Wštki
kamien8 - Pią Lut 05, 2010 10:24 am
Witam,
zdaje się, że kliknąłem nie to, co potrzeba i od kilku dni samoistnie w FF otwiera mi się strona:
http://www.bet365.com/?affiliate=365_043965 (na niej GData nie wykrywa śmieci).
Nie zauważyłem żadnej logiki, czy sekwencji otwierania.
Wywołanie w/w strony odbywa się poprzez otworzenie nowej zakładki z linkiem:
http://www.directrdr.com/v3.php?pid=320&cid=18085&crid=16838&t=0(0)&cc=616&said=0¶ms=f447ff901701adab638cb3278bb882472e1157d5-uS.u3.wUu.4u%09f.ffsfff%097cKqLvIaL%09wsUSFUk33w%09pTc&pc=0-18085&vurl=http%3A%2F%2Fwklej.org%2Fid%2F274462%2F&mm=45
(przekierowanie długo trwało, dlatego udało mi się go przekleić).
Czesałem system Malwarebytes' Anti-Malware, instalowałem różne programy antywirusowe i niby wszystko OK, ale nowa zakładka ciągle się pojawia.
W związku z tym chciałem prosić o prześledzenie logów i informację, jak się uporać z problemem.
HijackThis
http://wklej.org/id/274445/
OTL logfile
http://wklej.org/id/274450/
OTL Extras
http://wklej.org/id/274451/
GMER
przy uruchomieniu daje coś takiego:
http://wklej.org/id/274462/
Ale później po kliknięciu 'szukaj' zalicza zwis łącznie z całym systemem (lub daję mu za mało czasu na dokończenie operacji [ok 2 min.]).
Pozdrowienia, Adam
mati8898 - Pią Lut 05, 2010 4:47 pm
Przeskanuj plik C:\WINDOWS\system32\DRIVERS\atapi.sys na http://www.virustotal.com/pl/ i podaj wyniki.
Uruchom OTL w oknie Custom Scans/Fixes wklej:
:OTL
O3 - HKU\S-1-5-21-2190550545-1232414451-1314238370-1006\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-2190550545-1232414451-1314238370-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
:Files
C:\RECYCLER
C:\Temp
C:\WINDOWS\tasks\Automatic troubleshooting.job
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"nwiz"=-
"RTHDCPL"=-
"TDispVol"=-
"TPSMain"=-
:Commands
[emptytemp]
kamien8 - Pią Lut 05, 2010 8:10 pm
Dzięki za pomoc.
1. Skanowanie atapi.sys nie jest możliwe. System nie daje dostępu do pliku.
0 bytes size received / Se ha recibido un archivo vacio
OTL Custom Scans
http://wklej.org/id/274774/
OTL logfile
http://wklej.org/id/274769/
OTL Extras
http://wklej.org/id/274770/
Niestety okno cały czas się pojawia. Nie używam innych przeglądarek.
Można jakoś oszacować, czy to co mam jest groźne?
Adam
mati8898 - Pią Lut 05, 2010 9:28 pm
Nie podoba mi się jednak ten plik (wygląda na zainfekowany). W takim razie użyj Combofix i daj log z niego (podczas pobierania i skanu wyłącz wszelkie programy zabezpieczające)
kamien8 - Pią Lut 05, 2010 10:51 pm
Zgodnie z zaleceniami - ComboFix log:
http://wklej.org/id/274872/
Pomimo informacji " * Rezydentny antywirus jest aktywny" daję słowo, że go wyłączyłem.
Pytanie, jeśli będzie OK, jak pozbyć się konsoli odzyskiwania, która uruchamia się przy starcie systemu?
I podobne pytanie. Jest nieco śmiecia, które chciałbym usunąć z systemu przy pomocy OTL, np:
PRC - [2006-02-28 12:42:38 | 000,229,376 | ---- | M] (Apple Computer, Inc.) -- C:\Program Files\Bonjour\mDNSResponder.exe
SRV - [2006-02-28 12:42:38 | 000,229,376 | ---- | M] (Apple Computer, Inc.) [Auto | Running] -- C:\Program Files\Bonjour\mDNSResponder.exe -- (Bonjour Service)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
W związku z tym pytanie, gdzie mogę znaleźć jakiś zgrabny opis jak używać OTL?
Adam
mati8898 - Sob Lut 06, 2010 7:46 am
I podobne pytanie. Jest nieco śmiecia, które chciałbym usunąć z systemu przy pomocy OTL, np:
PRC - [2006-02-28 12:42:38 | 000,229,376 | ---- | M] (Apple Computer, Inc.) -- C:\Program Files\Bonjour\mDNSResponder.exe
SRV - [2006-02-28 12:42:38 | 000,229,376 | ---- | M] (Apple Computer, Inc.) [Auto | Running] -- C:\Program Files\Bonjour\mDNSResponder.exe -- (Bonjour Service)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
W związku z tym pytanie, gdzie mogę znaleźć jakiś zgrabny opis jak używać OTL?
kamien8 - Sob Lut 06, 2010 1:23 pm
Zrobiłem chyba wszystko po kolei.
Dziwne, ale mimo wyłączonego przywracania systemu nadal miałem katalogi System Volume Information.
A w nich niespodzianki
http://wklej.to/lhZl
Wygląda na to, że teraz jest OK.
Wielkie dzięki za pomoc.
Adam
P.S.
Tu dla wszystkiego końcówka loga z DoctorWeb'a.
http://wklej.to/4cjx
mati8898 - Sob Lut 06, 2010 1:27 pm
Dobra, skoro usunięte to nic więcej nie ma.