Objawy zainfekowania:
Witam mam problem, nie widzialem gdzie mam o nim napisac, wiec zdecydowalems sie tutaj, jesli pomylilem dzialy z gory przepraszam
otoz mam zainstalowane programy blokujace reklamy a i tak mi caly czas cos wyskakuje w nowej karce i nowym oknie, skanowalem komputer, wszystkie wirusy usunalem i nadal to samo, programy do blokowania reklam ad blocker plus.
nastepnym problemem jest to ze czasami uzycie pliku stron jest ponad 1gb.
Windows XP w logach nie wiem o co chodzi wiec zamieszczam je tutaj, z gory dziekuje za pomoc, pozdrawiam.
Wykonywane działania:
komputer byl skanowany avastem
Logi:
Extras.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Tutaj RSIT
[Aby zobaczyć linki, zarejestruj się tutaj]
RSIT2
[Aby zobaczyć linki, zarejestruj się tutaj]
Pierwsze co zrób to odinstaluj:
Pando Media Booster
McAfee Security Scan zastąp skaner programem Malwarebytes Anti-Malware 1.70.0.1100
tuto4pc
Brak pliku hosts
Ściągnij domyślny dla twojego systemu plik hosts
[Aby zobaczyć linki, zarejestruj się tutaj]
i wklej go w tą lokalizacje:
C:\WINDOWS\system32\drivers\etc
Wejdź do ustawień przeglądarki chrome i ustaw wyszukiwarkę na google.
Zainstaluj
[Aby zobaczyć linki, zarejestruj się tutaj]
do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
Kod:
:OTL
DRV - File not found [Unknown (-1) | Unknown (-1) | Stopped] -- Sys -- (OMSCAN)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=51&cf=5541f93d-70a1-11e2-acf7-001a4d53f9f3
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = ${SEARCH_URL}{searchTerms}
IE - HKU\S-1-5-21-1004336348-1563985344-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=51&cf=5541f93d-70a1-11e2-acf7-001a4d53f9f3
IE - HKU\S-1-5-21-1004336348-1563985344-1417001333-1003\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1004336348-1563985344-1417001333-1003\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1004336348-1563985344-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1004336348-1563985344-1417001333-1003\..\SearchScopes\{0A0EB7EC-12D2-4A10-90A7-E2B889F17286}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=112670&tt=5212_3&babsrc=SP_sst&mntrId=b80dfc62000000000000001a4d53f9f3
IE - HKU\S-1-5-21-1004336348-1563985344-1417001333-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?src=sp&aff=51&cf=5541f93d-70a1-11e2-acf7-001a4d53f9f3&q={searchTerms}
IE - HKU\S-1-5-21-1004336348-1563985344-1417001333-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid={83D8F903-CDF2-4230-83E0-08CA6E2334FE}&mid=96322f58cee847d088bbd1530bb71000-c5c573a5606b96c93f1345742e3afc3b43355c0f&lang=pl&ds=xn011&pr=sa&d=2012-10-02 15:43:13&v=13.0.0.7&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-1004336348-1563985344-1417001333-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
IE - HKU\S-1-5-21-1004336348-1563985344-1417001333-1003\..\SearchScopes\{DCDBBF03-BC10-457D-911F-EFB0321D22BE}: "URL" = ${SRCH_SCP_URL}
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?src=sp&aff=51&cf=5541f93d-70a1-11e2-acf7-001a4d53f9f3&q="
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2
O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKU\S-1-5-21-1004336348-1563985344-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\251005~1.80\{c16c1~1\browse~1.dll) -File not found
O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()
[2013-01-16 20:12:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kuba\Dane aplikacji\OpenCandy
:Files
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\ylmttpwb.default\searchplugins\babylon1.xml
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\ylmttpwb.default\searchplugins\BrowserProtect.xml
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\ylmttpwb.default\searchplugins\softonic.xml
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\ylmttpwb.default\searchplugins\Startsear.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\Common Files\userInit.dll
C:\Program Files\Common Files\logonInit.dll
:Commands
[EMPTYTEMP]
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
i uruchom
AdwCleanerz opcji
Delete .
Następnie uruchom
OTLponownie i kliknij
Skanuj . Przedstaw nowy log
OTLoraz raport z
Adwcleaner .
Prosze bardzo
Adwcleaner
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
Powiem Ci, ze jestes wariatem w sprawach zwiazanych z komputerami, dziekuje
Widnieje jeszcze tuto4pc ,odinstalowałeś ?
W dodaj usun programy tego nie ma a jak chcialem wyszukac to tylko znalazlo TUTO4PC_PL_7.EXE-06F505EC.pf nic wiecej
Dodano: 03 kwie 2013, 16:42
kubaaaa napisał(a):W dodaj usun programy tego nie ma a jak chcialem wyszukac to tylko znalazlo TUTO4PC_PL_7.EXE-06F505EC.pf nic wiecej c/windows
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
Kod:
:OTL
PRC - [2012-11-05 12:57:12 | 003,055,976 | ---- | M] () -- C:\Documents and Settings\Kuba\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_1\supt4pc_pl_1.exe
MOD - [2012-11-05 12:57:12 | 003,055,976 | ---- | M] () -- C:\Documents and Settings\Kuba\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_1\supt4pc_pl_1.exe
SRV - [2012-11-05 12:57:12 | 003,055,976 | ---- | M] () [Auto | Running] -- C:\Documents and Settings\Kuba\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_1\supt4pc_pl_1.exe -- (supt4pc_pl_1)
O4 - Startup: C:\Documents and Settings\Kuba\Menu Start\Programy\Autostart\TorpedoCopy.lnk =File not found
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1004336348-1563985344-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\261125~1.80\{c16c1~1\browse~1.dll) -File not found
:Commands
[EMPTYTEMP]
Przedstaw raport z wykonania
OTL