eksploder

Dziękuję za instrukcje! Wprawdzie dopiero chyba w przyszłym tygodniu będę miał możliwość wprowadzić je do leczonego kompa, ale domyślam się, że tu już będziemy kończyć? (tzn. po tym użyć DelFix, a następnie czyszczenie folderów Przywracania systemu...)

Powracam do wątku. Po pierwsze, nie widzę, aby coś podejrzanego się zregenerowało, tak więc zakładamy, że system jest w stanie jak sprzed tygodnia. (Zresztą, poleciłem użytkowniczce chwilowo niczego nie instalować). Przeprowadziłem skan AdwCleaner: Log AdwCleaner[s0] - http://www.wklej.org/hash/cd801947da6/ załączam też log AdwCleaner[R1] - http://www.wklej.org/hash/edfbed2066d/ Po leczeniu nastąpił restart, podczas którego system zawiesił się (już na niebieskim ekranie "Zapraszamy...") --> wymusiłem ręczne wyłączenie, na szczęście kolejne uruchomienie nastąpiło zwyczajnie. Jeszcze jedno. Nie zwróciłem na to uwagi wcześniej, ale podobnie jak przy drugim (wyleczonym już tutaj wcześniej) laptopie, w IE przy otwieraniu nowej karty otwierało się przekierowanie z dsrlte (wykazane po skanowaniu AdwCleaner - widać w logu [R1]). (Przekierowanie było do strony wyszukiwarki Yahoo). Po użyciu funkcji Usuń z AdwCleaner teraz otwiera się nowa karta z wyszukiwarką google i z dodatkowymi parametrami w adresie. Nie jest to sprawa największej wagi, ale chętnie przywróciłbym tutaj domyślne ustawienie "about:Tabs", tak jak zrobiliśmy przy "drugim" laptopie.

Wielkie dzięki! DelFix wykonany - log: # DelFix v10.8 - Logfile created 31/10/2014 at 05:26:44 # Updated 29/07/2014 by Xplode # Username : Asus - TWOJA-OHYAI7ESQ # Operating System : Microsoft Windows XP Dodatek Service Pack 3 (32 bits) ~ Removing disinfection tools ... Deleted : C:\FRST Deleted : C:\AdwCleaner Deleted : HKLM\SOFTWARE\OldTimer Tools Deleted : HKLM\SOFTWARE\AdwCleaner ########## - EOF - ########## Przywracanie systemu było wyłączone, załączyłem, utworzył się nowy punkt. Na moje oko wygląda dobrze:) Tak więc, pewnie można już zamknąć ten wątek, a jak tylko będę mógł powrócę do wątku pierwszego laptopa.

Ad.1. Fix-y przeprowadzone: - pierwszy - Fixlog http://www.wklej.org/hash/4057ef3c8c1/ - drugi - Fixlog http://www.wklej.org/hash/2b68550a312/ Ad.2. Zastosowałem AdwCleaner, niczego nie odznaczałem przed Usuwaniem: log wynikowy - AdwCleaner[s0] - http://www.wklej.org/hash/1c6b4bd70c5/ Jak teraz oceniasz sytuację, picasso? ---edit: PS. Niechciane przekierowanie w nowych kartach IE już nie występuje, obecnie przy tym ustawieniu otwiera się karta "about:Tabs", czyli w porządku

W wyniku szukania widać odpowiedzialny pewnie za to klucz rejestru: Farbar Recovery Scan Tool (x86) Version: 30-10-2014 01 Ran by Asus at 2014-10-30 20:31:35 Running from C:\Documents and Settings\Asus\Pulpit\usuw.wirus.paź2014\FRST Boot Mode: Normal ================== Search Registry: "dsrlte" =========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] "Tabs"="http://rts.dsrlte.com/?m=tab&affID=na" ====== End Of Search ====== Wystarczy go będzie ręcznie zmodyfikować (np. na "about:blank") czy robimy inaczej?

Zadanie wykonałem według kolejności. Ad.1. Próba odinstalowania programów - FindRight - wystąpił błąd podczas próby usunięcia, "mógł on zostać wcześniej odinstalowany", "czy chcesz usunąć z listy?" --> Tak. - McAfee Security Scan Plus - błąd i akcja jak wyżej - Yahoo! Search - okienko własnego deinstalatora, komunikaty o pomyślnym odinstalowaniu. Ad. 2. Fix przeprowadzony. LOG wynikowy. http://www.wklej.org/hash/84e5d5e3a72/ Ad. 3. - Firefox: zresetowałem, rozszerzenia FindRight, Adblock Plus, FirefoxAdKiller zniknęły, zgodnie z zamierzeniem; rozszerzenie "avast! Online Security" jest na liście; - Chrome: po uruchomieniu komunikat o dodaniu nowego rozszerzenia "avast! Online Security" (czyli tak jakby po zresetowaniu ustawień); jednak na liście Wyszukiwarek jako domyślna wciąż znajduje się "Yahoo! Search" z pay-by-ads i z przekierowującym linkiem --> usuwam ręcznie z listy. Inne ustawienia wydają się ok. Ad. 4 Nowy log FRST - załączam http://www.wklej.org/hash/ad8551a1f4b/ Nie spojrzałem wcześniej - w IE przy otwieraniu nowej karty zostaje wywołany link przekierowujący z pay-by-ads (z dsrlte.com) do Yahoo Search; przestawiam w Opcjach internetowych > karta Ogólne > Karty - Ustawienia > Przy otwieraniu nowej strony otwieraj: "Pusta strona" (było ustawione na "Strona nowej karty") -- otwiera pustą kartę about blank, jednak gdy ponownie ustawiam na włączanie "Strony nowej karty" działa przekierowanie z dsrlte.com. Jak możnaby się pozbyć tego przekierowania? To są jedynie pozostałości czy coś niedobrego jeszcze siedzi?

Witam znowu:) Przychodzę teraz z drugim zarażonym laptopem od tej samej użytkowniczki. System także Windows XP SP3. Infekcja wygląda bardzo podobnie, tzn. pojawiają się dodatkowe złośliwe reklamy i przekierowania. W systemie działają te same podejrzane usługi, tzn. - "Util FindRight" oraz - "Update FindRight" --> typ uruchomienia obu usług ręcznie ustawiłem na wyłączony. Firefox i Chrome oba posiadają rozszerzenie o nazwie "FindRight 1.0.1", które ręcznie przełączam na "wyłączony" - co tymczasowo zatrzymuje wyświetlanie reklam. Natomiast w IE nie widać żadnego podejrzanego dodatku. Są jednak w we wszystkich przeglądarkach podstawione strony startowe (na hxxp://rts.dsrlte.com/?affID=na ). Ponadto, (tego chyba nie było w pierwszym laptopie) na liście Uruchamiania w msconfig widnieje aktywny wpis "dsrlte" ("C:\Documents and Settings\Asus\Dane aplikacji\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe") i w Menedżerze zadań był działający proces o tej nazwie (dsrlte.exe). Wyłączyłem jego uruchamianie w msconfig. Oprócz tego na liście Dodaj Usuń Programy widnieją "FindRight" oraz "Yahoo! Search", ale nie próbowałem ich póki co ręcznie odinstalowywać. Skanowanie drwebem znalazło trojany w katalogu programu FindRight, a także zainfekowane pliki sterownika jak w pierwszym laptopie. Znalazł też podejrzany plik downloadera ("avast-Free-Antivirus(13266).exe"), który z poziomu skanera poleciłem usunąć z dysku. Dołączam fragmenty z logu skanowania - http://www.wklej.org/id/1501636/ Dołączam też obowiązkowe pozostałe logi: FRST - ogólny http://www.wklej.org/id/1502228/ FRST - Addition http://www.wklej.org/id/1502233/ FRST Shortcut http://www.wklej.org/id/1502234/ OTL - ogólny http://www.wklej.org/id/1502238/ OTLE - Extras http://www.wklej.org/id/1502239/ gmer - http://www.wklej.org/id/1502243/ SecurityCheck Uprzejmie proszę o dalszą pomoc przy oczyszczeniu także tego systemu. ----edit: formatowanie tekstu wpisu

Dziękuję Ci picasso za potwierdzenie. W tej chwili nie mam dostępu do leczonego laptopa, tak więc jeszcze uzupełnię ten post o logi z AdwCleaner. Tymczasem, mam bardzo podobny przypadek z drugim laptopem od tej samej użytkowniczki, za chwilę utworzę w tej sprawie nowy wątek.

Poprawki pomyślnie zaaplikowane. Dziękuję Podaję oba logi w kolejności. Ad. 1. fixlog - http://www.wklej.org/id/1497132/ Ad. 2. fixlog - http://www.wklej.org/id/1497133/ Jeszcze chcę dodać, że w Menu start\Programy\BrowserProtect\ widnieje niepoprawny skrót "Uninstall BrowserProtect", wskazujący na (nieistniejący) element docelowy: "C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1249.132\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\uninstall.exe" /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /su=6e6661b98dd16a77 /um Takiego programu także nie ma na liście zainstalowanych w Panelu sterowania; widzę, że usuwaliśmy wcześniej elementy z "bProtect..." w nazwie - czy to oznaczałoby, że resztek programu już nie ma i skrót z Menu start mogę spokojnie usunąć?

Ależ przeoczenie z mojej strony, skupiłem się na Tutorialu, pomijając najważniejsze... podziwiam picasso Twoją cierpliwość do takich "przypadków" A teraz do rzeczy. Tryb transferu przywrócony do DMA. System uruchamia się w swym normalnym tempie. Ad. 1. Z poziomu Panelu sterowania - odinstalowuję Adobe Flash Player 10 ActiveX - brak błędów - odinstalowuję Java 6 Update 37 - brak błędów Ad.2. Fix wykonany, restart ok. Fixlog - http://www.wklej.org/id/1493888/ Ad.3. Resetowanie przeglądarek bez problemów. Ad.4. Nowy skan FRST - http://www.wklej.org/id/1493916/

Dziękuję picasso za odpowiedź. Niestety utknąłem na tym kroku. Dla urządzenia głównego faktycznie Bieżący tryb transferu to "Tryb PIO", zatwierdzam wybór Trybu transferu na "DMA jeżeli dostępne" (zresztą, to było już ustawione), potem restartuję komputer i wciąż Urządzenie główne jest w trybie PIO. Próbowałem ten krok kilkakrotnie. Dla Urządzenia podrzędnego Bieżący tryb transferu od początku był "Ultra DMA tryb 4" i tu nic nie ruszałem. Powyższe tyczy się Podstawowego kanału IDE, nie występuje Pomocniczy kanał. Póki co nie wykonywałem kolejnych zaleceń. Co mogę zrobić by zmienić powyższy tryb?

Witam! Tym razem przychodzę z innym laptopem od osoby z rodziny, z objawami wyświetlania się złośliwych reklam podczas przeglądania stron. Laptop z windowsem XP SP3. Około miesiąc temu, gdy zostałem pierwszy raz poproszony o pomoc do tego komputera, podjąłem doraźne akcje, tzn.: 1) Wyłączyłem (ręcznie) następujące podejrzane usługi: - "Update Find Right" ("C:\Program Files\FindRight\updateFindRight.exe") - "Util FindRight"" ("C:\Program FIles\FindRight\bin\utilFindRight.exe") --> po ich wyłączeniu wszelkie objawy (złośliwe reklamy i przekierowania) ustały 2) z poziomu Panelu Sterowania próba odinstalowania programów: - "Yahoo! Search" (wydawca: Pay-By-Ads) -->info o pozytywnym odinstalowaniu - "FindRight" - wystąpił błąd braku skrótu, zatwierdziłem, że chcę usunąć skrót; mimo to na dysku nadal znajduje się niepusty folder C:\Program Files\FindRight 3) inne ustalenia: - w IE - na liście znajduje się dodatek "FindRight" z datą zainstalowania 2014-09-15, ręcznie przestawiłem na "wyłączony" - nie widziałem wówczas ani nadal nie widzę podejrzanych dodatków w Chrome ani w Firefox Obecnie, miesiąc później, stan systemu podobny jak powyżej; nie wygląda aby coś się doinstalowało, wyświetlanie reklam pozostaje wciąż "uśpione". Drweb wykrywa sporo zainfekowanych plików (niżej załączam). Ponadto, w C:\Program Files\Delta\ znajduję szczątki programu, który także wydaje mi się podejrzany (wykazany na kolejnych skanach z drweb) Również nie podoba mi się program "Anvi Ad Blocker" - wprawdzie drweb nic w nim nie wykrywa, ale czy nie jest zbędnym śmieciem w systemie? Załączam fragmenty logów z przeprowadzonych skanowań drweb-em (z dwóch quick scan-ów i z jednego fullscan-a) LOG http://www.wklej.org/id/1492706/ Możliwe, że pierwotna infekcja podłapana przez usunięty już przeze mnie po pierwszym skanowaniu "downloader" AVG. Załączam też wymagane logi: FRST ogólny - http://www.wklej.org/id/1492715/ FRST Addition - http://www.wklej.org/id/1492716/ FRST Shortcut - http://www.wklej.org/id/1492717/ OTL ogólny - http://www.wklej.org/id/1492720/ OTL Extras - http://www.wklej.org/id/1492721/ GMER - http://www.wklej.org/id/1492723/ SecuirtyCheck Dodatkowo, już PO przeprowadzeniu powyższych skanów, wydaje mi się, że system o wiele wolniej się uruchamia, nawet dźwięk powitalny odtwarza się zacinając się, zaliczył też jedną "zwiechę" tuż po starcie. No i jeszcze, nie wiem czy tu to będzie mieć znaczenie, ale mam sygnał od tej samej osoby, że inny laptop u niej też zaczyna wyświetlać podejrzane reklamy. Nie oglądałem go jeszcze (czy faktycznie i czy to samo), ale skojarzyłem z innymi wątkami tu na forum o objawach infekcji routera. Proszę o pomoc w szczegółowym zdiagnozowaniu problemu oraz w pozbyciu się infekcji.

Póki co nic się nie dzieje. Będę jeszcze monitorował sytuację. Gdyby nic niepokojącego się nie działo, to będzie chodziło jedynie o usunięcie folderu C:\FRST\ czy o zastosowanie także DelFix? W każdym razie, już teraz chciałbym w imieniu swoim i znajomej podziękować za pomoc. Postaramy się wspólnie o datek, symboliczny chociaż

Pousuwałem wskazane elementy. Programy zatem zostawiam,podejrzewam, że to związane z tym konkretnym laptopem. Dla mnie póki co też. Chrome z świeżej instalacji działa dobrze. Na razie nie pojawiło się niechciane Rozszerzenie. Chwilowo też nie zamierzam doinstalowywać innych rozszerzeń. No i będę monitorował sytuację. Za to, być może doinstaluję Firefoxa i/lub Operę. Z naszych kroków, póki co, byłoby to już wszystko?

Dla mnie to coraz większe cuda. Ad. 1. Synchronizacja nie byłą włączona. Nie eksportuję zakładek, nie potrzebujemy. Ad. 2. Do odinstalowywania nie wyłączam ani nie usuwam istniejących Rozszerzeń. Uruchamiam odinstalowanie Chrome z panelu sterowania. Zaznaczam opcję usunięcia danych przeglądania. Usuwanie ok. Następnie narzędzie Microsoftu. Na liście nie widzę nic z google w nazwie. (Znajduję natomiast takie nazwy programów, których nie jestem pewien: "Prototype" oraz "PX Profile Update" - nie ruszam póki co). Ad. 3. skrypt - uruchomiony - następnie automatyczny restart ok. Fixlog - http://www.wklej.org/id/1481933/txt/ Ad. 4. Zainstalowany od nowa Chrome. Ad. 5. Nowy log z FRST - http://www.wklej.org/id/1481957/txt/