Bohater123 Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Mam pytanie jak wyłączyć mcafee antivirus scan, gdyż mam problemy z komputerem (czasami uruchamia mi się mob4world i inne stronki z reklamami, zamiast normalnej strony - podejrzewam wirusy ;/) chciałem zrobić loga z combofixa ale wyświetlił się alert że należy wyłączyć wyżej wymieniony program (mcafee...) z góry dziękuje za pomoc. mam win 7 , laptopa toshibe l500 satellite Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Temat w złym dziale, diagnostyka infekcji gdzie indziej (sekcja "Dział pomocy doraźnej"). Przenoszę. podejrzewam wirusy ;/)chciałem zrobić loga z combofixa ale wyświetlił się alert że należy wyłączyć wyżej wymieniony program (mcafee...) ComboFix to nie jest aplikacja "do loga", uświadom sobie co i jak: KLIK. Diagnostykę prowadzi się za pomocą kompletnie innych nieinwazyjnych aplikacji, czyli OTL + GMER. . Odnośnik do komentarza
Bohater123 Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 witam w ostatnim czasie na moim laptopie zauważyłem pewne niepokojące zmiany. czasami(około 1-2 % przypadków) zamiast pożądanej przeze mnie strony internetowej, uruchamia się inna , zazwyczaj jest to mob4world.com(strona z reklamami typu wyślij sms to wygrasz itp) zauważyłem też, że czasami przy otwieraniu niektórych stron (np. instalki ) wyświetla się taki komunikat "Strona zgłoszona jako dokonująca ataków! Strona 78.140.161.61 została zgłoszona jako strona stanowiąca zagrożenie i została zablokowana zgodnie z ustawieniami bezpieczeństwa." nigdy wcześniej się z czymś takim nie spotkałem, więc proszę o sprawdzenie logów bo chcę się upewnić, że nie mam syfu na komputerze. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Tematy jak zauważyłeś połączyłam, nie było potrzeby zakładać dubla, spodziewana kontynuacja. Komentarz dodatkowy do ComboFix, nie pobiera się go z "lewych" serwisów, oryginał jest zlokalizowany całkiem gdzie indziej. A serwis "lewy", bo po pierwsze nie ma autoryzacji, po drugie rehostuje kopię ComboFix i tu nie można się spodziewać, że będzie ona aktualna (ostatnio nawet ktoś na forum tu się nadział na problem "wygasłej kopii" narzędzia pobranej nie skądinąd tylko właśnie z tego URL co tu widać). [2012-02-20 21:36:38 | 000,000,000 | --SD | C] -- C:\ComboFix_www.INSTALKI.pl_ W kwestii problemu podstawowego: objawy korespondują do tego co jest w systemie. Infekcja jest obecna, a przeglądarki idą przez proxy ustawione przez infekcję. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [622.exe] C:\Program Files (x86)\LP\2B7B\622.exe () O4 - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000..\Run: [622.exe] C:\Users\testserwis\AppData\Roaming\Microsoft\2B7B\622.exe () O4 - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000..\Run: [Haali] C:\Users\testserwis\AppData\Roaming\csrss.exe () O4 - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000..\Run: [MONOGRAM] C:\Users\testserwis\AppData\Roaming\BF9348.exe (ÐšÐ¾Ñ€Ð¿Ð¾Ñ€Ð°Ñ†Ð¸Ñ ÐœÐ°Ð¹ÐºÑ€Ð¾Ñофт) F3:64bit: - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000 WinNT: Load - (C:\Users\testserwis\AppData\Roaming\3EB18\lvvm.exe) - C:\Users\testserwis\AppData\Roaming\3EB18\lvvm.exe () F3 - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000 WinNT: Load - (C:\Users\testserwis\AppData\Roaming\3EB18\lvvm.exe) - C:\Users\testserwis\AppData\Roaming\3EB18\lvvm.exe () FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 57859 FF - prefs.js..network.proxy.type: 1 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57859 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57859 IE - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57859 IE - HKU\S-1-5-21-1671051526-3310137868-3446376999-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Files C:\Users\testserwis\AppData\Roaming\*.exe C:\Users\testserwis\AppData\Roaming\3EB18 C:\Users\testserwis\AppData\Roaming\BA33E C:\Users\testserwis\AppData\Roaming\Microsoft\2B7B C:\Program Files (x86)\LP C:\Windows\tasks\At1.job C:\Users\testserwis\AppData\Roaming\mozilla\Firefox\Profiles\fd2sj6lk.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Wykonaj nowy log z OTL z opcji Skanuj (bez Extras). Dołącz log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
Bohater123 Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 log po usunięciu i nowy log z otl otl2.txt OTL3.Txt Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Skrypt pomyślnie wykonany. Infekcja zdaje się być usunięta. Wykonaj kolejne czynności: 1. W OTL uruchom funkcję Sprzątanie, która skasuje z dysku OTL z jego kwarantanną oraz szczątki ComboFix. 2. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. O ile coś zostanie wykryte, przedstaw log z narzędzia. . Odnośnik do komentarza
Bohater123 Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 zaraz prześlę loga, ponieważ "coś" jest wykryte. edit: może mieć znaczenie to, że zmieniłem kolejność punktów, które mi zleciłaś ? bo najpierw robię skanowanie, a jeszcze śmieci z OTL nie usuwałem. Malwarebytes Anti-Malware (Okres testowy) 1.60.1.1000 www.malwarebytes.org Wersja bazy: v2012.02.22.05 Windows 7 x64 NTFS Internet Explorer 8.0.7600.16385 testserwis :: TESTSERWIS-TOSH [administrator] Ochrona: Włączona 2012-02-22 22:40:42 mbam-log Typ skanowania: Pełne skanowanie Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 352285 Upłynęło: 58 minut(y), 50 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 0 (Nie znaleziono zagrożeń) Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 0 (Nie znaleziono zagrożeń) Wykrytych plików: 2 C:\Users\testserwis\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\11300002i\splwow64.exe (Rootkit.Dropper) -> Nie wykonano akcji. C:\Users\testserwis\Downloads\SoftonicDownloader_dla_colin-mcrae-rally-2005-singleplayer.exe (PUP.BundleOffer.Downloader.S) -> Nie wykonano akcji. (zakończone) inaczej nie mogę dać loga, bo za pomocą dodaj pliki- wyskoczyła mi informacja, że nie mam uprawnień. Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 inaczej nie mogę dać loga, bo za pomocą dodaj pliki- wyskoczyła mi informacja, że nie mam uprawnień. W zasadach działu oraz Pomocy forum jest to wyjaśnione. Załączniki akceptują tylko jeden format rozszerzenia *.TXT a nie *.LOG. Poza tym, log krótki i spokojnie może iść jako zawartość posta bez korowodów dodatkowych, przeklejam. edit: może mieć znaczenie to, że zmieniłem kolejność punktów, które mi zleciłaś ? bo najpierw robię skanowanie, a jeszcze śmieci z OTL nie usuwałem. Podaję ustaloną kolejność działań i ta nie powinna być przestawiana. Sprzątanie w OTL miało na celu zapobiec re-detekcji obiektów już usuniętych, ujrzanych w kwarantannie OTL. Akurat tu się się zdarzyło, że MBAM nie widzi zawartości owej kwarantanny, ale to przypadkowość. "coś" jest wykryte Nie ma troski. Pierwszy wynik kierujący na Thinstall wygląda na fałszywy alarm (dla porównania: KLIK), a drugi jest sklasyfikowany jako "adware", gdyż instalator nie jest czysty tylko przepakowany z ofertami / śmieciami dodatkowymi. Jako zamknięcie czyszczenia: 1. Sprzątanie w OTL nadal aktualne ... 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj aktualizację Windows (brak SP1 + IE9) oraz programów. Oto co widać na Twojej liście zainstalowanych: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 30"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Shockwave Player" = Adobe Shockwave Player"Gadu-Gadu 10" = Gadu-Gadu 10"Mozilla Firefox 10.0.1 (x86 pl)" = Mozilla Firefox 10.0.1 (x86 pl)"Opera 11.60.1185" = Opera 11.60 Szczegóły aktualizacyjne: KLIK. Dodatkowo, oglądnij potencjalne alternatywy dla potwora GG10: KLIK. . Odnośnik do komentarza
Bohater123 Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 nie występują już żadne problemy z przekierowaniami itp.. temat do zamknięcia. serdecznie dziękuje za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi