Skocz do zawartości

Strony z reklamami i zgłoszone jako dokonujące ataków


Rekomendowane odpowiedzi

Mam pytanie jak wyłączyć mcafee antivirus scan, gdyż mam problemy z komputerem (czasami uruchamia mi się mob4world i inne stronki z reklamami, zamiast normalnej strony - podejrzewam wirusy ;/)

chciałem zrobić loga z combofixa ale wyświetlił się alert że należy wyłączyć wyżej wymieniony program (mcafee...)

 

z góry dziękuje za pomoc. mam win 7 , laptopa toshibe l500 satellite

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Temat w złym dziale, diagnostyka infekcji gdzie indziej (sekcja "Dział pomocy doraźnej"). Przenoszę.

 

 

podejrzewam wirusy ;/)

chciałem zrobić loga z combofixa ale wyświetlił się alert że należy wyłączyć wyżej wymieniony program (mcafee...)

 

ComboFix to nie jest aplikacja "do loga", uświadom sobie co i jak: KLIK. Diagnostykę prowadzi się za pomocą kompletnie innych nieinwazyjnych aplikacji, czyli OTL + GMER.

 

 

 

.

Odnośnik do komentarza

witam

w ostatnim czasie na moim laptopie zauważyłem pewne niepokojące zmiany.

czasami(około 1-2 % przypadków) zamiast pożądanej przeze mnie strony internetowej, uruchamia się inna , zazwyczaj jest to mob4world.com(strona z reklamami typu wyślij sms to wygrasz itp)

zauważyłem też, że czasami przy otwieraniu niektórych stron (np. instalki ) wyświetla się taki komunikat "Strona zgłoszona jako dokonująca ataków! Strona 78.140.161.61 została zgłoszona jako strona stanowiąca zagrożenie i została zablokowana zgodnie z ustawieniami bezpieczeństwa."

 

nigdy wcześniej się z czymś takim nie spotkałem, więc proszę o sprawdzenie logów bo chcę się upewnić, że nie mam syfu na komputerze.

Extras.Txt

OTL.Txt

Odnośnik do komentarza

Tematy jak zauważyłeś połączyłam, nie było potrzeby zakładać dubla, spodziewana kontynuacja. Komentarz dodatkowy do ComboFix, nie pobiera się go z "lewych" serwisów, oryginał jest zlokalizowany całkiem gdzie indziej. A serwis "lewy", bo po pierwsze nie ma autoryzacji, po drugie rehostuje kopię ComboFix i tu nie można się spodziewać, że będzie ona aktualna (ostatnio nawet ktoś na forum tu się nadział na problem "wygasłej kopii" narzędzia pobranej nie skądinąd tylko właśnie z tego URL co tu widać).

 

[2012-02-20 21:36:38 | 000,000,000 | --SD | C] -- C:\ComboFix_www.INSTALKI.pl_

 

 

W kwestii problemu podstawowego: objawy korespondują do tego co jest w systemie. Infekcja jest obecna, a przeglądarki idą przez proxy ustawione przez infekcję.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [622.exe] C:\Program Files (x86)\LP\2B7B\622.exe ()
O4 - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000..\Run: [622.exe] C:\Users\testserwis\AppData\Roaming\Microsoft\2B7B\622.exe ()
O4 - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000..\Run: [Haali] C:\Users\testserwis\AppData\Roaming\csrss.exe ()
O4 - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000..\Run: [MONOGRAM] C:\Users\testserwis\AppData\Roaming\BF9348.exe (Корпорация Майкрософт)
F3:64bit: - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000 WinNT: Load - (C:\Users\testserwis\AppData\Roaming\3EB18\lvvm.exe) - C:\Users\testserwis\AppData\Roaming\3EB18\lvvm.exe ()
F3 - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000 WinNT: Load - (C:\Users\testserwis\AppData\Roaming\3EB18\lvvm.exe) - C:\Users\testserwis\AppData\Roaming\3EB18\lvvm.exe ()
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 57859
FF - prefs.js..network.proxy.type: 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57859 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57859
IE - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57859
IE - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
 
:Files
C:\Users\testserwis\AppData\Roaming\*.exe
C:\Users\testserwis\AppData\Roaming\3EB18
C:\Users\testserwis\AppData\Roaming\BA33E
C:\Users\testserwis\AppData\Roaming\Microsoft\2B7B
C:\Program Files (x86)\LP
C:\Windows\tasks\At1.job
C:\Users\testserwis\AppData\Roaming\mozilla\Firefox\Profiles\fd2sj6lk.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Wykonaj nowy log z OTL z opcji Skanuj (bez Extras). Dołącz log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

.

Odnośnik do komentarza

zaraz prześlę loga, ponieważ "coś" jest wykryte.

 

edit: może mieć znaczenie to, że zmieniłem kolejność punktów, które mi zleciłaś ? bo najpierw robię skanowanie, a jeszcze śmieci z OTL nie usuwałem.

 

 

Malwarebytes Anti-Malware (Okres testowy) 1.60.1.1000

www.malwarebytes.org

 

Wersja bazy: v2012.02.22.05

 

Windows 7 x64 NTFS

Internet Explorer 8.0.7600.16385

testserwis :: TESTSERWIS-TOSH [administrator]

 

Ochrona: Włączona

 

2012-02-22 22:40:42

mbam-log

 

Typ skanowania: Pełne skanowanie

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 352285

Upłynęło: 58 minut(y), 50 sekund(y)

 

Wykrytych procesów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych kluczy rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykrytych wartości rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykryte wpisy rejestru systemowego: 0

(Nie znaleziono zagrożeń)

 

wykrytych folderów: 0

(Nie znaleziono zagrożeń)

 

Wykrytych plików: 2

C:\Users\testserwis\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\11300002i\splwow64.exe (Rootkit.Dropper) -> Nie wykonano akcji.

C:\Users\testserwis\Downloads\SoftonicDownloader_dla_colin-mcrae-rally-2005-singleplayer.exe (PUP.BundleOffer.Downloader.S) -> Nie wykonano akcji.

 

(zakończone)

 

inaczej nie mogę dać loga, bo za pomocą dodaj pliki- wyskoczyła mi informacja, że nie mam uprawnień.

Odnośnik do komentarza
inaczej nie mogę dać loga, bo za pomocą dodaj pliki- wyskoczyła mi informacja, że nie mam uprawnień.

 

W zasadach działu oraz Pomocy forum jest to wyjaśnione. Załączniki akceptują tylko jeden format rozszerzenia *.TXT a nie *.LOG. Poza tym, log krótki i spokojnie może iść jako zawartość posta bez korowodów dodatkowych, przeklejam.

 

 

edit: może mieć znaczenie to, że zmieniłem kolejność punktów, które mi zleciłaś ? bo najpierw robię skanowanie, a jeszcze śmieci z OTL nie usuwałem.

 

Podaję ustaloną kolejność działań i ta nie powinna być przestawiana. Sprzątanie w OTL miało na celu zapobiec re-detekcji obiektów już usuniętych, ujrzanych w kwarantannie OTL. Akurat tu się się zdarzyło, że MBAM nie widzi zawartości owej kwarantanny, ale to przypadkowość.

 

 

"coś" jest wykryte

 

Nie ma troski. Pierwszy wynik kierujący na Thinstall wygląda na fałszywy alarm (dla porównania: KLIK), a drugi jest sklasyfikowany jako "adware", gdyż instalator nie jest czysty tylko przepakowany z ofertami / śmieciami dodatkowymi. Jako zamknięcie czyszczenia:

 

1. Sprzątanie w OTL nadal aktualne ...

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj aktualizację Windows (brak SP1 + IE9) oraz programów. Oto co widać na Twojej liście zainstalowanych:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.7600.16385)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java™ 6 Update 30

"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Shockwave Player" = Adobe Shockwave Player

"Gadu-Gadu 10" = Gadu-Gadu 10

"Mozilla Firefox 10.0.1 (x86 pl)" = Mozilla Firefox 10.0.1 (x86 pl)

"Opera 11.60.1185" = Opera 11.60

 

Szczegóły aktualizacyjne: KLIK. Dodatkowo, oglądnij potencjalne alternatywy dla potwora GG10: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...