Win32/Ponmocup.AA

CHP · 30 Marzec 2012 09:36

Witam

Od kilku dni otwierane przez przeglądarkę strony przekierowywane są pod niepożądane adresy.

ESET sobie nie może z tym poradzić, po skanowaniu pojawia się:

“Pamięć operacyjna - prawdopodobnie odmiana zagrożenia Win32/Ponmocup.AA koń trojański - nie można wyleczyć”

Proszę o pomoc i instrukcję jak pozbyć się tego świństwa

Słyszałem, że pomocny jest tutaj program OTL i jego raport po skanowaniu. Taki też wykonałem, tylko nie bardzo jestem w temacie, więc dałem po prostu “Skanuj” na standardowych ustawieniach, bo nie orientuję się za bardzo jak posługiwać się tym narzędziem.

Z góry dzięki za wszelkie rady i instrukcje.

bongoone · 30 Marzec 2012 10:05

Instrukcja OTL otl-gmer-rsit-dss-inne-instrukcje-t370405.html

Zrób tak jak jest napisane w instrukcji.

CHP · 30 Marzec 2012 10:22

Postąpiłem według zalecanej instrukcji oto raporty:

http://wklej.to/xrizg

http://wklej.to/yRrzB

Acorus · 30 Marzec 2012 11:04

Odinstaluj facemoods,vShare.tv plugin 1.3.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL MOD - [2012-03-30 11:28:23 | 000,834,560 | ---- | M] () – C:\Windows\Temp\temp68.exe MOD - [2012-03-30 09:53:39 | 000,057,344 | ---- | M] () – C:\Users\CHAPEK\AppData\Local\Temp\E2EF.tmp IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1992123959-4601975-1474954318-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddr IE - HKU\S-1-5-21-1992123959-4601975-1474954318-1000…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://startsear.ch/?aff=1&q={searchTerms} IE - HKU\S-1-5-21-1992123959-4601975-1474954318-1000…\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}: “URL” = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “Web Search” FF - prefs.js…keyword.URL: “http://startsear.ch/?aff=1&q=” [2011-11-28 19:46:31 | 000,000,000 | —D | M] (Facemoods) – C:\Users\CHAPEK\AppData\Roaming\mozilla\Firefox\Profiles\flf1dwjw.default\extensions\ffxtlbr@Facemoods.com [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () – C:\Users\CHAPEK\AppData\Roaming\Mozilla\Firefox\Profiles\flf1dwjw.default\searchplugins\startsear.xml O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.3\bh\facemoods.dll (facemoods.com BHO) O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKLM…\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKLM…\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.3\facemoodsTlbr.dll (facemoods.com) O4 - HKLM…\Run: [facemoods] C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.3\facemoodssrv.exe (facemoods.com) O4 - HKLM…\Run: [intelAgent] C:\Windows\Temp\temp68.exe () O4 - HKLM…\Run: [WinampAgent] “C:\Program Files (x86)\Winamp\winampa.exe” File not found O4 - HKU\S-1-5-21-1992123959-4601975-1474954318-1000…\Run: [Elecard] C:\Users\CHAPEK\AppData\Roaming\7BCB4D.exe () [2011-09-20 12:02:49 | 000,049,664 | -HS- | C] () – C:\Users\CHAPEK\AppData\Roaming\7BCB4D.exe [2011-09-23 13:21:11 | 000,000,000 | —D | M] – C:\Users\CHAPEK\AppData\Roaming\EurekaLog :Commands [emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

CHP · 30 Marzec 2012 12:34

Postąpiłem według instrukcji, nadal strony są przekierowywane, a ESET nadal wykrywa zagrożenie o tej samej nazwie w pamięci operacyjnej.

to raport wyświetlony po restarcie:

http://wklej.to/IF05l

To raporty po skanowaniu

OTL:

http://wklej.to/lUd7F

Extras

http://wklej.to/9aBdO

spandaupol · 30 Marzec 2012 12:35

Proszę dodatkowo o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierz opcje Skip

CHP · 30 Marzec 2012 12:58

Kasperski TDSSKiller nie wykrył niczego, ale podrzucam jego raport:

http://wklej.to/emkuX

spandaupol · 30 Marzec 2012 13:01

Proszę wykonać pełny skan Dr.WEB CureIt!

CHP · 31 Marzec 2012 13:56

Pomógł mi ktoś z innego forum

Pozdro

Skrypty mają charakter indywidualny i są przeznaczone dla konkretnego użytkownika dlatego ten usuwam

spandaupol · 31 Marzec 2012 14:05

Ja nie twierdziłem że raport OTL jest czysty, ale sam napisałeś że ESET nadal wykrywa zagrożenie o tej samej nazwie w pamięci operacyjnej myślałem o całkiem innym rodzaju infekcji, należało podać dokładny raport Eseta na przykład: Jest wyraźne odniesienie do konkretnego pliku

Należało usuwać jeszcze