windows\System32\drivers\dwshd.sys – (dwshd) IE - HKU\S-1-5-21-436374069-602609370-725345543-1003…\SearchScopes{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: “URL” = http://www.bigseekpro.com/search/browser/facesmooch12a/{54C9AF9A-FED2-42D6-9FC4-04A233B47E7F}?q={searchTerms} [2011-12-19 17:49:40 | 000,000,000 | —D | M] (QuickStores-Toolbar) – C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de O4 - HKU.DEFAULT…\Run: [MSConfig] “C:\Documents and Settings\NetworkService\wcfcm.exe” /r File not found O4 - HKU\S-1-5-21-436374069-602609370-725345543-1003…\Run: [MSConfig] “C:\Documents and Settings\DANIEL\nme.exe” /r File not found [2012-01-31 18:10:46 | 000,000,000 | —D | M] – C:\Documents and Settings\DANIEL\Dane aplikacji\QuickStoresToolbar [2011-07-25 18:32:50 | 000,000,000 | —D | M] – C:\Documents and Settings\DANIEL\Dane aplikacji\Toolbar4 [2011-08-24 18:38:02 | 000,000,000 | —D | M] – C:\Documents and Settings\DANIEL\Dane aplikacji\QuickScan @Alternate Data Stream - 555 bytes -> C:\windows\temp:temp :Files C:\Documents and Settings\DANIEL*.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] “C:\windows\system32\wmphd32.exe”=- “C:\windows\system32\wmpkh32.exe”=- “C:\windows\system32\wmpdv32.exe”=- “C:\windows\system32\igfxmt32.exe”=- “C:\windows\system32\igfxdt86.exe”=- “C:\windows\system32\wmpdn86.exe”=- “C:\windows\system32\igfxch32.exe”=- “C:\windows\system32\igfxcn64.exe”=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\windows\system32\wmphd32.exe”=- “C:\windows\system32\wmpkh32.exe”=- “C:\windows\system32\wmpdv32.exe”=- “C:\windows\system32\igfxmt32.exe”=- “C:\windows\system32\igfxdt86.exe”=- “C:\windows\system32\wmpdn86.exe”=- “C:\windows\system32\igfxch32.exe”=- “C:\windows\system32\igfxcn64.exe”=- :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

danielek17kot · 13 Sierpień 2012 23:17

otl http://wklej.org/id/810457/ log z usuwania http://wklej.org/id/810458/ Zagapiłem się i nie ustawiłem przed skanowaniem rejestru dodatkowego na użyj filtrowania i nie powstało extras. Jeśli będzie on potrzebny to wykonam skanowanie jutro i wkleję oba logi bo chwilę to zajmuje a już jest teraz dość późno a rano wstać trzeba.

Atis · 13 Sierpień 2012 23:35

Wklej i kliknij Wykonaj skrypt:

:OTL O4 - HKLM…\Run: [unlockerAssistant] “C:\Program Files\Unlocker\UnlockerAssistant.exe” File not found O4 - HKLM…\Run: [whhelper] C:\Documents and Settings\DANIEL\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2131\whhelper.exe () :Filers C:\Documents and Settings\DANIEL\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2131 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] “C:\windows\system32\wmphd32.exe”=- “C:\windows\system32\wmpkh32.exe”=- “C:\windows\system32\wmpdv32.exe”=- “C:\windows\system32\igfxmt32.exe”=- “C:\windows\system32\igfxdt86.exe”=- “C:\windows\system32\wmpdn86.exe”=- “C:\windows\system32\igfxch32.exe”=- “C:\windows\system32\igfxcn64.exe”=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\windows\system32\wmphd32.exe”=- “C:\windows\system32\wmpkh32.exe”=- “C:\windows\system32\wmpdv32.exe”=- “C:\windows\system32\igfxmt32.exe”=- “C:\windows\system32\igfxdt86.exe”=- “C:\windows\system32\wmpdn86.exe”=- “C:\windows\system32\igfxch32.exe”=- “C:\windows\system32\igfxcn64.exe”=- :Commands [emptytemp]

Pokaż raport i nowy log.

danielek17kot · 14 Sierpień 2012 14:44

niestety nie zdążyłem tego skasować i pojawił się komunikat że mi zablokowali komputer http://www.wiadomosci24.pl/artykul/komp … --1-d.html czy mam zrobić tak jak jest tam napisane? czy jakąś inną metodę polecacie?

Atis · 14 Sierpień 2012 14:58

W drugim logu pojawił się ten trojan.

Uruchom system w trybie awaryjnym i wykonaj skrypt.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

Później pokaż nowy log Skanuj.

danielek17kot · 14 Sierpień 2012 20:16

poprzedniego posta po tym jak mi już komputer siadł napisałem od koleżanki i od tamtej pory nie miałem dostępu do komputera. uruchomiłem w trybie awaryjnym avasta i znalazl mi jakichs 17 trojanow i je usunalem. potem wlaczylem normlanie komputer ale mi sie znowu pojawil ten koszmarny komunikat. wszedłem na forum z telefonu i zobaczyłem ten pana ostatni post. nie mogłem skopiować tego w żaden sposób do otl dlatego postanowiłem usunac tego “whhelper’a” recznie, wszedlem w moj komputer itd ( w trybie awaryjnym wszystko) i usunalem to dziadostwo. wlaczylem komputer po tym normalnie i juz nic nie wyskoczylo. avast normalnie dziala - oslony pracuja w czasie rzeczywistym bo po tym przyblokowaniu przestal dzialac. wykonam teraz ten caly skrypt w otl ktory mialem zrobic wczesniej i nie zdazylem zrobic i wkleje zaraz logi z usuwania i z nowego skanowania

– Dodane 14.08.2012 (Wt) 22:46 –

http://wklej.org/id/811111/ log z usuwania

http://wklej.org/id/811112/ log ze skanowania

http://wklej.org/id/811113/ extras

Atis · 14 Sierpień 2012 21:02

Wklej i kliknij Wykonaj skrypt:

Odinstaluj starą wersję programu:

Java 6 Update 31

J2SE Runtime Environment 5.0 Update 7

Adobe Reader 7.0.5

Adobe Shockwave Player 11.5

Później zainstaluj:

Internet Explorer 8

Adobe Reader

Java

Adobe Shockwave Player

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji odznacz Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

danielek17kot · 14 Sierpień 2012 21:27

czy muszę instalować IE8 jeśli używam firefox’a?

Atis · 14 Sierpień 2012 21:31

IE to nie jest zwykła przeglądarka.

Różne programy korzystają pośrednio z IE, a luki są wykorzystywane do infekowania systemu.

Aktualizuj ze względów bezpieczeństwa.

danielek17kot · 14 Sierpień 2012 21:45

dobrze, tak zrobię. pytam się po prostu bo się na tym nie znam zbyt dobrze pomimo tego że to już taka druga awaria mojego komputera. w tamte wakacje było jeszcze gorzej, problemy trwały przeszło dwa tygodnie, żaden program nie mógł sobie dać rady z wirusami dopiero combofix( jego użycie było ostatecznością, ze względu na możliwe szkody które by mógł zrobić). a tych wirusów było wtedy ponad milion

– Dodane 16.08.2012 (Cz) 0:54 –

jeśli mam wyłączone już przywracanie systemu to po prostu tylko je włączyć?

– Dodane 16.08.2012 (Cz) 1:02 –

Results of screen317’s Security Check version 0.99.43

Windows XP Service Pack 2 x86

Out of date service pack!!

Internet Explorer 8

Antivirus/Firewall Check:

avast! Antivirus

Antivirus up to date!

Anti-malware/Other Utilities Check:

CCleaner

Java 7 Update 5

Adobe Flash Player 11.3.300.262

Adobe Reader X (10.1.4)

Mozilla Firefox 12.0 Firefox out of Date!

Process Check: objlist.exe by Laurent

AVAST Software Avast AvastSvc.exe

AVAST Software Avast avastUI.exe

System Health check

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

wklejam tutaj ten log, bo napisali tam żeby go wkleić bo nie wszystko co trzeba zaktualizować będzie oznaczone jako out of date. w moim przypadku tylko firefox’a zaktualizować?

– Dodane 16.08.2012 (Cz) 1:09 –

jeszcze ten service pack do zaktualizowania. skad moge pobrac ta aktualizacje?

Atis · 16 Sierpień 2012 23:29

W Malwarebytes wystarczy szybkie skanowanie.

Włącz przywracanie na dysku systemowym.

Zainstaluj najnowszą wersję Firefox i XP Service Pack 3

danielek17kot · 20 Sierpień 2012 21:12

Przeskanowałem tym szybkim skanowaniem w Malwarebytes i nic nie wykryto podejrzanego. przywracanie włączyłem, firefoxa zaktualizowałem. Pozostało jeszcze zainstalować service packa 3, zrobię to w najbliższej wolnej chwili, no i oczywiście dziękuje bardzo za pomoc!