Zaloguj się

Funkdoc · 02.11.2013, 18:59

Objawy zainfekowania:
Wyskakujące okna, reklamy, podkreślające się słowa na stronachitworzenie linkow do stron z reklamami, czasami dziwne zachowania np. wyłączające się przeglądarki.

Wykonywane działania:
Komputer był skanowany programem Malwarebytes Anti-Malware, był przywracany system oraz usuwałem różne toolbary i podejrzane reklamy. Przez tydzien spokój i znów to samo do tego czyszczenie cookies. Proszę o pomoc bo już nie mam pomysłu

Logi:
Log z OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

RSIT:

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 03.11.2013, 14:35

Przedstaw log jeszcze z FRST

ściągnij FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij Scan,po zakończeni zostaną wygenerowane dwa pliki FRST.txtiAddition.txtwstaw je na forum.

Funkdoc · 03.11.2013, 15:09

Dzięki za zainteresowanie moim problemem.

FRST.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

Zgóry dzieki za pomoc.

**tachion** · 03.11.2013, 16:14

Odinstaluj:

Bonjour
McAfee Security Scan Plus
Norton Security Scan

Do notatnika wklej:

Kod:
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1

HKLM-x32\...\Run: [] - [x]

HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?affID=110819&tt=050412_30b&babsrc=HP_ss&mntrId=f00d977f0000000000004c8093227145

SearchScopes: HKLM - DefaultScope {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12} URL = http://searchya.com/?q={searchTerms}&s=1&chnl=ft-200&cd=2XzutAtN2Y1L1QzuyE0CzztDzytAtBtByBtCyEzz0DzyyByB0FtN0D0TzutBtDtCtBtDyEtCyC&cr=202971776

SearchScopes: HKLM - {2A4F7293-5A8B-413C-B4C2-92FB373F1740} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}

SearchScopes: HKLM - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF

SearchScopes: HKLM - {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12} URL = http://searchya.com/?q={searchTerms}&s=1&chnl=ft-200&cd=2XzutAtN2Y1L1QzuyE0CzztDzytAtBtByBtCyEzz0DzyyByB0FtN0D0TzutBtDtCtBtDyEtCyC&cr=202971776

SearchScopes: HKLM - {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = http://pl.wikipedia.org/wiki/Special:Search?search={searchTerms}

SearchScopes: HKLM-x32 - DefaultScope {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12} URL = http://searchya.com/?q={searchTerms}&s=1&chnl=ft-200&cd=2XzutAtN2Y1L1QzuyE0CzztDzytAtBtByBtCyEzz0DzyyByB0FtN0D0TzutBtDtCtBtDyEtCyC&cr=202971776

SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b}

SearchScopes: HKLM-x32 - {2A4F7293-5A8B-413C-B4C2-92FB373F1740} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}

SearchScopes: HKLM-x32 - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF

SearchScopes: HKLM-x32 - {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12} URL = http://searchya.com/?q={searchTerms}&s=1&chnl=ft-200&cd=2XzutAtN2Y1L1QzuyE0CzztDzytAtBtByBtCyEzz0DzyyByB0FtN0D0TzutBtDtCtBtDyEtCyC&cr=202971776

SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640

SearchScopes: HKLM-x32 - {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = http://pl.wikipedia.org/wiki/Special:Search?search={searchTerms}

SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=F00D4C8093227145&affID=119357&tt=070813_wc2&tsp=4968

SearchScopes: HKCU - Backup.Old.DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

SearchScopes: HKCU - 5B12C1CE3E5543BEAF45FE86DF3F54E7 URL = http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=95

SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=F00D4C8093227145&affID=119357&tt=070813_wc2&tsp=4968

SearchScopes: HKCU - {2A4F7293-5A8B-413C-B4C2-92FB373F1740} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}

SearchScopes: HKCU - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF

SearchScopes: HKCU - {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12} URL = http://searchya.com/?q={searchTerms}&s=1&chnl=ft-200&cd=2XzutAtN2Y1L1QzuyE0CzztDzytAtBtByBtCyEzz0DzyyByB0FtN0D0TzutBtDtCtBtDyEtCyC&cr=202971776

SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms}

SearchScopes: HKCU - {48DBD69C-D701-4287-84A9-CAFC2CEBC88F} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=286356A0-812B-47CC-9303-68223E6E8A36&apn_sauid=5A695C58-B7F1-4A7C-9E2B-F560A273523E

SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear

SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640

SearchScopes: HKCU - {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = http://pl.wikipedia.org/wiki/Special:Search?search={searchTerms}

Toolbar: HKLM-x32 - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -No File

Handler: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} -No File

CHR Plugin: (Pando Web Plugin) - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File

CHR Plugin: (Facebook Desktop) - C:\Users\malinka\AppData\Local\Facebook\Messenger\2.1.4651.0\npFbDesktopPlugin.dll No File

CHR HKLM-x32\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx

S3 McComponentHostService; "C:\Program Files (x86)\McAfee Security Scan\3.0.285\McCHSvc.exe" [x]

S3 catchme; \??\C:\ComboFix\catchme.sys [x]

S3 massfilter; system32\drivers\massfilter.sys [x]

S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x]

S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x]

S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x]

2013-10-20 12:40 - 2013-10-20 12:40 - 00030335 _____ C:\ComboFix.txt

2013-10-20 12:27 - 2013-10-20 12:40 - 00000000 ____D C:\Qoobox

2013-10-20 12:27 - 2013-10-20 12:38 - 00000000 ____D C:\Windows\erdnt

2013-10-20 12:27 - 2013-10-20 12:23 - 05135479 ____R (Swearware) C:\Users\malinka\Desktop\ComboFix.exe

2013-10-20 12:27 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe

2013-10-20 12:27 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe

2013-10-20 12:27 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe

2013-10-20 12:27 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe

2013-10-20 12:27 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe

2013-10-20 12:27 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe

2013-10-20 12:27 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe

2013-10-20 12:27 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe

2013-10-18 18:49 - 2013-10-18 18:49 - 00000000 ____D C:\Users\malinka\AppData\Roaming\AVG

2013-10-18 18:47 - 2013-10-18 19:05 - 00000000 __SHD C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}

2013-10-18 18:47 - 2013-10-18 18:54 - 00000000 ____D C:\ProgramData\AVG

2013-10-18 16:06 - 2013-10-18 16:06 - 00000000 ____D C:\Users\malinka\AppData\Roaming\AVG2014

2013-10-18 16:05 - 2013-10-20 11:20 - 00000000 ____D C:\Program Files (x86)\AVG Nation toolbar

2013-10-18 16:05 - 2013-10-20 11:19 - 00000000 ____D C:\ProgramData\AVG Nation toolbar

2013-10-18 16:05 - 2013-10-18 16:05 - 00000000 ____D C:\Users\malinka\AppData\Roaming\TuneUp Software

2013-10-18 16:05 - 2013-10-18 16:05 - 00000000 ____D C:\Users\malinka\AppData\Local\AVG Nation toolbar

2013-10-18 16:04 - 2013-10-18 16:04 - 00000000 ____D C:\AdwCleaner

2013-10-18 16:03 - 2013-10-18 16:06 - 00000000 ____D C:\ProgramData\AVG2014

2013-10-18 16:03 - 2013-10-18 16:03 - 00000000 ____D C:\$AVG

2013-10-18 16:02 - 2013-10-18 18:49 - 00000000 ____D C:\Program Files (x86)\AVG

2013-10-18 15:59 - 2013-10-18 16:11 - 00000000 ____D C:\Users\malinka\AppData\Local\Avg2014

2013-11-03 14:42 - 2012-04-11 21:31 - 00000936 _____ C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-876386458-2244048074-2505785457-1000UA.job

2013-11-03 14:38 - 2013-01-16 15:04 - 00001050 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job

2013-11-03 14:34 - 2012-04-22 18:20 - 00000930 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job

2013-11-03 14:01 - 2013-08-13 10:11 - 00000260 _____ C:\Windows\Tasks\HP Photo Creations Messager.job

2013-11-02 16:44 - 2013-01-16 15:04 - 00001046 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job

2013-11-01 20:33 - 2013-06-22 10:37 - 00000456 ____H C:\Windows\Tasks\Norton Security Scan for malinka.job

2013-10-20 11:06 - 2012-07-03 16:45 - 00000000 ____D C:\Program Files (x86)\Pando Networks

2013-10-20 11:03 - 2012-01-30 14:15 - 00000000 __RHD C:\MSOCache

2013-10-18 19:05 - 2012-09-10 21:51 - 00000000 ____D C:\ProgramData\{93E26451-CD9A-43A5-A2FA-C42392EA4001}

C:\Users\malinka\AppData\Local\Temp\a2zLyrics_1060-8102_v122.exe

C:\Users\malinka\AppData\Local\Temp\ose00000.exe

C:\Users\malinka\AppData\Local\Temp\Second Life Setup.exe

Zapisz jako fixlist.txt i umieść obok FRST w programie kliknij Fix

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Scani następnie Clean

Przedstaw raport z Adwcleaner i FRST.

Funkdoc · 03.11.2013, 17:40

Programy usunąłem tylko z bonjour były problemy. Nie chciał się odinstalowac więc zrobiłem według poradnika :
"Wejdź w start >>> uruchom >>> wpisz "C:\Program Files\Bonjour\mDNSResponder.exe" -remove . Wyskoczy na moment DOSowe okienko. (miejsce Bonjour zależy od tego, gdzie go zainstalowałeś, więc u Ciebie może być inaczej)

Zmień nazwę pliku mdnsNSP.dll na mdnsNSP.old (jest w katalogu Bonjour)

Zrestartuj komputer. (Dla pewności, czy cię skasowało, wejdź w start >>> uruchom >>> wpisz services.msc, jeśli nie ma tam Bonjour, jest skasowany!)

Usuń katalog C:\Program Files\Bonjour\ ."

W usługach został "services bonjour", zmieniłem ją na wyłączoną i usunąłem katalog.
W panelu gdzie usuwa się programy dalej widnieje bonjour.

Resztę usunąłem,zrobiłem fix, przeleciałem system AdwCleanerem, a oto logi:

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 04.11.2013, 19:02

Jak możesz zrób jeszcze skan w OTL ale już bez extras.

Funkdoc · 07.11.2013, 22:50

Oto log, doszedł problem z przerywaniem połączenia. Karta co chwilę gubi połączenie z wifi.
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Dzięki serdeczne za pomoc.

**tachion** · 07.11.2013, 23:27

Hmm bonjour nie został wypięty z jeszcze jednej lokalizacji i przez to chyba są problemy

W uruchom wpisz regedit i prawokliku uruchom jako administrator

Wejdź w tą lokalizację:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries

[Aby zobaczyć linki, zarejestruj się tutaj]

napisz czy jest tutaj widoczny klucz 000000000007

w tej lokalizacji tak samo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\ Catalog_Entries64

Funkdoc · 08.11.2013, 16:45

Jest ten klucz 000...07oraz 0008 aż do dziesięciu.

**tachion** · 09.11.2013, 13:34

usuń klucze 000000000007 z jednej i drugiej pozycji.

Przejdź do NameSpace_Catalog5

kliknij podwójnie w Num_Catalog_Entries64+ Num_Catalog_Entrieszmień wartość na 9

zamknij rejestr i restart

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie