Rizzen
(Tomaszwolinski)
24 Grudzień 2011 13:50
#1
Witam wszystkich,
trafiłem tu jak pewnie wielu przede mną w poszukiwaniu pomocy:
wirus przekierowuje strony na które chcę wejść na inne, często pojawia się byuwill.net , jeśli Wam to coś mówi.
Problem istnieje od kilku dni, próbowałem znaleźć jakieś działające nietypowe programy na kompie, niestety to nie pomogło. Do tego pojawiają się problemy z klawiaturą, w części znaków zniknęły duże litery lub pojawiają się tylko niektóre znaki. Nie wiem czy to problemy powiązane, być może klawiatura po prostu się zepsuła.
Zamieszczam log z OTL:
http://wklej.to/NDoHO
Dziękuję i pozdrawiam
Acorus
(Acorus)
24 Grudzień 2011 14:10
#2
Odinstaluj MyAshampoo Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O2 - BHO: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (no name) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (MyAshampoo Toolbar) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.) O4 - HKCU…\Run: [ALLUpdate] “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” File not found O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) [2011-12-24 09:14:53 | 000,000,304 | -HS- | M] () – C:\WINDOWS\tasks\YIXLUM.job [2011-12-24 09:14:53 | 000,000,016 | ---- | M] () – C:\WINDOWS\System32\crt.dat [2011-12-24 09:14:52 | 000,026,624 | ---- | M] () – C:\WINDOWS\System32\dll.dll [2011-12-24 12:06:20 | 000,000,000 | —D | M] – C:\Documents and Settings\THomas\Dane aplikacji\PriceGong :Commands [emptytemp]
Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
klopers33
(klopers33)
24 Grudzień 2011 14:36
#3
plik hosts sprawdz czy nie jest zmodyfikowany (otworz notatnikiem)
c:/windows/system32/drivers/etc <- tu wlasnie sie znajduje ten plik
nie zmodyfikowany powinien wyglądac tak:
Copyright © 1993-2001 Microsoft Corp.
This file has been automatically generated for use by Microsoft Internet
Connection Sharing. It contains the mappings of IP addresses to host names
for the home network. Please do not make changes to the HOSTS.ICS file.
Any changes may result in a loss of connectivity between machines on the
local network.
192.168.225.1 Kuba-PC.mshome.net # 2016 12 0 18 13 53 36 506
====================================================
oczywiście twój będzie wyglądał nieco inaczej, bo masz inna nazwe użytkownika
Rizzen
(Tomaszwolinski)
24 Grudzień 2011 14:40
#4
Dziękuję za odpowiedź, Ashampoo wywaliłem, po resecie:
http://wklej.to/Iq7qF
ponowne skanowanie:
http://wklej.to/QdUsD
Mam nadzieję, że to coś wyjaśni
Edit:
Mój plik wygląda tak:
Copyright © 1993-1999 Microsoft Corp.
To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP
w systemie Windows.
Ten plik zawiera mapowania adresów IP na nazwy komputerów
Każdy wpis powinien być w osobnej linii.
W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie
odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone
co najmniej jedną spacją
Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych
liniach lub po nazwie komputera, oznaczając je symbolem ‘#’.
Na przykład:
102.54.94.97 rhino.acme.com # serwer źródłowy
38.25.63.10 x.acme.com # komputer kliencki x
127.0.0.1 localhost
klopers33
(klopers33)
24 Grudzień 2011 14:50
#5
a więc plik hosts nie jest zmodyfikowany przyczyna musi leżeć gdzie indziej, czy moglbys podac konkretnie jakie strony sa przekierowywane? i nazwe twojego antywirusa
Acorus
(Acorus)
24 Grudzień 2011 14:54
#6
W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY WIRUSÓW
Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.
klopers33
(klopers33)
24 Grudzień 2011 14:57
#7
moim zdaniem lepiej przeskanować programem Dr.Web CureIt, ale przeskanuj malwarebytes, jesli nic nie wykryje to dr.web’em przeskanuj dodatkowo
download : http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html
– Dodane 24.12.2011 (So) 16:00 –
chociaż jakby było to możliwe, to mi najlepiej wyczyścil kompa ktory juz nie ruszał normalnie, w trybie awaryjnym kaspersky antyvirus 2012
Rizzen
(Tomaszwolinski)
24 Grudzień 2011 15:06
#8
Obecnie mam ESET - niestety od jakiegoś czasu nieaktualny. Planowałem wykupić i zwlekałem, mam nauczkę czym się to kończy
Z grubsza działa to tak, że wyszukuję coś na google, klikam i wywala mnie na inną stronę, zwykle pierwszy adres to
http://www.bywill.net/?search=wp.pl&n=1324733903
http://www.bywill.net/?search=wirus%2Bp … 1324731213
czyli jakby moje wyszukiwanie zamieniał na jakieś inne wyszukiwanie? Od razu też przekierowuje mnie na strony typu:
http://78.140.161.61/go.php?uid=55446&s … 9XqisJQ%3D
lub:
http://78.140.161.61/go.php?uid=55446&s … yKbg%3D%3D
Próbowałem teraz wejść na jakąś z nich ale są zablokowane, pisze, że dokonują ataków i komunikat sugeruje, żeby się wycofać co skwapliwie uczyniłem. Wywala mnie na taką stronę tak z trzy razy a potem już mogę przejść normalnie na pożądaną stronę.
klopers33
(klopers33)
24 Grudzień 2011 15:09
#9
więc tak, nie kwestionuję nic co acorus powiedział, ale ja uważam że najsprawniej inajszybciej będzie jak poprostu wywalisz eseta, zainstalujesz kasperskiego 2012 antyvirus, uruchom w trybie awaryjnym komputer bez internetu!! (uprzednio w normalnym trybie zaktualizuj antywirusa) i uruchom full skan, powinno rozwiązać problem, zaś jeśli nie to dr.web
– Dodane 24.12.2011 (So) 16:14 –
bo jak poinstalujesz pare programow antywirusowych, i typu otl / combofix itp. to sie narobi bałaganu, i z czyszczenia infekcji trzeba będzie potem czyscic system z pozostałosci po antywirusach zeby sie nie kolidowały, a tak wywalisz noda zainstalujesz kasperskiego i w trybie awaryjnym powinien sobie poradzic, ważna rzecz aby sie zainstalowal kasperski musisz usunąc wpis “eamon” z rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eamon
dokładnie o ten wpis chodzi
– Dodane 24.12.2011 (So) 16:16 –
idę szykować się powoli do Wigilii, Wesołych i Pogodnych świąt życzę.
(*potem zajrze na forum jak sie rozwinęło)
Acorus
(Acorus)
24 Grudzień 2011 15:16
#10
Bez przesady.Ważniejsza jest instalacja SP2 i 3
Rizzen
(Tomaszwolinski)
24 Grudzień 2011 20:20
#11
OK. Wróciłem z Wigilii, moja kochana połóweczka zgarnęła mnie tak szybko, że nie zdążyłem życzyć wesołych
Zresztą nie miało to znaczenia bo jak puściłem w ruch Malwarebytes to straciłem net
Mam teraz ten program w pełnej wersji (testowa/okresowa), przeskanowałem i wykryło 69 (sic!) szpiegujących oprogramowań
Oto log:
http://wklej.to/2jYi3
Coś powinienem zrobić, żeby się tego pozbyć? Malwarebytes mi to wyczyści, czy potrzebuję innego programu, typu Kasperski?
Acorus
(Acorus)
25 Grudzień 2011 09:22
#12
Wszystko do usunięcia.Pamiętaj o aktualizacjach.
Rizzen
(Tomaszwolinski)
25 Grudzień 2011 10:38
#13
Dziękuję Wam wszystkim za pomoc i życzę wszystkiego najlepszego w Nowym Roku