Wyskakujące reklamy

Dla specjalistów Bezpieczeństwo
#1

Witam. Jak mi się wydaje przez instalacje jednego z programów wyskakują mi reklamy o rozmaitych treściach. Na forum udało mi się znaleźć program, który może pomoć: SmitFraudFix - użyłem go w trybie awaryjnym a uzyskany raport zamieszczam poniżej. Teraz gdy uruchamiam komputer wyskakuje również błąd, że brakuje svchost.exe

Proszę o pomoc

#2

Ten raport, to za mało. Podejrzewam infekcję “LOP”, oraz zapis w rejestrze RUN tego “svchosta”.

Daj log z Hijacka oraz log z ComboFixa:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654

(na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

.

#3

Tutaj log z Hijack:

http://wklej.org/id/86d637f097

oraz ComboFix:

http://wklej.org/id/68fab5cba6

#4

Miałam dobre przeczucie - rzeczywiście ma infekcję “LOP” i rzeczywiście jest wpis poszukujący “svchosta”. Dodatkowo ComboFix usunął pliki wskazujące na infekcję na pendrive.

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Wklej do Notatnika :

File::

C:\Documents and Settings\All Users\Dane aplikacji\Grid Blue Memo Site\Mess book.exe

C:\Documents and Settings\All Users\Dane aplikacji\Enc safe that grid\long mp3 ooze.exe

C:\DOCUME~1\Lake\DANEAP~1\SPAMWI~1\BoltTwoProgram.exe

C:\WINDOWS\Tasks\ADA2198791598C1F.job


Folder::

C:\Documents and Settings\All Users\Dane aplikacji\Grid Blue Memo Site

C:\Documents and Settings\All Users\Dane aplikacji\Enc safe that grid

C:\Program Files\SPAM WIPE

C:\Program Files\BitDownload

C:\Documents and Settings\Lake\Dane aplikacji\SPAM WIPE

>>Plik>>Zapisz jako… >>> CFScript.tx (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.tx znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.tx na plik ComboFix.exe

(czyli ikonkę CFScript.tx na ikonkę ComboFix.exe )

– tak jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Potem daj nowe logi z Hijacka i z ComboFixa.

Przy okazji usuń też wpisy w pliku HOSTS, które pokazał Smitfraudfix (added by CiD"):

>>Mój Komputer>>dysk C:\>>WINDOWS>>system32>>drivers>>etc>>HOSTS>>otwórz jako Notatnik. Musi zostać wpis :

127.0.01 localhost. (tego nie ruszaj!)

.

EDIT:

“BitDownload” dodałam do usuwania, bo powstał w tej samej chwili, co infekcja “LOP”, a poza tym to jest “Trojan Win32.Inject.ba”.

.Podejrzewam, że o tym nie wiedziałeś i sam go ściągnąłeś dobrowolnie.

.

#5

Zrobiłem dokładnie tak jak napisałeś. Dziękuje za odpowiedź.

Log z Hijack:

http://wklej.org/id/395c44ae3a

oraz ComboFix:

http://wklej.org/id/d9f69d946a

Tak jak zalecałeś plik HOSTS otworzyłem i tam znajdował się tylko jeden wpis, który pisałeś aby pozostawić - tak więc ten plik pozostał bez zmian.

Czy już ten problem został usunięty?

#6

Wygląda na to, że jest już OK!.

. :slight_smile:

#7

Dziękuje bardzo! To jest niewiarygodne, że na podstawie tych logów można wyciągnąć jakieś wnioski! Dzięki jeszcze raz :slight_smile:

Łączę pozdrowienia,

Przemek.