Problem z panda security url filtering

[szalona]

Czyli to byl wirus tak ? dobrze czekam.

[KaMiL]

Uruchom OTL i w okno (Własne opcje skanowania/Skrypt) wklej:

Kod:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1327589495_408697
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=10
IE - HKLM\..\SearchScopes\{40439b93-f815-4122-8073-d03bed94c303}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-shoutcast-chromesbox-en-us
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110815213109109&tb_oid=15-08-2011&tb_mrud=15-08-2011
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1327589495_408697
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=10
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://search.yahoo.com/search?fr=chr-panda&q={searchTerms}&ei=UTF-8&type=PCAFSI1219
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\SearchScopes\{40439b93-f815-4122-8073-d03bed94c303}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-shoutcast-chromesbox-en-us
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\SearchScopes\{9A532D4F-1AB0-48CD-B0E8-E4EA75EC275A}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=MYC-ST&o=102869&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=5J&apn_dtid=YYYYYYYYPL&apn_uid=ae4fd007-5bbf-4552-b6c2-ec677e134779&apn_sauid=AF829C34-B49D-464A-9D14-C416B6E0A35E
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110815213109109&tb_oid=15-08-2011&tb_mrud=15-08-2011
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaulturl: "http://search.aol.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110424215231062&tb_oid=24-04-2011&tb_mrud=16-09-2012"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=10"
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=843&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20110424215231062&tb_oid=24-04-2011&tb_mrud=16-09-2012&query="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Ask.com"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110424215231062&tb_oid=24-04-2011&tb_mrud=24-04-2011&query="
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.startup.homepage: "pl.v9.com/ins/ins_1327589495_408697"
CHR - homepage: http://www.ask.com/?l=dis&o=102869cr&gct=hp
O3 - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
@Alternate Data Stream - 112 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D1B5B4F1

:Commands
[emptytemp]

Kliknij "Wykonaj skrypt", zatwierdź restart komputera i pokaż log z usuwania, który ukaże się po restarcie.

Dodano: 17 wrz 2012, 13:44

Aktywnej infekcji nie widzę... Ale mogę się mylić.

Dodano: 17 wrz 2012, 13:46

Wykonaj szybkie skanowanie programem Malwarebytes:

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz programem HitmanPro

[Aby zobaczyć linki, zarejestruj się tutaj]

[szalona]

Prosze


All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{40439b93-f815-4122-8073-d03bed94c303}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40439b93-f815-4122-8073-d03bed94c303}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C360-6118-11DC-9C72-001320C79847}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ not found.
HKU\S-1-5-21-1220945662-484061587-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKU\S-1-5-21-1220945662-484061587-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1220945662-484061587-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}\ not found.
Registry key HKEY_USERS\S-1-5-21-1220945662-484061587-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{40439b93-f815-4122-8073-d03bed94c303}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40439b93-f815-4122-8073-d03bed94c303}\ not found.
Registry key HKEY_USERS\S-1-5-21-1220945662-484061587-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{9A532D4F-1AB0-48CD-B0E8-E4EA75EC275A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A532D4F-1AB0-48CD-B0E8-E4EA75EC275A}\ not found.
Registry key HKEY_USERS\S-1-5-21-1220945662-484061587-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C360-6118-11DC-9C72-001320C79847}\ not found.
Registry key HKEY_USERS\S-1-5-21-1220945662-484061587-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ not found.
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "http://search.aol.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110424215231062&tb_oid=24-04-2011&tb_mrud=16-09-2012" removed from browser.search.defaulturl
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "http://home.sweetim.com/?crg=3.1010000&st=10" removed from browser.startup.homepage
Prefs.js: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=843&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20110424215231062&tb_oid=24-04-2011&tb_mrud=16-09-2012&query=" removed from keyword.URL
Prefs.js: "Ask.com" removed from sweetim.toolbar.previous.browser.search.defaultenginename
Prefs.js: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110424215231062&tb_oid=24-04-2011&tb_mrud=24-04-2011&query=" removed from sweetim.toolbar.previous.browser.search.defaulturl
Prefs.js: "Ask.com" removed from sweetim.toolbar.previous.browser.search.selectedEngine
Prefs.js: "pl.v9.com/ins/ins_1327589495_408697" removed from browser.startup.homepage
Use Chrome''s Settings page to change the HomePage.
Registry value HKEY_USERS\S-1-5-21-1220945662-484061587-725345543-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
ADS C:\Documents and Settings\All Users\Dane aplikacji\TEMP1B5B4F1 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: INTERNET
->Temp folder emptied: 27521496 bytes
->Temporary Internet Files folder emptied: 8307867 bytes
->Java cache emptied: 3048838 bytes
->FireFox cache emptied: 47634382 bytes
->Google Chrome cache emptied: 162466846 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 38197 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 44447 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 516676 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 982210 bytes
RecycleBin emptied: 496042 bytes

Total Files Cleaned = 240,00 mb


OTL by OldTimer - Version 3.2.61.5 log created on 09172012_135405

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[buri]

Włóż to w:
[ code ][/code]
lub jak nie umiesz wklej:

Kod:

http://wklejto.pl/

[KaMiL]

OK, wykonaj ponownie logi, abym wiedział, że nic nie umknęło.
Potem skan programami, które podałem.

[szalona]

[Aby zobaczyć linki, zarejestruj się tutaj]

[zielut]

Hej, mam identyczny problem, jak koleżanka wyżej. Miałam avasta i nagle przestał działać mi facebook.
Po wpisaniu adresu chrome wyświetla komunikat: "Ups! Przeglądarka Google Chrome nie znalazła strony

[Aby zobaczyć linki, zarejestruj się tutaj]

Czy chodziło Ci o: m.­facebook.­com/­home.­php
Dodatkowe sugestie:
Uzyskaj dostęp do kopii strony www.­facebook.­com/­home.­php w pamięci podręcznej
Szukaj w Google: facebook.com"
Podobna rzecz dzieje się w IE. Facebook działa przez parę minut, maksymalnie 5, po czym historia się powtarza. Co ciekawe działa mi wersja "http://m.facebook.com/", czyli chyba uproszczone fb na telefony komórkowe (?).
Odinstalowałam avasta, jak poradził mi znajomy, komputer jest regularnie czyszczony CCcleanerem i odkurzaczem, przez pewien czas miałam wirusa, ale usunęłam go avastem. Po odinstalowaniu antywira CC cleaner znalazł jakieś pozostałości avasta, ale przeczyściłam rejestr i wygląda na to,ze nic już nie zostało.Wcześniej nie miałam praktycznie żadnych problemów, system to windows 7.
Jestem kompletnym laikiem, a w google ciężko było znaleźć mi odpowiedź na moje pytanie, bo problem mam dość nietypowy. Czy ktoś z Was mógłby mi pomóc?
Aha, zapomniałam dodać, ze na drugim komputerze mam ten sam problem, ale być może dlatego, ze tam również zainstalowany jest avast. Z góry dzięki za pomoc.

[Twoja stara]

Wyłącz avasta i sprawdź dopiero po tym czy strona działa czy nie. Jeśli dalej nie działa avasta winy w tym nie ma

[zielut]

Avast już jest dawno odinstalowany, rejestr po avaście wyczyszczony, śladu nie ma - fb nadal nie działa.

[Twoja stara]

Więc to nie była wina avasta jako działanie programu

[tachion]

W własne opcje skanowania skrypt wklej i wykonaj

Kod:

:OTL
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
[2012-06-02 15:40:50 | 000,003,948 | ---- | M] () -- C:\Documents and Settings\INTERNET\Dane aplikacji\Mozilla\Firefox\Profiles\zzg889ay.default\searchplugins\sweetim.xml
CHR - homepage: http://www.ask.com/?l=dis&o=102869cr&gct=hp

:Commands
[emptytemp]

Dodatkowo programem AdwCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

z opcją delete zastosuj i pokaż wykonanie

[zielut]

@tachion: wykonałam, logi wyglądają tak (Po OTL)

Kod:

All processes killed
========== OTL ==========
File C:\Documents and Settings\INTERNET\Dane aplikacji\Mozilla\Firefox\Profiles\zzg889ay.default\searchplugins\sweetim.xml not found.
Use Chrome''s Settings page to change the HomePage.
========== COMMANDS ==========

[EMPTYTEMP]

User: Agut
->Temp folder emptied: 11110054 bytes
->Temporary Internet Files folder emptied: 5117565 bytes
->Java cache emptied: 540820 bytes
->Google Chrome cache emptied: 51675543 bytes
->Flash cache emptied: 57294 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56504 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 537528 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 87566 bytes
RecycleBin emptied: 6461545 bytes

Total Files Cleaned = 72,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 12052012_113153

Files\Folders moved on Reboot...
C:\Users\Agut\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Windows\temp\TMP00000001595D351EDACB806C not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Zaraz spróbuję jeszcze wkleić logi po tym adw cleanerze, bo niestety wyłączyłam okienko, a teraz nie mogę tego znaleźć (naprawdę jestem laikiem)
edit: nie umiem