X
  • #1 12 Dec 2011 20:01
    Przemo19890
    Level 12  
    Helpful post? (0)
    Witam wszystkich :)
    Od kilku dni nie mogę poradzić sobie z problemem polegającym na otwieraniu się (najpierw jednej i tej samej strony, teraz chyba już są 2) stron w przeglądarkach. Dzieje się tak na profilu moim (korzystam z Opery), a także na profilu brata na tym samym komputerze (on korzysta z Firefoxa) i otwierają nam się te same strony...
    Skanowałem system programami COMODO Internet Security, Malwarebytes Anti-Malware, Spybot - Searcch & Destroy oraz hijacksthis. Dwa pierwsze programy niczego nie znalazły, Spybot znalazł 9 problemów (wszystkie zostały rozwiązane, lecz problem nadal występuje i staję się coraz bardziej uciążliwy), a LOG z hijackthis nic mi nie mówi prawie...

    EDIT:
    Wg instrukcji z posta poniżej, przeskanowałem komputer dodatkowo programem Dr.Web CureIt (nie znaleziono zagrożeń). Wrzucam także logi z OTL oraz GMER (archiwum Logi; zostawiłem domyślnie zaznaczoną tylko partycję systemową czyli C). Archiwum Logi_2 wrzuciłem po wykonaniu poleceń użytkownika ordynat1.
  • Helpful post
    #2 12 Dec 2011 20:03
    Kasek21
    Spec od komputerów
    Helpful post? (0)
    Zastosuj się:
    http://www.elektroda.pl/rtvforum/topic1044160.html
  • #3 12 Dec 2011 21:56
    Przemo19890
    Level 12  
    Topic author Helpful post? (0)
    Zastosowałem się do instrukcji, proszę o pomoc...
  • Helpful post
    #4 13 Dec 2011 00:19
    ordynat1
    Level 25  
    Helpful post? (0)
    Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
    Quote:

    :OTL
    O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Przemek\jaase.exe) -C:\Documents and Settings\Przemek\jaase.exe (Trend Micro Inc.)
    O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Przemek\jaase.exe) -C:\Documents and Settings\Przemek\jaase.exe (Trend Micro Inc.)
    O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexe File not found
    O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
    SRV - [2011-09-27 20:08:40 | 000,745,880 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)

    :Reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "TaskMan"=-

    :Commands
    [emptyflash]
    [emptytemp]


    Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
    Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
    Pokaż nowy log OTL.txt oraz raport z usuwania.
    .
  • #5 13 Dec 2011 00:45
    Przemo19890
    Level 12  
    Topic author Helpful post? (0)
    Dziękuję za odpowiedź.
    Zrobiłem wszystko tak jak napisałeś, już wklejam nowe logi (Logi_2). Wcześniej kliknąłem Skanuj w OTL i tak samo zrobiłem teraz :)

    Właśnie przed chwilą znów wyskoczyła mi ta stronka sama...
    http://www.traveltowhere.net/index.php/destinations
    Nieee, kolejna nowa się pojawiła: http://www.purplednews.com/index.php/sales.html
    Kolejna do kolekcji: http://www.voyagestories.net/index.php/travel-tips :/

    EDIT:
    Na innym forum znalazłem taki wpis dotyczący OTL:
    "Aby logi można było łatwo, szybko i prawidłowo odczytać, zaznacz opcje "Wszyscy użytkownicy", " Infekcja LOP - sprawdzanie", "Infekcja Purity - sprawdzanie" oraz "Pomiń znane dobre pliki", "Pomiń pliki Microsoftu". Ustaw wszystko na "Użyj filtrowania" oraz "Pliki młodsze niż" na 60 dni".
    Czy powinienem się do tego zastosować i raz jeszcze wkleić loga czy nie ma takiej potrzeby? Tak jak wcześniej pisałem, wszystkie ustawienia zostawiałem domyślne.
  • Helpful post
    #6 13 Dec 2011 04:45
    ordynat1
    Level 25  
    Helpful post? (0)
    Nowe logi dawaj w nowym poście, a nie w pierwszym.

    Quote:
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan:C:\Documents and Settings\Przemek\jaase.exe deleted successfully.
    File \Documents and Settings\Przemek\jaase.exe) -C:\Documents and Settings\Przemek\jaase.exe not found.

    Script niby usunął klucz, a pliku nie znalazł, ale w nowym logu to dalej jest.
    Zmieniamy więc sposób usuwania.
    1) Ściągnij --> Avenger .
    wklej do niego ten tekst:
    Code:
    Files to delete:
    
    C:\Documents and Settings\Przemek\jaase.exe

    Registry values to delete:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | TaskMan


    Kliknij w "Execute" i zatwierdź restart komputera.
    Zrestartuj komputer.
    Daj Raport z Avengera z C:\avenger.txt.

    W logach nie widzę, byś używał pendrive, ale ta infekcja przenosi się najczęściej poprzez pendrive - pytanie więc: czy na pewno nie używasz pendrive?

    Zrób nowy log z OTL - sprawdzimy, czy to zniknęło.
    .
  • #7 13 Dec 2011 07:37
    Przemo19890
    Level 12  
    Topic author Helpful post? (0)
    Pendrive nie używałem przez dobre kilka dni. Używam go także w laptopie i tam nie zaobserwowałem podobnego problemu..
    Wrzucam raport oraz nowy log z OTL.

    Mam jeszcze tylko pytanie jedno: Czytając na jakimś forum o OTL, znalazłem informację, że po czynnościach o których mi napisałeś we wcześniejszym poście, należy w OTL kliknąć Sprzątaj (kiedy już sprawdzisz, że skrypt został wykonany prawidłowo). Miałem w to kliknąć? (nie zrobiłem tego) Może pytam o coś bardzo głupiego, ale wcześniej nie korzystałem z takich programów...
  • Helpful post
    #8 13 Dec 2011 08:37
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Java do aktualizacji -> www.java.com

    Odinstaluj:
    YouTube Downloader Toolbar

    Wykonaj skrypt w OTL:

    :OTL
    IE - HKCU\..\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files\YouTube Downloader Toolbar\IE\4.7\youtubedownloaderToolbarIE.dll (Spigot, Inc.)
    FF - prefs.js..browser.search.defaultenginename: "Yahoo"
    FF - prefs.js..browser.startup.homepage: "http:\\\\www.google.com"
    FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=937811&p="
    O2 - BHO: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files\YouTube Downloader Toolbar\IE\4.7\youtubedownloaderToolbarIE.dll (Spigot, Inc.)
    O3 - HKLM\..\Toolbar: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files\YouTube Downloader Toolbar\IE\4.7\youtubedownloaderToolbarIE.dll (Spigot, Inc.)
    O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Przemek\jaase.exe) - File not found


    Sprzataj wybierasz dopiero po calkowitym usunieciu infekcji.
  • #9 13 Dec 2011 16:02
    Przemo19890
    Level 12  
    Topic author Helpful post? (0)
    Java zaktualizowana.
    Usunąłem YouTube Downloader Toolbar (przez Dodaj/Usuń Programy)
    Wykonałem skrypt, uruchomiłem ponownie komputer oraz wykonałem nowy log OTL.
  • Helpful post
    #10 13 Dec 2011 16:30
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Wszystko wyglada ok, teraz mozesz juz wybrac Sprzatanie w OTL i to wszystko.
  • #11 13 Dec 2011 17:27
    Przemo19890
    Level 12  
    Topic author Helpful post? (0)
    Dziękuję obydwóm Panom za pomoc :)
    Wygląda na to, że problem już nie występuje.

    Dodano po 25 [minuty]:

    Niestety, to nie koniec :/
    O ile problem u mnie nie występował, to nadal występuje w profilu brata na tym samym komputerze. Brat korzystał przez chwilę z Firefoxa i wyskoczyła mu samoczynnie strona http://www. purplednews.com/index.php/online-business.html (z tym że u niego strona ta otwiera się w przeglądarce Chrome, mimo że brat korzysta ostatnio z Firefoxa) :/

    EDIT:
    Zrobiłem ponowny skan w OTL (tym razem w profilu brata)
    I zastosowałem się do tych instrukcji:
    "Aby logi można było łatwo, szybko i prawidłowo odczytać, zaznacz opcje "Wszyscy użytkownicy", " Infekcja LOP - sprawdzanie", "Infekcja Purity - sprawdzanie" oraz "Pomiń znane dobre pliki", "Pomiń pliki Microsoftu". Ustaw wszystko na "Użyj filtrowania" oraz "Pliki młodsze niż" na 60 dni".
  • Helpful post
    #12 13 Dec 2011 18:02
    ordynat1
    Level 25  
    Helpful post? (0)
    1) Ściągnij --> Avenger .
    wklej do niego ten tekst:
    Code:
    Files to delete:
    
    C:\Documents and Settings\Adam\jaase.exe

    Registry values to delete:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | TaskMan


    Kliknij w "Execute" i zatwierdź restart komputera.
    Zrestartuj komputer.
    Daj Raport z Avengera z C:\avenger.txt.

    2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
    Quote:

    :OTL
    O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Adam\jaase.exe) -C:\Documents and Settings\Adam\jaase.exe (Trend Micro Inc.)
    O20 - HKU\S-1-5-21-1078081533-2077806209-1417001333-1004 Winlogon: Shell - (C:\Documents and Settings\Adam\jaase.exe) -C:\Documents and Settings\Adam\jaase.exe (Trend Micro Inc.)

    :Commands
    [emptyflash]
    [emptytemp]


    Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
    Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
    Pokaż nowy log OTL.txt oraz raport z usuwania.
    .
  • Helpful post
    #13 13 Dec 2011 18:08
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Po wykonaniu daj nowy log:

    :OTL
    FF - prefs.js..browser.search.defaultenginename: "Yahoo"
    FF - prefs.js..browser.startup.homepage: "http:\\\\www.google.com"
    FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=937811&p="
    O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Adam\jaase.exe) -C:\Documents and Settings\Adam\jaase.exe (Trend Micro Inc.)
    O20 - HKU\S-1-5-21-1078081533-2077806209-1417001333-1004 Winlogon: Shell - (C:\Documents and Settings\Adam\jaase.exe) -C:\Documents and Settings\Adam\jaase.exe (Trend Micro Inc.)
    [2011-12-07 18:13:10 | 000,143,872 | RHS- | M] (Trend Micro Inc.) -- C:\Documents and Settings\Adam\jaase.exe

    :Files
    C:\Documents and Settings\Przemek\jaase.exe
    C:\Documents and Settings\Adam\jaase.exe


    Jezeli plik sie znowu nie usunie to tak jak poprzednio uzyj Avenger'a:

    Files to delete:
    C:\Documents and Settings\Przemek\jaase.exe
    C:\Documents and Settings\Adam\jaase.exe
  • #14 13 Dec 2011 18:24
    Przemo19890
    Level 12  
    Topic author Helpful post? (0)
    Czy mam wykonać powyższe instrukcje jedna po drugiej? (mam na myśli dwa powyższe posty). Bo odpowiedzi padły prawie że w tym samym czasie :)
  • Helpful post
    #15 13 Dec 2011 18:35
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Tak, wykonaj obie.
  • #16 13 Dec 2011 19:02
    Przemo19890
    Level 12  
    Topic author Helpful post? (0)
    Zacząłem od instrukcji Kolobosa, czyli wykonałem skrypt w OTL (plik się nie usunął, więc wykonałem polecenie w Avenger - nie mam raportu, bo został zastąpiony, kiedy po raz drugi wykonałem w nim skrypt użytkownika ordynat1). Potem jeszcze wykonałem skrypt w OTL użytkownika ordynat1.

    Wrzucam raporty z OTL, raport z Avengera (ten po drugim usuwaniu) oraz aktualny log z OTL.
  • Helpful post
    #17 13 Dec 2011 19:36
    ordynat1
    Level 25  
    Helpful post? (0)
    Wg mnie - jest OK.

    W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
    Jednocześnie zniknie Avenger.

    .
  • #18 13 Dec 2011 22:44
    Przemo19890
    Level 12  
    Topic author Helpful post? (0)
    Na razie nic nie wyskakuje ani u mnie ani u brata ;)
    Ponownie bardzo dziękuję za pomoc :)
  Search 4 million + Products
Browse Products