Wyskakujace strony erotyczne, powolny komputer

kinolll · 5 Styczeń 2010 21:48

Witam!

Mam problem tego typu, ze od jakiegoś czasu komputer jest zamulony, samoistnie wyłączają się strony internetowe, a włączaja strony erotyczne, z grami itp.

Jestem laikiem, wiec proszę o pomoc.

To moj link z log:

http://wklej.org/id/257268/

deFco247 · 5 Styczeń 2010 22:32

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:Processes Explorer.EXE :OTL PRC - [2009-12-31 21:12:18 | 00,058,744 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\QuestService\questservice115.exe PRC - [2009-12-31 21:12:18 | 00,058,744 | ---- | M] () – C:\Program Files\QuestService\questservice.exe PRC - [2009-12-30 04:11:37 | 00,712,704 | ---- | M] () – C:\Program Files\GameRaving Toolbar\2.2.0.7580\mvbapp.exe PRC - [2009-12-29 14:11:12 | 00,348,160 | ---- | M] () – C:\Program Files\Internet Today\1.2.0.1420\InternetToday.exe MOD - [2009-12-31 21:12:12 | 00,598,016 | ---- | M] () – C:\Program Files\QuestService\questservice.dll IE - HKCU…\URLSearchHook: {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - Reg Error: Key error. File not found IE - HKCU…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found IE - HKCU…\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL File not found FF - prefs.js…browser.search.defaultenginename: “Yoog Search” FF - prefs.js…browser.search.defaulturl: “http://www6.yoog.com/search.php?q=” FF - prefs.js…browser.search.selectedEngine: “Yoog Search” FF - prefs.js…browser.startup.homepage: “http://www.winamp.com?src=toolbar” FF - prefs.js…extensions.enabledItems: {8141440E-08F0-4339-9959-5C31C6A69F23}:4.2.0.5360 FF - prefs.js…extensions.enabledItems: {E889F097-B0BE-471B-89AD-B86B6F04B506}:4.2.0.2050 FF - prefs.js…extensions.enabledItems: {AAF6454A-4000-4015-84C1-6CD844C06B19}:1.0 FF - prefs.js…extensions.enabledItems: {E63605FC-D583-4C81-867F-9457BDB3EA1B}:4.2.0.2150 FF - prefs.js…extensions.enabledItems: {e90c9df4-fa15-078f-fd26-c3cca972a3d4}:4.6.6.2 [2010-01-04 15:35:37 | 00,002,406 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\questservice115.xml FF - user.js…browser.search.defaultenginename: “Yoog Search” FF - user.js…browser.search.defaulturl: “http://www6.yoog.com/search.php?q=” FF - user.js…browser.search.selectedEngine: “Yoog Search” FF - user.js…keyword.URL: “http://www6.yoog.com/search.php?q=” FF - HKLM\software\mozilla\Firefox\extensions\{40f1eb95-4de4-4f36-a826-054ee36bb905}: C:\Program Files\GameRaving Toolbar\2.2.0.7580\FFToolbar [2010-01-04 15:32:24 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\extensions\{E63605FC-D583-4C81-867F-9457BDB3EA1B}: C:\Program Files\Web Search Operator\4.2.0.2150\FF [2010-01-04 15:32:32 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\extensions\{8141440E-08F0-4339-9959-5C31C6A69F23}: C:\Program Files\Automated Content Enhancer\4.2.0.5360\FF [2010-01-04 15:32:36 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\extensions\{E889F097-B0BE-471B-89AD-B86B6F04B506}: C:\Program Files\Customized Platform Advancer\4.2.0.2050\FF [2010-01-04 15:32:42 | 00,000,000 | —D | M] [2010-01-04 19:52:16 | 00,001,196 | ---- | M] () – C:\Documents and Settings\Xp\Dane aplikacji\Mozilla\Firefox\Profiles\a8z9doel.default\searchplugins\winamp-search.xml [2009-06-30 23:12:48 | 00,000,246 | ---- | M] () – C:\Documents and Settings\Xp\Dane aplikacji\Mozilla\Firefox\Profiles\a8z9doel.default\searchplugins\Yoog Search.xml [2010-01-04 15:35:32 | 00,000,000 | —D | M] (QuestService) – C:\Program Files\Mozilla Firefox\extensions{AAF6454A-4000-4015-84C1-6CD844C06B19} [2009-12-25 22:16:58 | 00,000,000 | —D | M] (z) – C:\Program Files\Mozilla Firefox\extensions{e90c9df4-fa15-078f-fd26-c3cca972a3d4} O2 - BHO: (Automated Content Enhancer) - {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} - C:\Program Files\Automated Content Enhancer\4.2.0.5360\ACEIEAddOn.dll () O2 - BHO: (Customized Platform Advancer) - {42C7C39F-3128-4a17-BDB7-91C46032B5B9} - C:\Program Files\Customized Platform Advancer\4.2.0.2050\CPAIEAddOn.dll () O2 - BHO: (no name) - {6B3E26A3-C1E2-4125-8C8F-F1303F748C3A} - No CLSID value found. O2 - BHO: (Content Management Wizard) - {B72681C0-A222-4b21-A0E2-53A5A5CA3D41} - C:\Program Files\Content Management Wizard\1.2.0.2080\CMWIE.dll () O2 - BHO: (Textual Content Provider) - {CAC89FF9-34A9-4431-8CFE-292A47F843BC} - C:\Program Files\Textual Content Provider\1.2.0.2040\TCPIE.dll () O2 - BHO: (no name) - {E12C37B1-BCA0-4550-A14F-9B1ACA8DD039} - C:\WINDOWS\system32\ati2dva.dll () O2 - BHO: (Web Search Operator) - {EB4A577D-BCAD-4b1c-8AF2-9A74B8DD3431} - C:\Program Files\Web Search Operator\4.2.0.2150\WSO.dll () O2 - BHO: (adservefast) - {ed0a20db-20b4-7eb5-78df-733e7f999c8f} - C:\WINDOWS\system32\00440ee7-0754-9329-293e-c75e4bd66b5a.dll () O3 - HKLM…\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found O3 - HKLM…\Toolbar: (GameRaving Toolbar) - {D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2} - C:\Program Files\GameRaving Toolbar\2.2.0.7580\mvb0.dll () O3 - HKLM…\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found O3 - HKLM…\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O3 - HKCU…\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found O3 - HKCU…\Toolbar\WebBrowser: (GameRaving Toolbar) - {D45817B8-3EAD-4D1D-8FCA-EC63A8E35DE2} - C:\Program Files\GameRaving Toolbar\2.2.0.7580\mvb0.dll () O3 - HKCU…\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O4 - HKLM…\Run: [internet Today Task] C:\Program Files\Internet Today\1.2.0.1420\InternetToday.exe () O4 - HKCU…\Run: [iGoD] C:\Documents and Settings\Xp\Pulpit\iGoDr022.exe File not found O4 - HKCU…\Run: [VideoBarApp] C:\Program Files\GameRaving Toolbar\2.2.0.7580\mvbapp.exe () O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html () O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html () [2010-01-04 15:38:48 | 00,000,000 | —D | C] – C:\Documents and Settings\Xp\Ustawienia lokalne\Dane aplikacji\Textual Content Provider [2010-01-04 15:33:18 | 00,000,000 | —D | C] – C:\Program Files\QuestService [2010-01-04 15:33:18 | 00,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\QuestService [2010-01-04 15:33:08 | 00,000,000 | —D | C] – C:\Program Files\Textual Content Provider [2010-01-04 15:33:01 | 00,000,000 | —D | C] – C:\Program Files\Content Management Wizard [2010-01-04 15:32:50 | 00,000,000 | —D | C] – C:\Documents and Settings\Xp\Ustawienia lokalne\Dane aplikacji\Internet Today [2010-01-04 15:32:49 | 00,000,000 | —D | C] – C:\Program Files\Internet Today [2010-01-04 15:32:42 | 00,000,000 | —D | C] – C:\Program Files\Customized Platform Advancer [2010-01-04 15:32:42 | 00,000,000 | —D | C] – C:\Documents and Settings\Xp\Ustawienia lokalne\Dane aplikacji\Customized Platform Advancer [2010-01-04 15:32:37 | 00,000,000 | —D | C] – C:\Documents and Settings\Xp\Ustawienia lokalne\Dane aplikacji\Automated Content Enhancer [2010-01-04 15:32:36 | 00,000,000 | —D | C] – C:\Program Files\Automated Content Enhancer [2010-01-04 15:32:33 | 00,000,000 | —D | C] – C:\Documents and Settings\Xp\Ustawienia lokalne\Dane aplikacji\Web Search Operator [2010-01-04 15:32:32 | 00,000,000 | —D | C] – C:\Program Files\Web Search Operator [2010-01-04 15:32:16 | 00,000,000 | —D | C] – C:\Program Files\GameRaving Toolbar [2010-01-04 15:32:12 | 00,000,000 | -H-D | C] – C:\Documents and Settings\All Users\Dane aplikacji{ECD52AE6-7923-4CA7-93CF-CB484D23E626} [2010-01-04 15:31:59 | 00,000,000 | —D | C] – C:\Documents and Settings\Xp\Ustawienia lokalne\Dane aplikacji\GameRaving Toolbar [2009-12-25 22:16:59 | 00,103,486 | ---- | M] () – C:\WINDOWS\System32\4d8e3c2d-3466-33f7-103c-b38c222bd394.exe [2009-12-24 20:01:42 | 01,902,080 | ---- | M] () – C:\WINDOWS\System32\00440ee7-0754-9329-293e-c75e4bd66b5a.dll [2009-06-08 18:47:05 | 00,122,368 | ---- | C] () – C:\WINDOWS\System32\ati2dva.dll [2009-05-22 19:22:02 | 00,195,584 | ---- | C] () – C:\WINDOWS\System32\kdpini.dll [2009-04-09 17:35:02 | 00,714,240 | ---- | C] () – C:\WINDOWS\System32\nsn9.dll [2009-01-21 18:43:22 | 00,069,158 | ---- | C] () – C:\WINDOWS\System32\aoqmlmolda.dll-uninst.exe [2007-04-12 04:09:28 | 00,280,079 | ---- | C] () – C:\WINDOWS\System32\ecdadaffbaefefec.dll [2004-07-14 04:19:23 | 00,312,847 | ---- | C] () – C:\WINDOWS\System32\ecfedbdcfbb.dll :Services QuestService Service :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

Przed kliknięciem Run Scan wklejasz w OTL taki tekst:

Doklej też log z System Repair Engineer.

kinolll · 5 Styczeń 2010 23:28

http://wklej.org/id/257352/ <— log zrobiony opcja Run Scan

http://wklej.org/id/257356/ <— log zrobiony za pomocą System Repair Engineer

Nie zrobilem logu z usuwania ;/ Zagolopowałem się, i zapisałem kolejny.

Leon1 · 6 Styczeń 2010 15:06

uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń

{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} {08B0E5C0-4FCB-11CF-AAA5-00401C608501} {1428A472-5260-404E-9977-7ECDF1DAF936} {1D216076-93C9-477F-9BC7-9C39AD31640B} {1D74E9DD-8987-448B-B2CB-67FFF2B8A932} {2502BBD0-D73B-11DD-B4EC-CEBF56D89593} {42C7C39F-3128-4A17-BDB7-91C46032B5B9} {6B3E26A3-C1E2-4125-8C8F-F1303F748C3A} {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} [Ask Search Assistant BHO]{9CB65201-89C4-402C-BA80-02D8C59F9B1D} {9E385F0A-0BA2-430C-96AA-4399C5E40F6C} {B72681C0-A222-4B21-A0E2-53A5A5CA3D41} {CAC89FF9-34A9-4431-8CFE-292A47F843BC} {CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7} {D27CDC6E-AE6D-11CF-96B8-444553540000} {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} {D45817B8-3EAD-4D1D-8FCA-EC63A8E35DE2} {E2E2DD38-D088-4134-82B7-F2BA38496583} {EB4A577D-BCAD-4B1C-8AF2-9A74B8DD3431} {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} {EC025568-79FC-4196-9E4F-66F702CF4F16} {ED0A20DB-20B4-7EB5-78DF-733E7F999C8F} {F70F6880-3A4B-11DE-8230-0B7C55D89593} {FB5F1910-F110-11D2-BB9E-00C04F795683} [Ask Toolbar BHO]{FE063DB1-4EC0-403E-8DD8-394C54984B2C} {FE063DB9-4EC0-403E-8DD8-394C54984B2C}

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

:Processes explorer.exe :OTL IE - HKLM…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found O2 - BHO: (no name) - {E12C37B1-BCA0-4550-A14F-9B1ACA8DD039} - C:\WINDOWS\System32\ati2dva.dll File not found O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl … rashim.cab (Reg Error: Key error.) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL File not found O20 - Winlogon\Notify\ecdadaffbaefefec: DllName - C:\WINDOWS\system32\ecdadaffbaefefec.dll - C:\WINDOWS\system32\ecdadaffbaefefec.dll () O20 - Winlogon\Notify\ecfedbdcfbb: DllName - C:\WINDOWS\system32\ecfedbdcfbb.dll - C:\WINDOWS\system32\ecfedbdcfbb.dll () DRV - [2006-03-02 13:00:00 | 00,023,424 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] – C:\WINDOWS\system32\drivers\bkmtfyrx.sys – (bkmtfyrx) :Files C:\WINDOWS\system32\ecdadaffbaefefec.dll C:\WINDOWS\system32\ecfedbdcfbb.dll C:\wx8o0bt1.com C:\Program Files\AskTBar C:\WINDOWS\system32\drivers\bkmtfyrx.sys :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

potem nowy log OTL

kinolll · 6 Styczeń 2010 16:58

http://wklej.org/id/257924/ To nowy log

Leon1 · 6 Styczeń 2010 17:17

uruchom System Repair Engineer zakładka Boot Items >> Services >> Drivers >> odszukaj i usuń

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

Kliknij w Run Fix. Zatwierdź restart komputera.

potem nowy log OTL

kinolll · 6 Styczeń 2010 17:39

uruchom System Repair Engineer zakładka Boot Items >> Services >> Drivers >> odszukaj i usuń

Jak to usunąc? Bo próbuje i jakoś nie idzie…;/

deFco247 · 6 Styczeń 2010 17:44

To jest raczej rootkit i w ten sposób to się raczej nie usunie

Pobierz The Avenger i uruchom.

Wklej w niego ten tekst:

Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt

Doklej również log z GMER.

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

kinolll · 6 Styczeń 2010 21:13

http://wklej.org/id/258209/ <---- raport z Avenger

A log z GMER wstawie pozniej, bo już chyba jakąś godzine, po wciśnięciu “Szukaj”, cały czas szuka… Czy to normalne?

deFco247 · 6 Styczeń 2010 21:17

Tak. Poza tym The Avenger odnalazł innego rootkita i GMER jest tutaj konieczny.

kinolll · 6 Styczeń 2010 21:31

http://wklej.org/id/258307/

W końcu się udało

deFco247 · 6 Styczeń 2010 21:33

Zastosuj Combofix.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.

kinolll · 6 Styczeń 2010 23:32

http://wklej.org/id/258419/

deFco247 · 7 Styczeń 2010 15:31

Z takim czymś może być ciężko…

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

kinolll · 7 Styczeń 2010 21:04

Gdy puszczam ikone CFScript.txt na ikonkę Combofix.exe to pojawia się na środku ekranu napis ComboFix ładuje sie, i nic sie z tym nie dzieje.

deFco247 · 8 Styczeń 2010 15:15

No to będzie trzeba puścić kilka narzędzi, bo to ciężka infekcja rootkitowa.

Uruchom system w trybie awaryjnym.

Pobierz GMER, przejdź w nim na zakładkę CMD.

Wklej w górne okno przy zaznaczonym CMD.EXE takie komendy:

Pod xxxxxxxx.exe wstawiasz nazwę, pod jaką zapisał się GMER.

Klikasz Uruchom i restart przy ponownym wejściu do trybu awaryjnego.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

Pobierz AVZ.

File -> Custom Scripts -> wklejasz w okno ten skrypt:

Run i po restarcie wklejasz zawartość logu C:\avzlog.txt.

kinolll · 8 Styczeń 2010 20:23

Gdy przeciągam i puszczam ikonkę CFScript.txt na ikonkę Combofix.exe to tylko pojawia się napi ComboFic, ładuje sie i nic.

Gdy w AVZ wkleiłem to i nacisnałem Run, to wyskoczyło mi “Error: expected at position 31”

Czy robie coś nie tak? ;/

deFco247 · 8 Styczeń 2010 20:37

No a GMER-a próbowałeś?

kinolll · 8 Styczeń 2010 23:02

Tak, zrobiłm wszystko tak jak napisałeś.

Po uruchomieniu GMER-a zrobiłem Uruchom, i na nowo w trybie awaryjnym po restarcie.

deFco247 · 9 Styczeń 2010 09:10

Wykonaj nowy log GMER, by sprawdzić czy to zeszło.