Madziek Opublikowano 22 Marca 2014 Zgłoś Udostępnij Opublikowano 22 Marca 2014 Witam Mam problem od 4 dni otwiera mi się sama strona (www.ilovemobi.com). KAspersky pure 3.0 nic nie znajduje. Znalazł SpyHunter: downloader.gen. Ponieważ był niezarejestrowany to nie usunął tego ale jakoś nie mam przekonania do tego programu. Dzisiaj przeskanowałam kompa Combofix ale nieznam się zupełnie na tym i nie potrafię odczytać czy coś znalazł i czy w qwarantannych przeniesione jest to co znalazł czy nie. Prosiłabym o pomoc bo moja znajomość takich zagadnień jest zerowa. Załączam plik z Combo. Dziękuję jeśli ktoś by na to zerknął i odpisał. Niestety strona ww.ilo..... wciąż się otwiera. Teraz otwierają się strony inne np. wxx.trivicell.com./pl/100/Fvide....... Skanując programem SpyBot znalazłam trojana. Załączam zrzut ekrany z tego programu i inne wymagane pliki. Dzięki. POzdrawiam Dzisiaj otwierają mi się po kilka naraz "tych stron" z różnymi adresami. Jeśli wyszukuję coś w googlach to tytuł wyszukania jest jak poszukuję ale adresy są nie wiem "podmienione" . Odnośniki wrzucają mnie na jedną tę samą stronę. Czyli z każdym otwarciem kompa jest gorzej. Mm nadzieję że coś poradzicie. Załączam zrzut googla z przykładowym wyszukaniem i stronę która otwiera się jak kliknę na jakikolwiek odnośnik. Co mam robić? Wyłączyć net całkowicie? Czy bezpieczne jest go teraz włącznie? Poradzcie proszę Witam (25,03) Mam właczony drugi laptop, i dzisiaj poraz pierwszy na tym również otworzyła się strona ta co w poście na początku! Przypomniało mi się że to z tego laptopa jakieś dwa tygodnie temu przeniosłam film na ten który szybciej się wysypał. Tylko tego nie używałam do wczoraj. Czy z tego też mam zrobić te pliki co wyżej?\ Addition.txt FRST.txt gmer.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
Madziek Opublikowano 23 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 23 Marca 2014 Zaczynają mi programy windows eksplore r "nie odpowiadać" a trojan który był wczoraj znaleziony prze Spybot.. już go tam nie ma. Mimo iż nie usuwałam. Czy przestać używać kompa póki nie znajdziecie rozwiązania? Odnośnik do komentarza
picasso Opublikowano 5 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2014 W pokazanym tu systemie nie widzę oznak infekcji, są tylko drobnostki adware, ale to nie jest powiązane ze zgłaszanymi problemami. Znalazł SpyHunter: downloader.gen. Ponieważ był niezarejestrowany to nie usunął tego ale jakoś nie mam przekonania do tego programu. Dzisiaj przeskanowałam kompa Combofix ale nieznam się zupełnie na tym i nie potrafię odczytać czy coś znalazł i czy w qwarantannych przeniesione jest to co znalazł czy nie. Prosiłabym o pomoc bo moja znajomość takich zagadnień jest zerowa. Załączam plik z Combo. Dziękuję jeśli ktoś by na to zerknął i odpisał. (...) Skanując programem SpyBot znalazłam trojana. Na temat używanych narzędzi: - ComboFix: KLIK. Ponadto, mówisz o logu z ComboFix, a go brak w temacie. Czyżby został usunięty? Proszę zaprezentować plik C:\ComboFix.txt. - SpyHunter: program wątpliwej reputacji stosujący taktyki naciskowe, by zakupić produkt. Wynik z jego skanu nie został pokazany, nawet nie wiadomo czy detekcja była rzeczowa / warta uwagi. - Spybot: program przestarzały. Zaś to co wykrył nie wygląda ba rzeczy wielkiej wagi: jedno ciastko oraz klucz rejestru {FC856072-9CC4-4B33-8EBA-F62224A62A59}. Powtarzam: tu nie ma w systemie śladów czynnej infekcji. Mam problem od 4 dni otwiera mi się sama strona (www.ilovemobi.com). (...) Teraz otwierają się strony inne np. wxx.trivicell.com./pl/100/Fvide....... (...) Mam właczony drugi laptop, i dzisiaj poraz pierwszy na tym również otworzyła się strona ta co w poście na początku! Przypomniało mi się że to z tego laptopa jakieś dwa tygodnie temu przeniosłam film na ten który szybciej się wysypał. Tylko tego nie używałam do wczoraj. Czy z tego też mam zrobić te pliki co wyżej? - Na temat strony ilovemobi.com: jako że w raporcie brak oznak infekcji, a strona otwiera się na dwóch rónych komputerach, prawdopodobnie jest to infekcja routera. Czy masz dostęp do ustawień routera? - W kwestii innych zgłoszonych stron: Jeśli chodzi o dołączone obrazki pokazujące wyniki wyszukiwania Google + widok strony kierujący do pliku ZIP, to są jakieś lewe strony dobrze wypozycjonowane w Google. Ja także nie tak dawno widziałam identyczną konstrukcję stron (tylko inny plik ZIP linkowany) w wynikach wyszukiwania Google, więc to nie powinno mieć związku z Twoim systemem. Po prostu unikać klikania w takie adresy. Na wszelki wypadek zrób również raporty z drugiego komputera. Zaczynają mi programy windows eksplore r "nie odpowiadać" Prawdopodobna przyczyna: Kaspersky. Przykładowy temat na forum: KLIK. Swoją drogą, to tu było jakieś zamieszanie (de)instalacyjne, gdyż na liście zainstalowanych są aż dwie pozycje i ten KIS to wygląda na jakiś odpadek: ==================== Installed Programs ====================== Kaspersky Internet Security 2013 (HKLM-x32\...\InstallWIX_{560985FB-4B76-4121-9189-7A2CDC7886D6}) (Version: 13.0.1.4190 - Kaspersky Lab) Kaspersky PURE 3.0 (HKLM-x32\...\InstallWIX_{D0702EE9-9DE4-419A-9C6C-4730B1C985BA}) (Version: 13.0.2.558 - Kaspersky Lab) Na razie dla pokazanego tu systemu podaję drobne czyszczenie śmieci, ale jak mówiłam to nie wiąże się ze zgłoszonymi problemami. Akcja: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2612925166-1525020595-3053403785-1000\...\Run: [Power2GoExpress] - NA StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {9CC28BC8-33A4-40B3-B4A2-C0CE6C695046} URL = http://search.aol.pl/aol/search?s_it=tb50winamp&q={searchTerms}der) BHO-x32: Winamp Toolbar Loader - {4accc990-3dc7-4456-a734-5cb4b610a7f5} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll (AOL Inc.) BHO-x32: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No File Toolbar: HKLM-x32 - Winamp Toolbar - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll (AOL Inc.) Toolbar: HKCU - No Name - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - No File C:\Program Files (x86)\mozilla firefox\plugins S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Program Files\Enigma Software Group C:\Users\Misa\AppData\Roaming\mozilla\Firefox\Profiles\ow1orbqt.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} C:\Users\Misa\AppData\Roaming\mozilla\firefox\profiles\ow1orbqt.default\searchplugins\aol-search.xml C:\Users\Misa\AppData\Roaming\mozilla\firefox\profiles\ow1orbqt.default\searchplugins\winamp-web-search.xml C:\Users\Misa\AppData\Roaming\mozilla\firefox\profiles\ow1orbqt.default\searchplugins\wyszukiwarka-aol.xml C:\Users\Misa\AppData\Roaming\ASUS WebStorage C:\Users\Misa\AppData\Roaming\Systweak C:\Users\Misa\Downloads\SpyHunter-Installer.exe C:\Users\Misa\Downloads\SpyHunter 4.12.13.4202 C:\Users\Misa\Downloads\SpyHunter 4.12.13.4202.rar C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj śmieci Download Updater (AOL Inc.), Winamp Toolbar oraz przestarzały Spybot - Search & Destroy. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Tu już był wcześniej używany AdwCleaner, ale najwyraźniej jakaś zdezelowana wersja. Proszę pobierz najnowszą z w/w linka. 4. Zrób nowy log FRST (bez Addition i Shortcut). Dołącz też pliki: fixlog.txt + log z AdwCleaner + zaległy C:\ComboFix.txt. . Odnośnik do komentarza
Madziek Opublikowano 6 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2014 Dziękuję za pomoc. Załączam pliki o których piszesz. Co do KAsperskiego miałam zainstalowaną wersję Internet security ale jak zaczeły się dziać te kłopoty z otwierającymi się stronami to ściągnełam wersję próbną PURE Kaspersky myślałam że coś znajdzie.Czy mogę wejść w ustawienia rutera? Mam neostradę i jak potrzebuję zmienić bramki to wchodzę na stronę i to robię więc chyba mogę ale nawszelki wypadek podrzucam screena czy napewno oto chodzi.W drugim komputerze zastosowałam zalecenia z tematu" Podczas odpalania FF pojawia się strona exclusiverewards"jakieś dwa dni temu. Póżniej załączę logi z niego.Pozdrawiam AdwCleanerS0.txt Fixlog_05-04-2014_20-12-08.txt FRST.txt combofix 22032014.txt Odnośnik do komentarza
Madziek Opublikowano 9 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 9 Kwietnia 2014 Wrzucam logi z drugiego komputera, niestety z programu GMER nie udalo mi się. Wtrakcie skanowania komputera program przestaje odpowiadać. Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 13 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2014 ROUTER / MODEM: Czy mogę wejść w ustawienia rutera? Mam neostradę i jak potrzebuję zmienić bramki to wchodzę na stronę i to robię więc chyba mogę ale nawszelki wypadek podrzucam screena czy napewno oto chodzi. Na obrazku adresy DNS wyglądają poprawnie. 194.204.152.34 + 194.204.159.1 są od TP. Czyli problem ze stroną www.ilovemobi.com nadal występuje na obu komputerach? Jak to dokładnie wygląda, kiedy ta strona się uruchamia? PIERWSZY KOMPUTER: Poprzednie zadania wykonane. Co do Kasperskiego miałam zainstalowaną wersję Internet security ale jak zaczeły się dziać te kłopoty z otwierającymi się stronami to ściągnełam wersję próbną PURE Kaspersky myślałam że coś znajdzie. Czy sprawdziłaś czy obecny Kaspersky ma wpływ na te zawieszenia eksploratora? DRUGI KOMPUTER: niestety z programu GMER nie udalo mi się. Wtrakcie skanowania komputera program przestaje odpowiadać. Nie zostało zrealizowane ogłoszenie: KLIK. W systemie działa sterownik emulacyjny SPTD: R0 sptd; C:\Windows\System32\Drivers\sptd.sys [717296 2010-06-12] () Jeśli chodzi o logi, to nic szczególnego w nich nie ma i infekcji nie widać. Tylko drobna kosmetyka podobna do tego z poprzedniego systemu: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM - {45750A99-38D5-40A3-BBCC-4ACEDA61D5D7} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKCU - {45750A99-38D5-40A3-BBCC-4ACEDA61D5D7} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC) Toolbar: HKLM - AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC) Toolbar: HKCU - AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC) Task: {5B8E65B0-D0AF-43FA-8917-232DE6CBABD5} - System32\Tasks\Express Files Updater => C:\Program Files\ExpressFiles\EFupdater.exe Task: {9AEAC362-AF00-4A78-BAA1-C50499D5A4BB} - System32\Tasks\DLL-files.com Fixer_UPDATES => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {9DA5C851-72FC-4583-80AB-0286E6239174} - System32\Tasks\RDReminder => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {B307233F-D3F7-4C84-8374-FC465F6EFB32} - System32\Tasks\DLL-files.com Fixer => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {CDEF9D95-CE54-4830-9467-0220C5F3F148} - System32\Tasks\COMODO System Cleaner Update => C:\Program Files\COMODO\COMODO System-Cleaner\UpdateApplications.exe\ Task: C:\Windows\Tasks\COMODO System Cleaner Update.job => C:\Program Files\COMODO\COMODO System-Cleaner\UpdateApplications.exe Task: C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe S2 Norton Internet Security; "C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "C:\Program Files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1 S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 NAVENG; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS [X] S3 NAVEX15; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS [X] S1 SRTSP; \??\C:\Windows\system32\drivers\NIS\1000000.07D\SRTSP.SYS [X] S1 SRTSPX; \??\C:\Windows\system32\drivers\NIS\1000000.07D\SRTSPX.SYS [X] S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [X] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędniki Dll-Files.com Fixer, Pasek narzędzi AOL 5.0. . Odnośnik do komentarza
Madziek Opublikowano 27 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2014 Witam Na pierwszym kompie jak mam uruchomioną przeglądarkę firefox, jakąkolwiek stronę np. onet otwierają się nadal same okna (karty) z ilove.mobi i jeszcze dodatkowo kilka innych. Zazwyczaj wszystkie są związane z loteriami pieniężnymi, lub płatnymi smsami. Teraz otwierają się po dwie do czterech naraz. Innych objawów narazie nie zauważyłam. Zmieniłam kasperskiego na internet security. Narazie eksploator nie zawiesza. Czy mam wrzucić jakieś logi? Na drugim padł mi zasilacz więc za parę dni zrobię to co napisałaś mi poprzednio. Pozdrawiam i dziękuję Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2014 Na pierwszym kompie jak mam uruchomioną przeglądarkę firefox, jakąkolwiek stronę np. onet otwierają się nadal same okna (karty) z ilove.mobi i jeszcze dodatkowo kilka innych. Zazwyczaj wszystkie są związane z loteriami pieniężnymi, lub płatnymi smsami. Teraz otwierają się po dwie do czterech naraz. Innych objawów narazie nie zauważyłam. Wprawdzie w raportach FRST i OTL nie było poprzednio nic szczególnego w Firefox - z tą różnicą, iż narzędzia widziały inne profile (FRST wykrywał Kaspersky Lab SafeBrowser) - ale nie jest wykluczone, że problem jest jednak w przeglądarce. Spróbuj tych akcji w Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. Po operacji zrób nowe raporty i podsumuj co się dzieje, czy te reklamy nadal występują. . Odnośnik do komentarza
Madziek Opublikowano 20 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2014 Witam Całyczas mam problem z otwierającymi się stronami. Po zrestetowniu ustawień w firefoxie i wyczyszczeniu historii, nic się nie zmieniło. Różenie się otwierają potrafią otwierać się po trzy na raz i tak co kilka minut a czasem przez godzinę chodzi komputer i nic się nie włącza (ale to jest sporadyczne). W drugim komputerze po restarcie firefoxa na razie jest spokój. Wrzucam nowe logi. Dziękuję i Pozdrawiam Addition.txt Extras.Txt FRST1.txt gmer.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 20 Czerwca 2014 Zgłoś Udostępnij Opublikowano 20 Czerwca 2014 @Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2612925166-1525020595-3053403785-1000\...\Run: [RegistryMechanic] => C:\Program Files (x86)\Registry Mechanic\RMTray.exe /HR1 {8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64; C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sysC:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sysReg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-21-2612925166-1525020595-3053403785-1000\Software\Microsoft\Internet Explorer\SearchScopes" /fC:\Users\Misa\AppData\Local\Temp\AcDeltree.exeC:\Users\Misa\AppData\Local\Temp\t.dllReboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log. Zrób nowe logi z FRST - już bez Shortcut jessi Odnośnik do komentarza
Madziek Opublikowano 21 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2014 Dziękuję za pomoc. Załączam nowe logi. Pozdrawiam Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
Psotnik Opublikowano 21 Czerwca 2014 Zgłoś Udostępnij Opublikowano 21 Czerwca 2014 Na przyszłość - programu Combofix używamy jedynie w "krytycznych" sytuacjach! Program czasami rozwiązuje problemy z komputerem, ale też może uszkodzić komputer/pliki systemowe. Odnośnik do komentarza
jessica Opublikowano 21 Czerwca 2014 Zgłoś Udostępnij Opublikowano 21 Czerwca 2014 W nowych logach nie widzę już niczego "podpadającego", więc @Picasso tu raczej nie będzie potrzebowała zaglądać. Kończymy: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.przez SHIFT+DEL usuń pozostały folder C:\FRST jessi Odnośnik do komentarza
Madziek Opublikowano 22 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2014 Wczoraj zrobiłam wszystko jak napisałaś wyżej. I jak narazie spokój jest nic się nie otworzyło. Ani razu. Bardzo dziękuję za pomoc. Pytanie mam, czy coś sobie ściągnełam czy to wina przeglądarki? Pozdrawiam I dziękuję Madziek Odnośnik do komentarza
jessica Opublikowano 22 Czerwca 2014 Zgłoś Udostępnij Opublikowano 22 Czerwca 2014 Pytanie mam, czy coś sobie ściągnełam czy to wina przeglądarki? Ściągnęłaś śmiecia. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się