"your privacy is in danger"


(Kuki 86) #1

po wlaczeniu komputera pojawia sie czerwona tapeta your privacy is in danger, co chwile wlacza sie strona IE z jakims programem do usowania wirow i spamow

podaje link do hijacka ---> http://wklej.org/id/d0c4a3f014

Prosze o pomoc!!

@Down

podaje link do combofix'a ---> http://wklej.org/id/223cb90bb4


(Gutek) #2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/pl/

O2 - BHO: SXG Advisor - {EF39E67B-8383-4A49-AAC6-29349FA7F623} - C:\WINDOWS\dntpkwodpx.dll

O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)

O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbSha1.dll

O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbSha1.dll

O3 - Toolbar: ekxdvft - {F25117E3-2A27-4A0C-88EE-D9307F678DD0} - C:\WINDOWS\ekxdvft.dll (file missing)

O21 - SSODL: adsoowf - {B3A54711-3368-4F29-A551-08CFBDE36D76} - C:\WINDOWS\adsoowf.dll			

 O21 - SSODL: bgrlsmn - {9BFC11F5-85B8-4364-8EC8-09D648734B03} - (no file)

usuń wpisy HJT, w dodaj/usuń odinstaluj Share_Accelerator_MM, ale do usuniecia całej infekcji potrzebny będzie log z Combo który więcej pokaże - Daj log z ComboFix

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222


(Kuki 86) #3

tak wyglada log z hijacka po usonieciu podanych wpisów --> http://wklej.org/id/c489fb2350

podaje nienaprawiony link do loga z combofix'a ---> http://wklej.org/id/223cb90bb4


(Gutek) #4

Wklej do Notatnika:

File::

C:\WINDOWS\dntpkwodpx.dll 

C:\WINDOWS\adsoowf.dll 

C:\WINDOWS\ffvrdgt.exe


Folder::

C:\Program Files\Share_Accelerator_MM


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF39E67B-8383-4A49-AAC6-29349FA7F623}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 

"{37B85A29-692B-4205-9CAD-2626E4993404}"=-

"{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}"=-

"{F25117E3-2A27-4A0C-88EE-D9307F678DD0}"=-

[-HKEY_CLASSES_ROOT\clsid\{f25117e3-2a27-4a0c-88ee-d9307f678dd0}] 

[-HKEY_CLASSES_ROOT\ekxdvft.1] 

[-HKEY_CLASSES_ROOT\TypeLib\{A98CC268-6435-4453-8DB5-A31C3DEB74BA}] 

[-HKEY_CLASSES_ROOT\ekxdvft]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SBI"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"FriendlyName"=""

"Source"=""

"SubscribedURL"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 

"adsoowf"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Kuki 86) #5

No dobrze zrobiłem wszystko jak w zaleceniach , po restarcie już jestem i usunąłem folder Qoobox. Mam nadzieje ze to pomoże , mimo iz jak przeciągnąłem plik txt na ComboFix to o nic mnie nie pytało tylko zaczęło ponownie skanować oczywiście po moim kliknięciu na yes ...


(Gutek) #6

Daj log z Combo, zobaczymy czy syf usunięty


(Kuki 86) #7

Log z Combo nr2 ------> http://www.wklej.org/id/2d03c1d9c7


(Gutek) #8

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00 


[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF39E67B-8383-4A49-AAC6-29349FA7F623}]

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.


(Kuki 86) #9

tak wyglada log po zmianie rejestru i restarcie ---> http://wklej.org/id/fb2ebf2ec1


(Gutek) #10

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00 


[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF39E67B-8383-4A49-AAC6-29349FA7F623}]

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.


(Kuki 86) #11

noto juz zrobilem przeciez jeszcze raz tak zrobic??


(Gutek) #12

Zobacz i usuń ręcznie

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>

>rozwiń ten klucz,klikając na (+):

>(+)HKEY_LOCAL_MACHINE\~\Browser Helper Objects

>zaznacz: {EF39E67B-8383-4A49-AAC6-29349FA7F623}>>prawoklik>>usuń

>zwiń ten klucz, klikając na (-).


(Kuki 86) #13

tak jak pisałeś tak zrobiłem i to załatwi moje problemy bo jak to znowu sie pojawi to osiwieje :confused:


(Gutek) #14

Ja już nic nie widzę


(Kuki 86) #15

W takim razie pozostaje mi ładnie podziękować i trzymać kciuki żeby sie to nie powtórzyło. Aha z z jakiej okazji taki vir pakuje sie na kompa...ja nie odwiedzam podejrzanych stron ani nic z tych rzeczy ??