CHP
(Chapek)
30 Marzec 2012 09:36
#1
Witam
Od kilku dni otwierane przez przeglądarkę strony przekierowywane są pod niepożądane adresy.
ESET sobie nie może z tym poradzić, po skanowaniu pojawia się:
“Pamięć operacyjna - prawdopodobnie odmiana zagrożenia Win32/Ponmocup.AA koń trojański - nie można wyleczyć”
Proszę o pomoc i instrukcję jak pozbyć się tego świństwa
Słyszałem, że pomocny jest tutaj program OTL i jego raport po skanowaniu. Taki też wykonałem, tylko nie bardzo jestem w temacie, więc dałem po prostu “Skanuj” na standardowych ustawieniach, bo nie orientuję się za bardzo jak posługiwać się tym narzędziem.
Z góry dzięki za wszelkie rady i instrukcje.
bongoone
(Bongoone96)
30 Marzec 2012 10:05
#2
Instrukcja OTL otl-gmer-rsit-dss-inne-instrukcje-t370405.html
Zrób tak jak jest napisane w instrukcji.
CHP
(Chapek)
30 Marzec 2012 10:22
#3
Postąpiłem według zalecanej instrukcji oto raporty:
http://wklej.to/xrizg
http://wklej.to/yRrzB
Acorus
(Acorus)
30 Marzec 2012 11:04
#4
Odinstaluj facemoods,vShare.tv plugin 1.3.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL MOD - [2012-03-30 11:28:23 | 000,834,560 | ---- | M] () – C:\Windows\Temp\temp68.exe MOD - [2012-03-30 09:53:39 | 000,057,344 | ---- | M] () – C:\Users\CHAPEK\AppData\Local\Temp\E2EF.tmp IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1992123959-4601975-1474954318-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddr IE - HKU\S-1-5-21-1992123959-4601975-1474954318-1000…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://startsear.ch/?aff=1&q={searchTerms} IE - HKU\S-1-5-21-1992123959-4601975-1474954318-1000…\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}: “URL” = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “Web Search” FF - prefs.js…keyword.URL: “http://startsear.ch/?aff=1&q= ” [2011-11-28 19:46:31 | 000,000,000 | —D | M] (Facemoods) – C:\Users\CHAPEK\AppData\Roaming\mozilla\Firefox\Profiles\flf1dwjw.default\extensions\ffxtlbr@Facemoods.com [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () – C:\Users\CHAPEK\AppData\Roaming\Mozilla\Firefox\Profiles\flf1dwjw.default\searchplugins\startsear.xml O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com \facemoods\1.4.17.3\bh\facemoods.dll (facemoods.com BHO) O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKLM…\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKLM…\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com \facemoods\1.4.17.3\facemoodsTlbr.dll (facemoods.com ) O4 - HKLM…\Run: [facemoods] C:\Program Files (x86)\facemoods.com \facemoods\1.4.17.3\facemoodssrv.exe (facemoods.com ) O4 - HKLM…\Run: [intelAgent] C:\Windows\Temp\temp68.exe () O4 - HKLM…\Run: [WinampAgent] “C:\Program Files (x86)\Winamp\winampa.exe” File not found O4 - HKU\S-1-5-21-1992123959-4601975-1474954318-1000…\Run: [Elecard] C:\Users\CHAPEK\AppData\Roaming\7BCB4D.exe () [2011-09-20 12:02:49 | 000,049,664 | -HS- | C] () – C:\Users\CHAPEK\AppData\Roaming\7BCB4D.exe [2011-09-23 13:21:11 | 000,000,000 | —D | M] – C:\Users\CHAPEK\AppData\Roaming\EurekaLog :Commands [emptytemp]
Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
CHP
(Chapek)
30 Marzec 2012 12:34
#5
Postąpiłem według instrukcji, nadal strony są przekierowywane, a ESET nadal wykrywa zagrożenie o tej samej nazwie w pamięci operacyjnej.
to raport wyświetlony po restarcie:
http://wklej.to/IF05l
To raporty po skanowaniu
OTL:
http://wklej.to/lUd7F
Extras
http://wklej.to/9aBdO
Proszę dodatkowo o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierz opcje Skip
CHP
(Chapek)
30 Marzec 2012 12:58
#7
Kasperski TDSSKiller nie wykrył niczego, ale podrzucam jego raport:
http://wklej.to/emkuX
Proszę wykonać pełny skan Dr.WEB CureIt!
CHP
(Chapek)
31 Marzec 2012 13:56
#9
Pomógł mi ktoś z innego forum
Pozdro
Skrypty mają charakter indywidualny i są przeznaczone dla konkretnego użytkownika dlatego ten usuwam
Ja nie twierdziłem że raport OTL jest czysty, ale sam napisałeś że ESET nadal wykrywa zagrożenie o tej samej nazwie w pamięci operacyjnej myślałem o całkiem innym rodzaju infekcji, należało podać dokładny raport Eseta na przykład: Jest wyraźne odniesienie do konkretnego pliku
Należało usuwać jeszcze