netox Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Witam serdecznie moj problem polega na tym, że od jakiegoś czasu kiedy w Firefoxie wpisze cos w google.pl i kliknę w jakiś link wcale nie prowadzi mnie do tego, który opisuje wyszukiwarka. Nie zdaża się to na każdym linku jaki kliknę ale np. co 3. Przegladarka szybko w pasku adresu przemieni z 5-6 domen i zamiast na allegro ląduje na ihavenet.com czy jakichś innych stronach. Szukałem wcześniej pomocy i wykonałem m. in. Skanowanie Avastem, Kasperskim, Esetem i Avirą, do tego SpyBot i Spy Hunter, Malwarebytes Anti-malware. Przeskanowałem również system Hijackthis i przeanalizowałem loga po czym usunełem podejrzane wpisy, a problem dalej nie zniknął. Mam Win 7 x64, w zalaczniku logi. Mam nadzieje że ktoś coś poradzi z góry dziekuje Edit: Oczywiście szukałem pomocy i widziałem już podobne tematy jednak żaden z nich mi nie pomógł, np. wcale nie znalazlem u siebie toolbara, pliku czy programu który u innych był odpowiedzialny za takie samo zachowanie. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 moj problem polega na tym, że od jakiegoś czasu kiedy w Firefoxie wpisze cos w google.pl i kliknę w jakiś link wcale nie prowadzi mnie do tego, który opisuje wyszukiwarka. Jest w systemie infekcja, w postaci tej pary plików startowanych metodą przez Harmonogram: [2012-12-15 09:55:15 | 000,000,300 | ---- | M] () -- C:\Windows\tasks\mvtatvqowp.job[2012-10-23 21:51:11 | 000,094,208 | RHS- | C] () -- C:\Windows\SysWow64\msctf2.dll Infekcja ta wyłącza: Centrum zabezpieczeń, Windows Defender i Przywracanie systemu. Szukałem wcześniej pomocy i wykonałem m. in. Skanowanie Avastem, Kasperskim, Esetem i Avirą, do tego SpyBot i Spy Hunter, Malwarebytes Anti-malware. SpyHunter to naciągacz, program wątpliwej reputacji. Spybot bazuje na przestarzałym modelu, lata świetności za sobą, mało dziś przydatny. Skaner on-line mks_vir to archaizm = do deinstalacji. Przeskanowałem również system Hijackthis i przeanalizowałem loga po czym usunełem podejrzane wpisy, a problem dalej nie zniknął. O HijackThis zapomnij i usuń. Narzędzie HijackThis jest 32-bitowe i niezgodne z systemem x64. Pokazuje nieprawidłowe dane, bo nie potrafi pobrać rzeczywistych 64-bitowych danych. Dlatego są dziwne wpisy w logu i mnóstwo "not found" (co nie jest prawdziwym odczytem). Teraz mnie interesuje co nim usuwałeś i czy aby nie uszkodziłeś czegoś. W Twoim logu jest też taki kuriozalny wpis: O20 - AppInit_DLLs: (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs) - File not found Kto wie czy to nie szkody po używaniu HijackThis. Przechodząc do usuwania infekcji i szczątków po skanerach: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\msctf2.dll C:\Windows\tasks\mvtatvqowp.job C:\ProgramData\Avira C:\ProgramData\Kaspersky Lab C:\ProgramData\PC Tools C:\ProgramData\Spybot - Search & Destroy C:\Program Files (x86)\PC Tools C:\Program Files (x86)\Common Files\PC Tools C:\Users\netox\AppData\Roaming\ESET C:\Users\netox\AppData\Local\ESET C:\Users\netox\AppData\Roaming\QuickScan C:\Windows\SysNative\drivers\PCTSD64.sys C:\sh4ldr :OTL IE - HKCU\..\SearchScopes\{3CF9B0EC-1BC6-488C-8E73-90C03FE04412}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=4ce4df5e-4921-4328-b2d2-fd5475eeaeb9&apn_sauid=2879BC05-6550-4599-8484-89D298DA3C30" FF - HKCU\Software\MozillaPlugins\wacom.com/WacomTabletPlugin: C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll File not found O20 - AppInit_DLLs: (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs) - File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [AdobeBridge] File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Włącz funkcje wyłączone przez infekcję: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender celowo omijam (potem należy zainstalować AV). Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
netox Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Jaka rozbudowana odpowiedź bardzo pozytywnie mnie zaskoczyła, sporo ciekawych rzeczy się dowiedziałem. Nie cieszy mnie fakt stanu systemu ale może jakoś go wyleczę, a w niedalekiej przyszłości postawię nowy system od poczatku wraz z formatowaniem calego dysku, stworze backup takiego systemu i kiedy problemy sie pojawią szybko go wczytam. Mam ciekawy program Acronis Boot Disk i Disk director oryginalne i nim chciałbym to zrobić co myślisz? Znasz moze ten program? Jeżeli chodzi o to co zrobiłem już nie pamiętam co usunełem w HiJackThis wpisy które wydawały mi sie nieznajome lub te które analiza log'a na oficjalnej stronie programu pokazała jako niebezpieczne. Myślę, że nic się nie stało złego, troche jednak coś tam wiem na temat komuterów. Zaraz zajmę się czyszczeniem i dorzucę logi. Dziekuje serdecznie za pomoc. Edit: Wykonałem wszytkie twoje polecenia. Po wykoniu skryptu i restarcie otrzymałem plik OTL_raport.txt wykonałem nowy skan i log zalaczam w odpowiedzi. Miałem odpaloną przeglądarke podczas skanowania czy to ma jakiś wpływ? OTL_raport.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Leczenie pomyślne. Możemy przejść do wykończeń: 1. Przez SHIFT+DEL dokasuj te odpadki po MKS i Ad-aware: C:\Program Files\SkanerOnline C:\Windows\SysWow64\rp_stats.dat C:\Windows\SysWow64\rp_rules.dat 2. W OTL uruchom Sprzątanie, co skasuje z dysku OTL i jego kwarantannę. 3. W Dzienniku zdarzeń przewija się błąd WMI numer 10. Napraw narzędziem Fix-it: KB2545227. 4. Usuń starą Java + Adobe Reader i zastąp najnowszymi, zaktualizuj Google Chrome: KLIK. Wg OTL obecnie masz w systemie wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4) CHR - plugin: Native Client (Enabled) = C:\Users\netox\AppData\Local\Google\Chrome\Application\21.0.1180.79\ppGoogleNaClPluginChrome.dll 5. Na koniec wyczyść foldery Przywracania systemu: KLIK. Jeżeli chodzi o to co zrobiłem już nie pamiętam co usunełem w HiJackThis wpisy które wydawały mi sie nieznajome lub te które analiza log'a na oficjalnej stronie programu pokazała jako niebezpieczne. Na przyszłość: automatyczne "analizery" logów HijackThis zupełnie niewiarygodne. Brak inteligencji człowieka żywego, brak adekwatnej bazy danych adresującej wszystkie możliwe kombinacje, na dodatek sam HijackThis jest mierny (mnóstwa rzeczy nie sprawdza, które aktualnie należy skanować). Taka analityka musi być wykonywana manualnie, nie poprzez automat, bo jak stwierdzisz czy automat ma rację, skoro nie potrafisz ocenić samodzielnie raportu? Nie cieszy mnie fakt stanu systemu ale może jakoś go wyleczę, a w niedalekiej przyszłości postawię nowy system od poczatku wraz z formatowaniem calego dysku Hmmm? Nie rozumiem z tym "wyleczę". To już tu wykonał mój skrypt. Efekt przekierowań w Firefox powinien ustąpić. Format w obecnej sytuacji uważam za przesadę. Musisz sobie wyszukać znacznie lepsze powody niż tu omawiane. Mam ciekawy program Acronis Boot Disk i Disk director oryginalne i nim chciałbym to zrobić co myślisz? Znasz moze ten program? Znam. Nie wiem tylko o co właściwie mnie tu pytasz. Robienie kopii zapasowej ważne i przydatne, Acronis do tego celu OK. "Dla postraszenia" pokazuję link jakie infekcje teraz chodzą w obiegu, czyli szyfrujące bezpowrotnie dane użytkownika: KLIK. Backup, backup! . Odnośnik do komentarza
netox Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Wykonałem znów wszystkie polecenia Bardzo się cieszę, że trafiłem na to forum, pomoc bardzo profesjonalna no i niesamowicie szybka. Wydaje mi się że wyciągnąłem wnioski na przyszłość. HiJackThis odpada, a co z ComboFix'em zawsze uważałem że jest to genialny programik który stawia często tragicznie zabite kompy na nogi? Poza tym Backup trzeba zrobić jak najszybciej. O Acronis pytałem ze względu na to czy warto nim robić te backupy co jakiś czas. Jesteś ekspertem to zwykłe pytanie o poradę/opinię. Temat który podałaś na końcu skutecznie mnie wystraszył. Jeszcze raz bardzo dziękuje za pomoc. Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 a co z ComboFix'em zawsze uważałem że jest to genialny programik który stawia często tragicznie zabite kompy na nogi? To wyjaśniam w przyklejonym: KLIK. Z pewnością nie jest to program w rodzaju innych skanerów. Do skanów na domowym systemie programy o innym charakterze. Prócz "Skanowanie Avastem, Kasperskim, Esetem, Avirą, Malwarebytes Anti-malware" np.: Dr. Web CureIt, Emsisoft Emergency Kit, Comodo Cleaning Essentials, Hitman Pro, Kaspersky TDSSKiller, Malwarebytes Anti-Rootkit (MBAR). . Odnośnik do komentarza
Rekomendowane odpowiedzi