Samoistne włączanie internet Explorer z reklamą


(Smarcoo) #1

Poniżej zamieszczam logi:

logi z hijack:

http://www.wklejto.pl/55289

logi z combofix:

http://www.wklejto.pl/55290

Tak jak w temacie, wyskakuje mi reklama w internet explorer chociaż używam firefox. Na dysku z zainstalowanym windowsem utworzyły się jakieś dziwne pliki, które usunąłem. Poza tym wyskakuje mi błąd odnośnie .net Framework. Brdzo proszę o sprawdzenie logów i o radę czy można sobie z tym jakoś poradzić.


(deFco247) #2

Masz infekcję typu masakra, czyli Vundo.

Wygląda na to, że zamienił on kilka plików systemowych swoimi zainfekowanymi plikami i tutaj chyba będzie potrzebna płytka z systemem oraz ponowne zainstalowanie kliku programów...

W takim przypadku jedynym sensownym sposobem pozostaje:

@dół

Pomyliły mi się nazwy. Przepraszam za wprowadzenie w pomyłkę. :slight_smile:


(jessica) #3

@ deFco247 - to nie JEEFO, tylko Trojan VUNDO.

Trzeba po prostu usunąć wszystkie pliki zmodyfikowane w dniu 2010-01-24, które teraz mają rozmiar 39440.

Programy z tymi plikami do przeinstalowania od nowa:

c:\program files\Adobe\acrotray .exe

c:\program files\ASUS\AI Suite\cpuleveluphelp .exe

c:\program files\ASUS\AI Suite\AiNap\ainap .exe

c:\program files\ASUS\AI Suite\QFan3\qfanhelp .exe

c:\program files\Common Files\InstallShield\UpdateService\issch .exe

c:\program files\Common Files\InstallShield\UpdateService\issch .exe

c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe

c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe

c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe

c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe

c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe

c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe

c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe

c:\program files\Common Files\Real\Update_OB\realsched .exe

c:\program files\Creative\SBAudigy\Surround Mixer\ctsysvol .exe

c:\program files\DAEMON Tools\daemon .exe

c:\program files\Internet Download Manager\idman .exe

c:\program files\Internet Download Manager\idman .exe

c:\program files\Internet Download Manager\idman .exe

c:\program files\Internet Download Manager\idman .exe

c:\program files\Internet Download Manager\idman .exe

c:\program files\Internet Download Manager\idman .exe

c:\program files\Java\jre6\bin\jusched .exe

c:\program files\Lavasoft\Ad-Aware\aawtray .exe

c:\program files\LivingEarthDesktop\living-earth-desktop .exe

c:\program files\Microsoft ActiveSync\wcescomm .exe

c:\program files\Microsoft ActiveSync\wcescomm .exe

c:\program files\Microsoft ActiveSync\wcescomm .exe

c:\program files\Microsoft ActiveSync\wcescomm .exe

c:\program files\Microsoft ActiveSync\wcescomm .exe

c:\program files\Microsoft ActiveSync\wcescomm .exe

c:\program files\Microsoft ActiveSync\wcescomm .exe

c:\program files\NVIDIA Corporation\nView\nwiz .exe

c:\program files\RocketDock\rocketdock .exe

c:\program files\RocketDock\rocketdock .exe

c:\program files\RocketDock\rocketdock .exe

c:\program files\RocketDock\rocketdock .exe

c:\program files\Spybot - Search & Destroy\teatimer .exe

c:\program files\Unlocker\unlockerassistant .exe

c:\windows\pchealth\helpctr\binaries\msconfig .exe

W logu widać, które pliki są do usunięcia:

jessi


(Smarcoo) #4

Czyli wystarczy odinstalować te zainfekowane programy i ewentualnie usunąć to co po nich zostało?


(jessica) #5

Ja proponuję taki scenariusz:

1) użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

2) http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

3) przeinstaluj programy, jeśli one same będą się tego domagały

4) ewentualnie po wszystkim log z ComboFixa do sprawdzenia

Choć z drugiej strony: usunięcie ComboFixem wszystkich zarażonych plików i potem przeinstalowanie programów trwałoby znavcznie krócej.

Jeśli się na to zdecydujesz, to daj znać, napiszę Script.

jessi


(Smarcoo) #6

Po próbach naprawienia wyszło mi coś takiego:

log z Combofix:

http://www.wklejto.pl/55350

Jeżeli nic te naprawy nie dały bardzo proszę o Script.


(jessica) #7

Wklej do Notatnika :

File::

c:\windows\updreg.exe

c:\windows\system32\ctfmon.exe

c:\program files\Common Files\InstallShield\UpdateService\issch .exe

c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe

c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe

c:\program files\Creative\SBAudigy\Surround Mixer\ctsysvol .exe

c:\program files\DAEMON Tools\daemon .exe

c:\program files\Internet Download Manager\idman .exe

c:\program files\Java\jre6\bin\jusched .exe

c:\program files\Lavasoft\Ad-Aware\aawtray .exe

c:\program files\LivingEarthDesktop\living-earth-desktop .exe

c:\program files\Microsoft ActiveSync\wcescomm .exe

c:\program files\Microsoft ActiveSync\wcescomm .exe

c:\program files\NVIDIA Corporation\nView\nwiz .exe

c:\program files\RocketDock\rocketdock .exe

c:\program files\RocketDock\rocketdock .exe

c:\program files\Spybot - Search & Destroy\khalmnpr .exe

c:\program files\Spybot - Search & Destroy\rundll32 .exe

c:\program files\Spybot - Search & Destroy\teatimer .exe

c:\program files\Unlocker\unlockerassistant .exe

c:\windows\pchealth\helpctr\binaries\msconfig .exe

c:\program files\Java\jre6\bin\jusched.exe

c:\program files\LivingEarthDesktop\Living-Earth-Desktop.exe

c:\program files\rocketdock\rocketdock .exe

c:\program files\Unlocker\UnlockerAssistant.exe

c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

d:\programy\uniblue\uniblue\registrybooster\registrybooster .exe

c:\windows\UpdReg.EXE

c:\program files\Lavasoft\Ad-Aware\AAWTray.exe

d:\programy\Home Cinema\PowerDVD\PDVDServ.exe

c:\program files\DAEMON Tools\daemon.exe

d:\programy\Ciname\PowerCinema\PCMService.exe

c:\program files\Common Files\Real\Update_OB\realsched.exe

c:\program files\NVIDIA Corporation\nView\nwiz.exe

c:\windows\system32\drivers\dGzeYzo.sys


Driver::

dGzeYzo


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GGWallpaper"=-

"RocketDock"=-

"Uniblue RegistryBooster 2009"=-

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ISUSPM Startup"=-

"ISUSScheduler"=-

"UnlockerAssistant"=-

"CTSysVol"=-

"P17Helper"=-

"UpdReg"=-

"Ad-Watch"=-

"RemoteControl"=-

"DAEMON Tools"=-

"PCMService"=-

"TkBellExe"=-

"nwiz"=-

"SunJavaUpdateSched"=-

"Calc32"=-

 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-

"RocketDock"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Safe'n'Sec Pro]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Smarcoo) #8

Zrobiłem tak jak było napisane.

Log z combofix:

http://wklejto.pl/55371

Chyba nic nie naprawił. Dziwnie działa mi ten combofix. Jak go włączę wyskakuje mi komunikat o antywirusie. Wyłączam antywirus. Klikam OK i wyskakuje okienko zatytułowane błąd bez żadnej treści, później komputer się restartuje i uruchamia się combofix. Czy to normalne?


(jessica) #9

Rzeczywiście, trochę nitypowo zachowuje się u Ciebie ten ComboFix.

Gdyby był Komunikat o Rootkicie przed tym restartem, to nie byłoby nic dziwnego, ale u Ciebie jest tylko pusty Komunikat.

Wklej do Notatnika :

File::

c:\program files\Common Files\InstallShield\UpdateService\issch .exe

c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe

c:\program files\Common Files\Real\Update_OB\realsched .exe

c:\program files\Lavasoft\Ad-Aware\khalmnpr .exe

c:\program files\Lavasoft\Ad-Aware\rundll32 .exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.


(Smarcoo) #10

nowy log:

http://www.wklejto.pl/55379

A wiesz może jak można ustrzec się przed taką sytuacją, jakie pogramy mogą zabezpieczyć komputer przed takimi akcjami?

Jeżeli nie da się wyleczyć to chyba nic się nie stanie bo i tak chciałem w niedalekiej przyszłości przesiąść się na win7, ale zanim go kupię chcę wypróbować, która wersja będzie mi odpowiadać i czy programy, które mnie interesują będą na niej działać.


(jessica) #11

Sprawdź go na --> JOTTI/ albo na VIRUSTOTAL.

Poza tym - log czysty.

Ta infekcja przeważnie dostaje się na komputer razem z jakimś crackiem, choć u Ciebie akurat nie widzę żadnego.

Widzę, że masz już MBAM I Dr.Web, więc możesz przeskanować którymś z nich - zawsze to większa pewność, że jest czysto.

jessi


(Smarcoo) #12

plik sprawdziłem - nic nie znaleziono

Dzięki za pomoc