Objawy zainfekowania:
Napisz czym objawia się infekcja
Witam, wczoraj pojawił się u mnie problem tego typu że w momencie otwierania stron (jakichkolwiek, nawet strony startowej) przeglądarką Mozilla Firefox, Avast pokazuje mi informację o zablokowaniu złośliwego adresu. Usunęłam Mozillę i używam Google Chrome, tutaj problemu żadnego nie ma.
Wykonywane działania:
Przeskanowałam Avastem i nic nie znalazł, następnie Malwarebytes Anti-Malware i znalazł jeden wirus który został natychmiast usunięty jednak problem pozostał. Bardzo proszę o pomoc.
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Ucięło extras ,proszę wstawić jeszcze raz,jeśli nie jest pełny to ponowny skan OTLz zaznaczoną opcją rejestr skan dodatkowy - użyj filtrowania
Czy teraz jest ok?
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Tak
Dodano: 28 cze 2013, 23:14
Odinstaluj za ten czas
Ask Toolbar
Skype Toolbars
McAfee Security Scan Plus
Dodano: 28 cze 2013, 23:25
Do
OTLw własne opcje skanowania skrypt wklej i wykonaj:
Kod:
:OTL
PRC - [2013-02-08 15:55:20 | 001,644,680 | ---- | M] (Ask) -- C:\Program Files\Ask.com\Updater\Updater.exe
IE - HKU\S-1-5-21-1645522239-329068152-725345543-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-1645522239-329068152-725345543-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found
IE - HKU\S-1-5-21-1645522239-329068152-725345543-1003\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\prxtbSof0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-1645522239-329068152-725345543-1003\..\SearchScopes\{011F1D87-4FFF-4E62-AE32-16421E229538}: "URL" = http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000
IE - HKU\S-1-5-21-1645522239-329068152-725345543-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1645522239-329068152-725345543-1003\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://search.yahoo.com/search?fr=chr-panda&q={searchTerms}&ei=UTF-8&type=PCAFSI1190
IE - HKU\S-1-5-21-1645522239-329068152-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405280
FF - prefs.js..browser.search.defaultengine: "Ask.com Search"
FF - prefs.js..browser.search.defaultenginename: "Ask.com Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Eng7 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com Search"
FF - prefs.js..browser.search.selectedEngine: "Ask.com Search"
FF - prefs.js..extensions.enabledAddons: %7B414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3%7D:3.18.0.7
FF - prefs.js..extensions.enabledItems: {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}:2.0
FF - prefs.js..extensions.enabledItems: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}:2.7.1.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..extensions.enabledItems: [email protected]:1.0
File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\WłAśCICIEL\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\DUHCPIVW.DEFAULT\EXTENSIONS\{414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3}
O2 - BHO: (ST-Eng7 Toolbar) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\prxtbSof0.dll (Conduit Ltd.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Właściciel\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKLM\..\Toolbar: (ST-Eng7 Toolbar) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\prxtbSof0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-1645522239-329068152-725345543-1003\..\Toolbar\WebBrowser: (ST-Eng7 Toolbar) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - C:\Program Files\Softonic-Eng7\prxtbSof0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1645522239-329068152-725345543-1003\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_17-windows-i586.cab (Java Plug-in 10.25.2)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_17-windows-i586.cab (Java Plug-in 1.7.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_17-windows-i586.cab (Java Plug-in 10.25.2)
O33 - MountPoints2\{02d9fa88-1005-11df-8493-0019db65c03f}\Shell\AutoRun\command - "" = G:\mt.bat
O33 - MountPoints2\{02d9fa88-1005-11df-8493-0019db65c03f}\Shell\open\Command - "" = G:\mt.bat
O33 - MountPoints2\{8b046250-6a28-11de-82a2-bf5cceb33f73}\Shell - "" = AutoRun
O33 - MountPoints2\{8b046250-6a28-11de-82a2-bf5cceb33f73}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
[2013-03-19 23:27:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask
[2013-03-20 01:08:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Właściciel\Dane aplikacji\PriceGong
[2010-08-01 19:18:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Właściciel\Dane aplikacji\Panda Security
[2011-02-05 22:48:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Default User\Dane aplikacji\pandasecuritytb
[2010-08-01 19:17:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Panda Security
:Files
C:\Windows\tasks\*.*
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\duhcpivw.default\extensions\[email protected]
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\duhcpivw.default\searchplugins\askcom.xml
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\duhcpivw.default\searchplugins\askcomsearch.xml
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\duhcpivw.default\searchplugins\conduit.xml
:Commands
[EMPTYTEMP]
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
i uruchom
AdwCleanerz opcji
Delete .
Następnie uruchom
OTLponownie i kliknij
Skanuj . Przedstaw nowy log
OTLoraz raport z
Adwcleaner .
Oraz raport z wykonania
OTL .
W google chrome domyślną wyszukiwarkę zmień na google
Witam,
Jestem kompletnym laikiem jeśli chodzi o te sprawy ale skrypt w OTL wykonywał się całą noc i nadal do tej pory nie zakończył, czy tak powinno być? Zrestartowałam komputer i nie wiem czy ściągać teraz AdCleaner czy próbowac jeszcze raz z tym skryptem? Wykonałam jeszcze raz skan w OTL i wrzucam go poniżej.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodano: 29 cze 2013, 7:19
Zainstalowałam Mozillę i wszystko hulało jak dawniej
Ściągnęłam AdwCleanera i oto raport:
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie za bardzo namieszałam?
Nie powinno się skrypt tak długo wykonywać,proszę zrobić skan OTL jeszcze raz i podać log ale już bez extras.
[Aby zobaczyć linki, zarejestruj się tutaj]
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
:OTL
IE - HKU\S-1-5-21-1645522239-329068152-725345543-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found
IE - HKU\S-1-5-21-1645522239-329068152-725345543-1003\..\SearchScopes\{011F1D87-4FFF-4E62-AE32-16421E229538}: "URL" =
[Aby zobaczyć linki, zarejestruj się tutaj]
{searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000
FF - prefs.js..extensions.enabledAddons: %7B414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3%7D:3.18.0.7
FF - prefs.js..extensions.enabledItems: {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}:2.0
FF - prefs.js..extensions.enabledItems: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}:2.7.1.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..extensions.enabledItems: <!-- e --><a href="mailto:
[email protected]">
[email protected]</a><!-- e -->:1.0
FF - HKLM\Software\MozillaPlugins\
.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Właściciel\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} [Aby zobaczyć linki, zarejestruj się tutaj]
(Java Plug-in 10.25.2)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} [Aby zobaczyć linki, zarejestruj się tutaj]
(Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0017-ABCDEFFEDCBA} [Aby zobaczyć linki, zarejestruj się tutaj]
(Java Plug-in 1.7.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} [Aby zobaczyć linki, zarejestruj się tutaj]
(Java Plug-in 10.25.2)
[2010-08-01 19:18:38 | 000,000,000 | ---D | M]-- C:\Documents and Settings\Właściciel\Dane aplikacji\Panda Security
[2011-02-05 22:48:08 | 000,000,000 | ---D | M]-- C:\Documents and Settings\Default User\Dane aplikacji\pandasecuritytb
[2010-08-01 19:17:36 | 000,000,000 | ---D | M]-- C:\Documents and Settings\All Users\Dane aplikacji\Panda Security
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Files
C:\Windows\tasks\*.*
G:\mt.bat
:Commands
[EMPTYTEMP]
Po wykonaniu przedstaw raport z wykonania+nowy skan OTL
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
zrób skan przedstaw raport.
Raport po skrypcie
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
Raport TDSSKiller
[Aby zobaczyć linki, zarejestruj się tutaj]
Czy już wszystko gra?
Wejdź do ustawień google chrome,wyszukiwanie i stronę główną zmień na google.pl. Z listy stron startowych (zarządzanie wyszukiwarkami) usuń też jeśli występuje.
Ściągnij autoruns
[Aby zobaczyć linki, zarejestruj się tutaj]
przejdź do file>save i zapisz jako AutoRuns.arn prześlij plik na forum.
I tutaj moja wiedza i zaradność się kończą
Bo to jest spakowane ściągnij najlpiej7zip lub winrara i wypakuj,kliknij na ściągniety autoruns prawym przyciskiem myszki będziesz miała dodatkowe opcje w postaci wypakuj do coś tam coś tam
[Aby zobaczyć linki, zarejestruj się tutaj]
Chciałam załączyć plik ale pokazała mi się informacja, że rozszerzenie arn jest niedozwolone.
spakuj za pomocą programu i prześlij np.tu
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodano: 30 cze 2013, 10:47
Zapomniałam dodać, że po zmianie strony startowej na google, URL:MAL zaczął teraz wyskakiwać przy każdej otwieranej stronie przez google chrome...
Dodano: 30 cze 2013, 11:16
Wrzucam jeszcze raz plik bo tamten jest przed zmianą strony głównej na google.pl.
[Aby zobaczyć linki, zarejestruj się tutaj]
W autorunszakładka servicesodznacz:
Adobe LM Service
AdobeFlashPlayerUpdateSvc
gupdate
gupdatem
MBAMScheduler
MBAMService
MozillaMaintenance
nvsvc
Z zakładki Internet Explorer,klucza:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
odznacz wszystko
Z zakładki Logon
SunJavaUpdateSched
Jeśli nie korzystasz z konfigów nVidii typu zoom pulpituto też można odznaczyć # nviz #
Przejdź do sprzątania w OTL,w adwcleaner kliknij odinstaluj.
