Wyskakujące komunikaty z informacją o rozpoczęciu pobierania


(Arizona) #1

Co chwila wyskakuje mi informacja, że zaraz zacznie się pobieranie "...czegoś tam" ..a następnie wkracza do akcji rezydent SpyBot'a i pyta się czy zablokować pobieranie---> po czym uruchamia sie okienko IE z jakąś stronką www.

Log:


(jessica) #2

>>Hijack>>scan(Do a system scan only)>>zaznacz (V) >> Fix checked.

To wygląda na infekcję " LOP".

Aby zobaczyć pozostałe elementy tej infekcji daj log z --> ComboFix .

jessi


(Arizona) #3

Wpis w HJ ciachnięty...

Dla pewności nowy log:

ComboFix: http://wklej.org/id/8b361209ea

tak przy okazji: podczas uruchamiania kopmutera system woła o podanie hasła (żadnego hasła nie mam ustawionego) --> muszę za każdym razem

klikać ok... jak to zniwelować ??

A.


(jessica) #4

Problem z hasłem może daj w jakimś innym dziale tego Forum

(np. -http://forum.dobreprogramy.pl/viewforum.php?f=2

lub http://forum.dobreprogramy.pl/viewforum.php?f=13.)

Chyba, że tu jeszcze ktoś inny Ci odpowie...

Pierwszy raz zobaczyłam, że ComboFix usunął samoczynnie dwa elementy tej infekcji "LOP".! :slight_smile:

Ale jeszcze nie wszystkie.

Wklej do Notatnika :

File::

C:\WINDOWS\tasks\AA9647119065FE31.job


Folder::

C:\Documents and Settings\Toshiba\Dane Aplikacji\trans draw


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccead2a8-3d1b-11dc-9900-00c09fe0b3dc}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4185942-0d23-11dc-989d-00c09fe0b3dc}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{92c10892-a5ef-11d9-95df-00c09fe0b3dc}]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Owns Four Jugs Htm]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log.

jessi


(Arizona) #5

Zrobione, oto log:

http://wklej.org/id/14de9382a2

A.


(jessica) #6

Niestety, usuwanie się nie udało, a więc powtórka z rozrywki.

I na czas usuwania wyłącz Rezydenta Spybota, jeśli masz go włączonego.

Wklej do Notatnika :

File::

C:\WINDOWS\tasks\AA9647119065FE31.job

C:\Documents and Settings\All Users\Dane aplikacji\Win knob owns four\pile chic.exe


Folder::

C:\Program Files\trans draw 

C:\Documents and Settings\All Users\Dane Aplikacji\Win knob owns four

C:\Documents and Settings\Toshiba\Dane Aplikacji\trans draw


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{92c10892-a5ef-11d9-95df-00c09fe0b3dc}]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Owns Four Jugs Htm]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4185942-0d23-11dc-989d-00c09fe0b3dc}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccead2a8-3d1b-11dc-9900-00c09fe0b3dc}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log.

jessi


(Arizona) #7

Zrobione, oto log:

http://wklej.org/id/4049a07a7e

A.


(jessica) #8

Niestety, u Ciebie usuwanie jest przez coś zablokowane, więc nie uda się usunąć i trzeba będzie sformatować dysk. :frowning: :frowning: :frowning:

Nie wiem, w jaki sposób to sobie zablokowałeś, bo "LOP" tego na pewno nie potrafi.

Zrobimy jeszcze jedną próbę usuwania.

Ściągnij -->Avenger.

Zaznacz: "Input Script Manualy". Kliknij "Lupkę". Wklej:

Kliknij "Done". Kliknij "zielone światełko". Kliknij "TAK".

Zrestartuj komputer.Log z Avengera znajduje się w C:\avenger.

Daj też nowy log z ComboFixa.

jessi


(Arizona) #9

http://wklej.org/id/0b2d23c8a8

A z tego 2 programu:

Robilem te czynnosci w trybie awaryjnym...


(jessica) #10

No niestety - widać, że u Ciebie nic się nie da usuwać.

Przykro mi, ale na to nic nie poradzę.

:frowning: :frowning:

Może przypomnisz sobie, jak Ci udało się zablokować usuwanie wszystkiego - pytam tylko z ciekawości.

jessi


(Arizona) #11

Gdybym tylko wiedział.....

Jakies konsekwencje dla systemu beda jesli przez pewien okres czasu zostawie tak jak jest ?? (nie bardzo mi sie widzi formatowanie ;/)

A.


(Gutek) #12

Pobierz program SDFix

-


(Arizona) #13

Zrobione,

Oto raport:

A.


(jessica) #14

Nie wiem, po co był ten SDFix - przecież SDFix nigdy nie usuwał infekcji "LOP"?

Nawet nie potrafi jej wykryć.

Infekcja "LOP"nie czyni większych szkód na komputerze - jest tylko uciążliwa dla użytkownika, bo ściąga różne reklamy, rózne niepotrzebne strony, itp.

Spróbuj jeszcze:

Użyj -->NoLOP

Kliknij na "Search and Destroy"

Po pracy narzędzie utworzy log w lokalizacji C:\NoLop.log.

jessi


(Arizona) #15

zrobione:

W sumie może jeszcze ta informacja pomoże:

otoż te reklamy sie uruchamiały i zapora czesto pytała

czy dopuścić coś o nazwie "pile chic"....to otworzylem autostart (poleceniem msconfig) i zauważyłem, że wlasnie siedzi cos o tej nazwie to to odznaczylem, żeby nie uruchamiało się ze startem systemu..

Złączono Posta : 09.11.2007 (Pią) 10:42

Poprawiło się coś ? czy nadal jest tak jak było ?

A.