Problem z reklamą

[Mypc123]

Przy każdym właczeniu przeglądarki (Mozilli) otwiera mi się taka reklama, troche mnie to denerwuje, jak moglbym to usunac?Dodam jeszcze, że włacza mi sie ona ~~30s ;/

Extras.Txt

OTL.Txt

[Landuss]

Masz infekcję z paczek Tibia i cała ta grupa obiektów do niej należy + keylogger rjlb:

 

[2012-09-03 09:13:54 | 000,005,632 | ---- | C] () -- C:\Windows\SysWow64\rjlb.dll

[2012-07-14 22:12:31 | 000,484,958 | ---- | C] () -- C:\Windows\update.exe

[2012-07-14 22:12:31 | 000,108,217 | ---- | C] () -- C:\Windows\os4.exe

[2012-07-14 22:12:31 | 000,059,904 | ---- | C] () -- C:\Windows\zlib1.dll

[2012-04-23 18:04:50 | 000,249,461 | ---- | C] () -- C:\Windows\Tibia.dat

 

Przejdźmy do usuwania.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\SysWOW64\ws2_32.dll

 

Zresetuj system.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240"
IE - HKCU\..\URLSearchHook: {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240"
IE - HKCU\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb"
O3 - HKLM\..\Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
C:\Windows\SysWOW64\rjlb.dll
C:\Windows\update.exe
C:\Windows\os4.exe
C:\Windows\zlib1.dll
C:\Windows\Tibia.dat
C:\Users\User\AppData\Roaming\OpenCandy
C:\Users\User\AppData\Roaming\26a8e6df64a631be6bf17aac00120984
 
:Reg
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Mypc123]

Punkt 2 wykonałem, i po włączeniu komputera w notatniku pojawilo sie takie coś, nie wiem czy to ważne.

 

http://wklej.org/id/978720/

 

+Mozilla włącza się już normalnie, czy muszę robić punkt 3i4?Nie chciałbym stracić wszystkich haseł itp.

 

Edit.

Zauważyłem błąd "Nie można uruchomić Centrum zabezpieczeń systemu Windows":

 

http://speedy.sh/JCeAC/coto.png

 

Edit.

 

Jeżeli nie to daje skan z pkt 5 jeszcze dzisiaj.

 

http://wklej.org/id/978753/

[Landuss]

+Mozilla włącza się już normalnie, czy muszę robić punkt 3i4?Nie chciałbym stracić wszystkich haseł itp.

 

Te punkty też wykonaj. To jest ważne i nie obawiaj się bo nic nie stracisz..

 

W kwestii centrum zabezpieczeń - wykonaj log z Farbar Service Scanner

[Mypc123]

Daje wyniki skanowania po użyciu AdwCleaner skan, i OTL.

Ogólnie już nie mam ,,brak odpowiedzi'' w niektorych programach. Dzieki Ci, oby to już koniec.

A właśnie, czy radziłbyś pozmieniać hasła po tym keyloggerze, i czy on był tylko na TIBIE czy na wszystko co pisze?

AdwCleanerS2.txt

OTL.Txt

[picasso]

Nie podałeś raportu z Farbar Service Scanner.

 

 

A właśnie, czy radziłbyś pozmieniać hasła po tym keyloggerze, i czy on był tylko na TIBIE czy na wszystko co pisze?

 

To konieczne po usunięciu logera danych. Powinno chodzić o hasła do gry, aczkolwiek prewencyjnie zmień także w innych serwisach.

 

 

.

[Mypc123]

Dzieki.Skan z FFS

FSSs.txt

[picasso]

Kroki końcowe:

 

1. Odinstaluj / usuń wszystkie dodatki i boty do Tibia, które ostatnio pobierałeś. To w jednym z nich jest źródło keyloggera. Odinstaluj też Norton Security Scan, to niepełnosprawny skaner i prawdopodobnie zainstalowany jako sponsor innego programu. Przez SHIFT+DEL dokasuj z dysku ten folder:

 

C:\Users\User\AppData\Roaming\Babylon

 

2. Któraś infekcja wyłączyła usługi systemowe. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługi zastartuj przyciskiem. Omijam trzecią wyłączoną usługę, czyli Windows Defender, gdyż jest on zbędny przy czynnym antywirusie.

 

3. AdwCleaner zresetował wyszukiwarki IE. Należy je ponownie ustawić. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

6. O zmianie haseł już mówiłam.

 

7. Odinstaluj stare Java i Silverlight oraz zaktualizuj pozostałe wyliczone poniżej programy: KLIK. Wg raportu są tu wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416018FF}" = Java™ 6 Update 18 (64-bit)
"{26A24AE4-039D-4CA4-87B4-2F86417005FF}" = Java™ 7 Update 5 (64-bit)
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 24
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.5)
"{CEE2613D-3B53-4447-BA2D-E88C08272581}" = LibreOffice 3.3
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Mozilla Thunderbird (3.1.9)" = Mozilla Thunderbird (3.1.9)
"Office14.Click2Run" = Moduł Szybka instalacja pakietu Microsoft Office 2010
"Opera 12.12.1707" = Opera 12.12
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)

 

Uwaga poboczna: w systemie jest stare Nowe Gadu-Gadu. Zainteresuj się alternatywami: WTW, Kadu, Miranda NG, AQQ. Opisy: KLIK.

 

 

.

[Mypc123]

W punkcie 3 małe błedy wyskakuje takie coś, nie wiem czy jest sens to robic( nie znam sie ) , ale nie uzywam Internetu Explorera.

[picasso]

Nie wkleiłeś wszystkiego, ominąłeś nagłówek pliku Windows Registry Editor Version 5.00 niezbędny do zdefiniowania, że to plik rejestru.

 

 

.

[Mypc123]

Dziękuje Wam picasso i Landuss !