Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows 7- czy to może być wirus?

Rodzislaw 28 Paź 2013 19:52 5928 60
  • #1 28 Paź 2013 19:52
    Rodzislaw
    Poziom 8  

    Witam wszystkich serdecznie.

    Mój problem polega na tym, iż kilka dni temu zainstalowałem nieświadomie jakieś dodatki prawdopodobnie do programu NAPI PROJECT. Odinstalowałem wszystko, jednak jakiś program kilka razy dziennie otwierał mi sam przeglądarkę internetową i przekierowywał na zainfekowaną stronę. Avast natychmiast blokował mi tę stronę. Dodam, że za każdym razem był to ten sam adres - static.sales... Poziom zagrożenia wysoki.

    Postąpiłem według wskazówek forum, czyli zainstalowałem AdwCleaner, Dr.Web CureIt oraz Malwarebytes Anti-Malware. Przeskanowałem system i pousuwałem zagrożenia, i jeszcze raz wykonałem logi OTL za pomocą OldTimera.

    Poniżej zamieszczam wszystkie logi. Napiszcie mi proszę, czy wszystko jest w porządku, czy należy podjąć dalsze kroki w celu usunięcia zagrożenia.




    Dziękuję i pozdrawiam

    0 29
  • CControls
  • Pomocny post
    #2 28 Paź 2013 20:14
    Kolobos
    Spec od komputerów

    W AdwCleaner wybierz Usun o ile jeszcze tego nie zrobiles.

    Wykonaj skrypt w OTL:

    :OTL
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
    IE - HKCU\..\SearchScopes\{3563023A-7A16-40E3-9847-2CAB06153C7E}: "URL" = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
    IE - HKCU\..\SearchScopes\{3928E18E-98A8-4C46-ACF0-ED3CFD7AB631}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=d3991c5e-528d-11e1-9ad0-001d7d9cb788&q={searchTerms}
    [2013-10-17 18:40:44 | 000,000,426 | ---- | C] () -- C:\WINDOWS\tasks\At1.job


    Zainstaluj http://ninite.com/java/

    0
  • Pomocny post
    #3 28 Paź 2013 20:18
    Acorus 20
    Spec od komputerów

    Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

    Cytat:
    :OTL
    O4 - HKLM..\Run: [DivXMediaServer] C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe File not found
    O4 - HKCU..\Run: [BitComet] C:\Program Files\BitComet\BitComet.exe /tray File not found
    O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found
    [2013-10-28 15:12:41 | 000,000,000 | ---D | C] -- C:\AdwCleaner
    [2013-10-28 18:40:00 | 000,000,426 | ---- | M] () -- C:\WINDOWS\tasks\At1.job

    :Reg
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

    :Commands
    [emptytemp]


    Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.

    0
  • #4 28 Paź 2013 20:56
    Rodzislaw
    Poziom 8  

    Zastosowałem się do waszych wskazówek.

    Oto logi

    Kolobos napisał:
    W AdwCleaner wybierz Usun o ile jeszcze tego nie zrobiles.



    Zrobiłem. Tak wyglądają logi


    Z góry przepraszam jeśli zrobiłem coś nie tak, ale kiepski jestem w tych sprawach :)

    Kolobos napisał:

    a tak z ciekawości- w jakim celu ?

    0
  • Pomocny post
    #5 28 Paź 2013 21:05
    Kolobos
    Spec od komputerów

    Zeby miec aktualna jave.

    Wybierz w OTL Sprzatanie i to wszystko.

    0
  • CControls
  • #7 28 Paź 2013 21:27
    Kolobos
    Spec od komputerów

    Chyba jasno napisalem, ze to juz wszystko i nic wiecej niz nie rob!
    Sprzatanie usuwa OTL. Nie chcesz chyba napisac, ze ponownie sciangales otl tylko po to zeby dac zbedne logi?

    0
  • #8 28 Paź 2013 21:33
    Rodzislaw
    Poziom 8  

    Nie wkurzaj się : ) chciałem dobrze : )

    Dziękuję kolego !

    A tak dla informacji- co zainfekowało komputer ?

    0
  • #9 28 Paź 2013 21:43
    Kolobos
    Spec od komputerów

    To co widac w logu z AdwCleaner_R0_.txt.

    0
  • #10 28 Paź 2013 21:59
    Rodzislaw
    Poziom 8  

    Ok, już wiem : )

    Pozdrawiam !

    0
  • Pomocny post
    #12 04 Lis 2013 19:25
    Kolobos
    Spec od komputerów

    Wykonaj przy okazji skrypt:

    :OTL
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
    IE - HKCU\..\SearchScopes\{3563023A-7A16-40E3-9847-2CAB06153C7E}: "URL" = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
    IE - HKCU\..\SearchScopes\{3928E18E-98A8-4C46-ACF0-ED3CFD7AB631}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=d3991c5e-528d-11e1-9ad0-001d7d9cb788&q={searchTerms}
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 10.45.2)
    O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
    O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 10.45.2)
    [2013-10-28 20:32:10 | 000,000,000 | ---D | C] -- C:\AdwCleaner

    0
  • #14 04 Lis 2013 19:47
    Kolobos
    Spec od komputerów

    Tym razem nie bylo nic szkodliwego, tylko pare zbednych wpisow.

    0
  • #15 04 Lis 2013 19:57
    Rodzislaw
    Poziom 8  

    Dziękuję za informacje i szybką odpowiedź :)

    Powiedz mi, bo widzę, ze jesteś fachowcem w tych sprawach, a ja jestem laikiem. Czy z reguły wystarczy sprzątanie i usunięcie tego co znajdą te programy, czy wymagane jest jeszcze tworzenie skryptów?

    Pozdrawiam

    0
  • Pomocny post
    #16 04 Lis 2013 20:43
    jestemnajleprzy
    Poziom 16  

    W MBAM i AdwCleaner się usuwa zagorożenia, a OLT musi przejrzeć Spec i jak coś jest nie tak , dać Ci skrypt do wykonania

    0
  • #18 05 Lis 2013 19:06
    Kolobos
    Spec od komputerów

    W Chrome usun Delata Search i ustaw google jako domyslna wyszukiwarke.

    Wykonaj skrypt:

    :OTL
    IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
    O8 - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files\MiPony\Browser\IEContext.htm File not found
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
    O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
    [2013-10-28 18:14:36 | 000,000,000 | ---D | C] -- C:\AdwCleaner
    [2013-01-01 18:14:23 | 013,087,736 | ---- | C] (Nullsoft, Inc.) -- C:\Users\Milena\winamp563_full_bundle_emusic-7plus_pl-pl.exe

    0
  • #20 05 Lis 2013 20:07
    Kolobos
    Spec od komputerów

    Wybierz Sprzatanie i to wszystko.

    0
  • #21 11 Lis 2013 18:21
    Rodzislaw
    Poziom 8  

    Kolego ma problem. Podczas próby pobrania ADW Cleanera ze strony proponowanej tutaj na forum https://www.elektroda.pl/rtvforum/topic1044160.html
    Avast wykrywa zagrożenie i informuje mnie o jakimś Zakraplaczu, który instaluje konie trojańskie. O co chodzi?

    Z pobraniem OTL, tez mam problem, ponieważ Avast wysyła mi raport o problemie z reputacją pliku i odradza pobieranie.

    0
  • #24 11 Lis 2013 18:31
    Rodzislaw
    Poziom 8  

    Nie da rady. to samo :/

    Wyskakuje

    Plik C:\DOCUME~1\milka\USTAWI~1\Temp\5pPSq8mz.exe.part nie może zostać zapisany, ponieważ nie można odczytać pliku źródłowego.

    Należy spróbować później lub skontaktować się z administratorem serwera.

    I Avast wykrywa "Zakraplacza"

    0
  • #25 11 Lis 2013 18:32
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Wyłącz monitor avasta i pobierz z jednego z tych źródeł.

    0
  • #27 11 Lis 2013 18:54
    Kolobos
    Spec od komputerów

    Wczesniej zamieszczales juz logi. Nic sie nie zmienilo, na przyszlosc nie zamieszczaj logow na forum bez powodu.

    0
  • Pomocny post
    #28 11 Lis 2013 18:59
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Wykonaj jeszcze pełne skanowanie MBAM po aktualizacji bazy wirusów i usuń wykryte zagrożenia.
    https://www.malwarebytes.org/

    0
  • #29 11 Lis 2013 20:37
    Rodzislaw
    Poziom 8  

    Ok, sorki-chyba jestem przewrażliwiony ostatnio na tym punkcie...

    MBAM nic nie wykazał. Żeby już nie truć, to co może być powodem tego, że Avast tak świruje? Wcześniej pobierałem bez problemu.

    Pozdrawiam i jeszcze raz przepraszam.

    Piwo dla wszystkich !

    0
  • #30 11 Lis 2013 20:50
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Jeszcze niby są jakieś błędy w rejestrze i niepoprawne ustawienia stron startowych ale nie ma to związku z wykrywaniem infekcji przez avast raczej.

    0