Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wyskakujące reklamy z IE.

kacper7

Przez kacper7
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

picasso

picasso

Opublikowano
Opublikowano

1. W takim razie zostawiam temat na statusie oczekiwania. Poobserwuj czy system się dziwnie zachowuje, pojawią się ponownie znikąd pop-upy i inne dewiacje. Jeśli nie, temat zamknę. Jeśli tak, zadam kolejne kroki diagnostyczne.

 

2. Czas na aktualizacje oprogramowania:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 16
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.1 MUI
"Gadu-Gadu 10" = Gadu-Gadu 10

- Odinstaluj starsze wersje zastępując najnowszymi. Szczegóły aktualizacyjne: INSTRUKCJE.

- Sugeruję także pozbycie się zasobożernego reklamodawczego potwora GG10 na rzecz programu lekkiego, pozbawionego reklam, a obsługującego sieć Gadu w pożądanym stopniu. Do wglądu temat Darmowe komunikatory. Propozycje z mojej strony: WTW lub Miranda.

 

 

.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
kacper7

kacper7

Opublikowano
  • Autor
Opublikowano (edytowane)

Dobrze picasso.Zastosuję się do zaleceń aktualizacji oprogramowania. Dziękuję za dotychczasową pomoc i cierpliwość dla człowieka nie znającego się na komputerach. Jest ona dla mnie nieoceniona. Pozdrawiam.

 

~~~~~~~posty połączone~~~~~~~~

 

No niestety dalej pojawia się ten komunikat: Komunikat zabezpieczeń systemu Windows: Tych plików nie można otworzyć. Ustawienia zabezpieczeń internetowych uniemożliwiły otwarcie jednego lub więcej plików.W momencie instalacji Adobe Reader X.

Edytowane przez picasso
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jeszcze raz wejdź do konfiguracji stref Internet Explorer: Narzędzia > Opcje internetowe > Zabezpieczenia > Strefa Internet > Poziom niestandardowy > Uruchamianie aplikacji i niebezpiecznych plików ma być ustawione na "Monituj "(zalecane)" a nie "Wyłącz". Jeśli to już jest tak ustawione, podam jak sprawdzić to samo ale dla niewidocznej w tym dialogu strefy "Mój komputer".

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Pobierz jeszcze raz OTL z linków podanych na forum (po akcji Sprzątanie zniknął z Twojego systemu).

 

2. Uruchom OTL i wszystkie opcje ustaw na Brak oraz Żadne, zaś w polu Własne opcje skanowania / skrypt wklej ten tekst:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Klik w Skanuj (a nie Wykonaj skrypt!) i przedstaw tu wyniki skanowania.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

"Niedobre" wieści. Tu jest wszystko zgodne z moimi ustawieniami. Sprawdźmy polisy systemowe. Ustaw OTL jak to mówiłam powyżej, ale tym razem wklej do skanowania te miejsca:

 

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

Odnośnik do komentarza
kacper7

kacper7

Opublikowano
  • Autor
Opublikowano

Niedobre powiadasz... A i przy próbie odinstalowania ad munchera również pojawia się ten sam komunikat nie pozwalając na jego odinstalowanie.Reklamy, których wyskakiwanie na stronach ad muncher powinien blokować dalej wyskakują pomimo ponownego wyłączenia i włączenia go. Próbowałem go odinstalować i zainstalować ponownie ale jak napisałem wcześniej te działanie zostało zablokowane. Podaje te objawy bo może w czymś pomogą.

 

Proszę. :)

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wyniki z OTL są puste. W takim układzie proszę o kompletny rejestr do wglądu, ja to znajdę (lub i nie) szybciej własnymi rękami niż zadając flagmentaryczne skany. Wyprodukuj kopię rejestru za pomocą narzędzia ERUNT (jako miejsce docelowe kopii wskaż np. folder na Pulpicie). Następnie z kompletu plików, które wygeneruje narzędzie, wybierz pliki SOFTWARE + NTUSER.DAT, oba zapakuj do ZIP, umieść paczkę na hostingu typu SpeedyShare i podeślij tu link.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W gałęzi HKEY_CURRENT_USER jest dodana dodatkowa "strefa zabezpieczeń" przez infekcję (owe "L" omawiane tu: KLIK).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]

Kliknij w Wykonaj skrypt.

 

2. Sprawdź czy nadal zgłasza się błąd.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Trojany wykryte przez MBAM i Microsoft Security Essentials to dokładnie ten sam rodzaj, który był uprzednio widziany w Kaspersky Removal Tool i jest to też komplet do tej podrobionej "strefy zabezpieczeń". Wszystko usuń za pomocą MBAM.

 

DR.WEB nie mogę pobrać.Próbuje dalej.

 

Co to oznacza i spod jakiej przeglądarki próbujesz pobierać?

Odnośnik do komentarza
kacper7

kacper7

Opublikowano
  • Autor
Opublikowano

ok usunę. a co do DR.WEB to nie chce się pobrać plik cały czas wczytuje i nic nie postępuje. przeglądarka Firefox. Nie ma szans nie pobiorę. Próbowałem kilka razy. A jak pobrałem z innej strony to sciągnęło ale nie chciało uruchomić podawało błąd launch.exe nie jest prawidłową aplikacją win 32

 

 

Po kolejnym skanie mbam jakby więcej tych trojanów się zrobiło Log w załączniku.

mbam-log-2011-02-11 (21-21-53).txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Komentując wybiórczo wyniki:

 

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

 

Co dopiero to usuwałam, ale oczywiste, że to wróciło, bo są trojany które przywracają tę modyfikację. W skanie wszystko jest oznaczone jako "No action taken" = usuń.

 

 

ok usunę. a co do DR.WEB to nie chce się pobrać plik cały czas wczytuje i nic nie postępuje. przeglądarka Firefox. Nie ma szans nie pobiorę. Próbowałem kilka razy. A jak pobrałem z innej strony to sciągnęło ale nie chciało uruchomić podawało błąd launch.exe nie jest prawidłową aplikacją win 32

 

Przehostowałam skaner na inny adres: KLIK.

 

 

.

Odnośnik do komentarza
kacper7

kacper7

Opublikowano
  • Autor
Opublikowano (edytowane)

Przesyłam ponownie wyniki z narzędzi, z których prosiłaś. I mam takie pytanie(tak jak mówiłem jestem laikiem); czyli w moim systemie siedzi coś głęboko i ściąga te trojany omijając antywirusa i nie pozwalając mu ich wykryć? I tylko możliwe jest to przy użyciu specjalnych narzędzi? I czy istnieje jakiś lepszy sposób na ochronę? A może jest tak, że te trojany są przenoszone z przenośnego dysku(skanuje go co jakiś czas i anty wirus nic nie wykrywa)? co do skanowania systemu dr. web: szybki skan nic nie wykrył.Jednak włączyłem pełny i zaczęły pojawiać się kwiatki.

 

 

http://www.speedyshare.com/files/26841926/skan Oto co wykrył DR.WEB.

mbam-log-2011-02-12 (16-30-05).txt

Edytowane przez picasso
MBRCheck po raz drugi zbędny, usuwam. //picasso
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

MBRCheck był niepotrzebny po raz drugi. MBAM = widzę, że wszystko usunąłeś. Dr. Web = nie wiem co to za format pliku wstawiłeś i nie mogę go otworzyć (TXT lub CSV to nie jest).

 

 

co do skanowania systemu dr. web: szybki skan nic nie wykrył.Jednak włączyłem pełny i zaczęły pojawiać się kwiatki.

 

Jeśli wykrył OTL i inne narzędzia specjalnego użytku jako "trojany", to te wyniki są do ominięcia. Jak mówię, skanu Dr. Web nie mogę otworzyć do wglądu.

 

 

I mam takie pytanie(tak jak mówiłem jestem laikiem); czyli w moim systemie siedzi coś głęboko i ściąga te trojany omijając antywirusa i nie pozwalając mu ich wykryć? I tylko możliwe jest to przy użyciu specjalnych narzędzi?

 

Nie mam podstaw na to twierdzenie. To co widać dotychczas w temacie wskazuje, że chodzi cały czas o jedną i tę samą infekcję, która była czyszczona "po kawałku".

 

 

A może jest tak, że te trojany są przenoszone z przenośnego dysku(skanuje go co jakiś czas i anty wirus nic nie wykrywa)

 

Infekcja tu widziana wchodzi raczej ze strony www, po kliknięciu w jakiś niedobry link (fałszywy skaner lub podrobione wtyczki video, np. coś w typ typie: KLIK).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

No cóż ... Dałeś niepotrzebnie cały (przemocarny) log, mnie interesują tylko i wyłącznie wyniki zainfekowane, a tych jest tylko 7 i to spokojnie można było wkleić bezpośrednio do posta....

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe spakowany przez XOREXE
>C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe zainfekowany wirusem Trojan.DownLoader1.26413 - leczenie zabronione przez użytkownika
 
C:\Documents and Settings\All Users\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe spakowany przez XOREXE
>C:\Documents and Settings\All Users\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe zainfekowany wirusem Trojan.DownLoader1.26413 - leczenie zabronione przez użytkownika
 
C:\Users\All Users\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe spakowany przez XOREXE
>C:\Users\All Users\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe zainfekowany wirusem Trojan.DownLoader1.26413 - leczenie zabronione przez użytkownika
 
C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe spakowany przez XOREXE
>C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe zainfekowany wirusem Trojan.DownLoader1.26413 - leczenie zabronione przez użytkownika
 
C:\Documents and Settings\asus\Desktop\sprawdzanie systemu\OTL\OTL.exe zainfekowany wirusem Trojan.Siggen2.16874 - leczenie zabronione przez użytkownika
C:\Users\asus\Desktop\sprawdzanie systemu\OTL\OTL.exe zainfekowany wirusem Trojan.Siggen2.16874 - leczenie zabronione przez użytkownika
 
C:\eSupport\eDriver\Software\ASUS\MultiFrame\XP32_Vista32_Vista64_Win7_32_Win7_64_1.0.0021\Desktop_.ini zainfekowany wirusem Win32.HLLW.Gavir.ini - leczenie zabronione przez użytkownika

Te 7 to zupełnie nieistotne wyniki. Folder LocalCopy to (izolowana) kwarantanna skanera Microsoftu, OTL jako trojan to fałszywy alarm, a desktop.ini w folderze oprogramowania ASUS nie wygląda na zagrożenie. I tak naprawdę nie jest to 7 wyników tylko 3. Program odrębnie przeskanował linki symboliczne tak jakby to były pełnowartościowe ścieżki różne od rzeczywistej ścieżki docelowej.

 

  • C:\Documents and Settings to tylko link do C:\Users
  • C:\Documents and Settings\All Users to tylko link do C:\ProgramData
  • C:\Users\All Users to także link do C:\ProgramData

Informacyjnie dla Ciebie nieco o linkach symbolicznych: KLIK.

 

Przy okazji, widoczny kolejny szczątek po uruchomieniu ComboFix, czyli katalog C:\32788R22FWJFW (nie widziałam go w uprzednich listach)... Przez SHIFT+DEL skasuj go całkowicie z dysku.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Na to wygląda, że koniec problemu. Ów komunikat musiał jednak być związany z tą podrobioną strefą zabezpieczeń ("L"). Możesz usunąć wszystkie narzędzia, którymi się posługiwałeś. Na koniec powtórz jeszcze raz czyszczenie folderów Przywracania systemu (od ostatniego zalecenia upłynęło dużo czasu + nastąpiły zmiany konfiguracyjne). Jeśli nie zgłosisz dodatkowych problemów, temat zostanie zamknięty.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...