Wirus przekierowuje na "dziwne" strony

Witam wszystkich,

trafiłem tu jak pewnie wielu przede mną w poszukiwaniu pomocy:

wirus przekierowuje strony na które chcę wejść na inne, często pojawia się byuwill.net, jeśli Wam to coś mówi.

Problem istnieje od kilku dni, próbowałem znaleźć jakieś działające nietypowe programy na kompie, niestety to nie pomogło. Do tego pojawiają się problemy z klawiaturą, w części znaków zniknęły duże litery lub pojawiają się tylko niektóre znaki. Nie wiem czy to problemy powiązane, być może klawiatura po prostu się zepsuła.

Zamieszczam log z OTL:

http://wklej.to/NDoHO

Dziękuję i pozdrawiam :slight_smile:

Odinstaluj MyAshampoo Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

plik hosts sprawdz czy nie jest zmodyfikowany (otworz notatnikiem)

c:/windows/system32/drivers/etc <- tu wlasnie sie znajduje ten plik

nie zmodyfikowany powinien wyglądac tak:

Copyright © 1993-2001 Microsoft Corp.

This file has been automatically generated for use by Microsoft Internet

Connection Sharing. It contains the mappings of IP addresses to host names

for the home network. Please do not make changes to the HOSTS.ICS file.

Any changes may result in a loss of connectivity between machines on the

local network.

192.168.225.1 Kuba-PC.mshome.net # 2016 12 0 18 13 53 36 506

====================================================

oczywiście twój będzie wyglądał nieco inaczej, bo masz inna nazwe użytkownika :slight_smile:

Dziękuję za odpowiedź, Ashampoo wywaliłem, po resecie:

http://wklej.to/Iq7qF

ponowne skanowanie:

http://wklej.to/QdUsD

Mam nadzieję, że to coś wyjaśni :slight_smile:

Edit:

Mój plik wygląda tak:

Copyright © 1993-1999 Microsoft Corp.

To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP

w systemie Windows.

Ten plik zawiera mapowania adresów IP na nazwy komputerów

Każdy wpis powinien być w osobnej linii.

W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie

odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone

co najmniej jedną spacją

Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych

liniach lub po nazwie komputera, oznaczając je symbolem ‘#’.

Na przykład:

102.54.94.97 rhino.acme.com # serwer źródłowy

38.25.63.10 x.acme.com # komputer kliencki x

127.0.0.1 localhost

a więc plik hosts nie jest zmodyfikowany przyczyna musi leżeć gdzie indziej, czy moglbys podac konkretnie jakie strony sa przekierowywane? i nazwe twojego antywirusa

W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY WIRUSÓW

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.

moim zdaniem lepiej przeskanować programem Dr.Web CureIt, ale przeskanuj malwarebytes, jesli nic nie wykryje to dr.web’em przeskanuj dodatkowo

download : http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html

Dodane 24.12.2011 (So) 16:00

chociaż jakby było to możliwe, to mi najlepiej wyczyścil kompa ktory juz nie ruszał normalnie, w trybie awaryjnym kaspersky antyvirus 2012

Obecnie mam ESET - niestety od jakiegoś czasu nieaktualny. Planowałem wykupić i zwlekałem, mam nauczkę czym się to kończy :wink:

Z grubsza działa to tak, że wyszukuję coś na google, klikam i wywala mnie na inną stronę, zwykle pierwszy adres to

http://www.bywill.net/?search=wp.pl&n=1324733903

http://www.bywill.net/?search=wirus%2Bp … 1324731213

czyli jakby moje wyszukiwanie zamieniał na jakieś inne wyszukiwanie? Od razu też przekierowuje mnie na strony typu:

http://78.140.161.61/go.php?uid=55446&s … 9XqisJQ%3D

lub:

http://78.140.161.61/go.php?uid=55446&s … yKbg%3D%3D

Próbowałem teraz wejść na jakąś z nich ale są zablokowane, pisze, że dokonują ataków i komunikat sugeruje, żeby się wycofać co skwapliwie uczyniłem. Wywala mnie na taką stronę tak z trzy razy a potem już mogę przejść normalnie na pożądaną stronę.

więc tak, nie kwestionuję nic co acorus powiedział, ale ja uważam że najsprawniej inajszybciej będzie jak poprostu wywalisz eseta, zainstalujesz kasperskiego 2012 antyvirus, uruchom w trybie awaryjnym komputer bez internetu!! (uprzednio w normalnym trybie zaktualizuj antywirusa) i uruchom full skan, powinno rozwiązać problem, zaś jeśli nie to dr.web

Dodane 24.12.2011 (So) 16:14

bo jak poinstalujesz pare programow antywirusowych, i typu otl / combofix itp. to sie narobi bałaganu, i z czyszczenia infekcji trzeba będzie potem czyscic system z pozostałosci po antywirusach zeby sie nie kolidowały, a tak wywalisz noda zainstalujesz kasperskiego i w trybie awaryjnym powinien sobie poradzic, ważna rzecz aby sie zainstalowal kasperski musisz usunąc wpis “eamon” z rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eamon

dokładnie o ten wpis chodzi :))

Dodane 24.12.2011 (So) 16:16

idę szykować się powoli do Wigilii, Wesołych i Pogodnych świąt życzę.

(*potem zajrze na forum jak sie rozwinęło)

Bez przesady.Ważniejsza jest instalacja SP2 i 3

OK. Wróciłem z Wigilii, moja kochana połóweczka zgarnęła mnie tak szybko, że nie zdążyłem życzyć wesołych :slight_smile:

Zresztą nie miało to znaczenia bo jak puściłem w ruch Malwarebytes to straciłem net :wink:

Mam teraz ten program w pełnej wersji (testowa/okresowa), przeskanowałem i wykryło 69 (sic!) szpiegujących oprogramowań :stuck_out_tongue:

Oto log:

http://wklej.to/2jYi3

Coś powinienem zrobić, żeby się tego pozbyć? Malwarebytes mi to wyczyści, czy potrzebuję innego programu, typu Kasperski?

Wszystko do usunięcia.Pamiętaj o aktualizacjach.

Dziękuję Wam wszystkim za pomoc i życzę wszystkiego najlepszego w Nowym Roku :slight_smile: