Samoczynne włączenie się stron internetowych

[cmielu]

Mam problem, który objawia się następująco otwierają się różne dziwne strony samoczynnie. Używam przeglądarki Firefox ale strony same otwierają się za pomocą przeglądarki Internet Explorer, jest to bardzo uciążliwe próbowałem skanować komputer programem anty wirusowy ale ten nic nie znajduje. Problem pojawił się jakieś trzy dni temu i od tamtej pory komputer zaczął wolniej pracować. W załącznikach są logi które zrobiłem. Bardzo proszę o pomoc

Extras.Txt

OTL.Txt

gmr.txt

[picasso]

Podjąłeś próbę uruchomienia ComboFix i nie ma o tym ani słowa. Log z GMER stworzony w złych warunkach, podczas czynnej emulacji napędów wirtualnych (KLIK). Sterownik wprawdzie został wyłączony, ale nadal ma status "Running":

 

DRV - File not found [Kernel | Disabled | Running] --  -- (sptd)

Pełne odładowanie z pamięci następuje dopiero po restarcie komputera.

 

---

System jest zainfekowany.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011-01-14 21:05:00 | 000,220,672 | ---- | M] (KLite Codec Pack) -- C:\WINDOWS\Nzyvea.exe
[2011-01-16 12:18:11 | 000,000,266 | -H-- | C] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011-01-14 21:05:51 | 000,000,238 | -H-- | C] () -- C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2011-01-14 21:05:25 | 000,000,266 | -H-- | C] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011-01-14 21:04:53 | 000,000,292 | -HS- | C] () -- C:\WINDOWS\tasks\Kpqytzpnsg.job
[2011-01-14 21:04:52 | 000,122,880 | RHS- | C] () -- C:\WINDOWS\System32\ulib9.dll
[2010-12-20 10:34:15 | 000,000,305 | ---- | C] () -- C:\WINDOWS\System32\secushr.dat
[2010-12-20 10:28:34 | 000,000,248 | ---- | C] () -- C:\WINDOWS\System32\secustat.dat
O4 - HKU\S-1-5-21-3369531988-3233852318-2805738209-1006..\Run: [JP595IR86O] C:\Documents and Settings\p\Ustawienia lokalne\Temp\Nh1.exe (KLite Codec Pack)
O33 - MountPoints2\{5c3954c6-aee7-11df-a566-78e400312228}\Shell\AutoRun\command - "" = ws.exe
O33 - MountPoints2\{5c3954c6-aee7-11df-a566-78e400312228}\Shell\open\Command - "" = ws.exe
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij proces przez opcję Wykonaj skrypt. System będzie restartował, zaś po restarcie otrzymasz log z usuwania.

 

2. Przejdź do Dodaj / Usuń programy i odinstaluj sponsora ProgSense. Wg datowania w logu wygląda na to, że wszedł z nieuważną instalacją Orbit Downloader.

 

3. Następnie wytwórz nowe logi z OTL i GMER. Dołącz log powstały z usuwania w punkcie 1.

 

 

 

.

[cmielu]

O combofix nic nie pisałem bo próbowałem go uruchomić i się nie udało więc myślałem że to nie istotne. a gdzie zapisuje się ten log z usuwania? bo nie wiem gdzie go szukać nic po restarcie mi się nie pojawiło

[picasso]

a gdzie zapisuje się ten log z usuwania? bo nie wiem gdzie go szukać nic po restarcie mi się nie pojawiło

 

W katalogu C:\_OTL

[cmielu]

W załączniku są logi z usuwania i nowe logi z OTL i GMER.

OTL.Txt

gmer2.txt

Extras.Txt

logi z usuwania.txt

[picasso]

Wygląda na to, że usuwanie się udało. Skrypt OTL wszystko przetworzył, a w nowych raportach nie widzę żadnych oznak infekcji. Potwierdź, że problem ustąpił. Zostają kroki końcowe:

 

1. W OTL uruchom opcję Sprzątanie. To usunie szczątki po ComboFix, kwarantannę OTL oraz sam program jako taki.

 

2. Wypróżnij foldery Przywracania systemu: INSTRUKCJE.

 

3. Na koniec zrób pełny skan przez Malwarebytes' Anti-Malware. Jeśli coś zostanie znalezione, zaprezentuj wyniki.

[cmielu]

Objawy jak na razie ustąpiły. zrobiłem skan za pomocą Malwarebytes' Anti-Malware wykrył 5 zainfekowanych plików w załączniku jest log

mbam-log-2011-01-16 (23-38-15).txt

[picasso]

Tak, te zapisy w rejestrze pochodzą od infekcji. Usuń je za pomocą MBAM. Na koniec jeszcze raz wyczyść foldery Przywracania systemu (bo zaszła kolejna zmiana). I to by było na tyle.

[cmielu]

wielkie dzięki

Edytowane 16 Stycznia 2011 przez picasso
Temat rozwiązany, zamykam. //picasso