pukownik Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 witam, proszę o pomoc bo zainfekowały mnie tracking cookies a skutek ich działania jest taki że przy użyciu wyszukiwarek internetowych (np Google i Live search) po kliknięcu w wyszukany link w większości wypadków zostaję przekierowany na niechciane strony. Dopiero po dwóch trzech próbach klikania w wyszukany link wyświetla się strona własciwa. Jeśli zaś wklejać wyszukany link w pasek adresowy przeglądarki to jest OK. Posiadam Windows XP prof, IE8 oraz Norton Internet Security który normalnie tych wirusów nie widzi. Dopiero przy skanowaniu je usuwa ale one zaraz wracają przez sieć i zabawa od nowa. Próbowałem Kaspersky TDS Killer, OTL i przed chwilą ComboFix ale problem jest dalej. Poniżej lista najczęściej wyłapywanych (niestety tylko na chwilę) wirusów przez NIS a załączniku wygenerowany log ComboFix'a. lista najczęściej podawanych przez NIS wirusów: :Cookie:radek@doubleclick.net/ - ten czasem występuje jako tylko . doubleclick.net/ Cookie:radek@counter.hitslink.com/ Cookie:radek@tradedoubler.com/ Cookie:radek@hit.gemius.pl/ Cookie:radek@quantserve.com/ - ten czasem występuje jako tylko .quantserve.com/ często się pojawiają: post process Orphan cleanup Cookie:radek@smartadserver.com/ Cookie:radek@kaspersky.122.2o7.net/ Cookie:radek@serving-sys.com/ Cookie:radek@atdmt.com/ Cookie:radek@tribelfusion.com/ Cookie:radek@experts-exchange.com/ Cookie:radek@od.yieldmanager.com/ Cookie:radek@pixel.rubiconproject.com/ Cookie:radek@odbrite.com/ Cookie:radek@tap2-cdn.rubiconproject.com/ Cookie:radek@kontera.com/ dziękuję za pomoc pukownik p.s. nie jestem znawcą systemu więc proszę o w miarę proste instrukcje. ComboFix.txt Odnośnik do komentarza
Landuss Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 zainfekowały mnie tracking cookies a skutek ich działania jest taki że przy użyciu wyszukiwarek internetowych (np Google i Live search) po kliknięcu w wyszukany link w większości wypadków zostaję przekierowany na niechciane strony. Dopiero po dwóch trzech próbach klikania w wyszukany link wyświetla się strona własciwa. Tracking cookies to wyniki do zignorowania a nie do przejmowania się nimi. To nie jest żadna infekcja i również nie wydaje się by to była wina przekierowań. Cookies a więc ciasteczka były, są i będą u każdego użytkownika internetu. A co to takiego to jest do poczytania w pierwszym lepszym linku google: http://support.microsoft.com/gp/cookies/pl ComboFix to zaś nie jest narzędzie do używania na start a już na pewno nie na tym forum. Proszę ten program w prawidłowy sposób odinstalować bo potrzebny już nie będzie. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Radek\Pulpit\ComboFix.exe" /uninstall Jeśli zaś chodzi o dalsze czynności to wykonaj wymagane tutaj logi z OTL + Gmer Odnośnik do komentarza
pukownik Opublikowano 5 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2012 witam, - przypomnę problem, z góry dziękuję za wsparcie: przy użyciu wyszukiwarek internetowych (np Google i Live search) po kliknięcu w wyszukany link w większości wypadków zostaję przekierowany na niechciane strony. Dopiero po dwóch trzech próbach klikania w wyszukany link wyświetla się strona własciwa. Jeśli zaś wklejać wyszukany link w pasek adresowy przeglądarki to jest OK. Posiadam Windows XP prof, IE8 oraz Norton Internet Security który normalnie tych wirusów nie widzi. wykonałem zlecone rozkazy eksperta i załączam logi OTL i GMER. Załączam dwa to logi z OTL (90 dniowy bo problem ma dłużej niż 30 dni). Co do GMERa to załączam log ze skanu ale nic na czerwono się nie wygenerowało. Wszystkie instrukcje prócz tych dla zaawansowanych użytkowników wykonałem po kolei. Jedyne co zrobiłem inaczej to to że zaznaczyłem wszystkie dyski zamiast tylko systemowego C: ale lista w toku skanowania kolejnych dysków się nie wydłuzyła. Jeśli potrzeba mogę wygenerować OTL 30 dni i GMER tylko z dysku C. OTL 05kwiet.Txt GMER log 5kwiet.txt Odnośnik do komentarza
Landuss Opublikowano 5 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2012 W logach widać infekcję w stanie aktywnym, która między innymi wyłącza Centrum zabezpieczeń Windows (nie wiem czy to zauważyłeś u siebie) 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\Iulphpdum.job C:\WINDOWS\System32\osuninstq.dll C:\Program Files\mozilla firefox\searchplugins\babylon.xml :OTL DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\UimBus.sys -- (UimBus) DRV - File not found [Kernel | System | Stopped] -- System32\Drivers\Uim_IM.sys -- (Uim_IM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Radek\USTAWI~1\Temp\catchme.sys -- (catchme) O3 - HKU\S-1-5-21-1708537768-362288127-725345543-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Start > Uruchom > wklep services.msc Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie, usługę zastartuj przyciskiem. 3. Pokazujesz nowo wykonany log z OTL (bez ekstras) na normalnym ustawieniu 30 dni oraz log z Kaspersky TDSSKiller Odnośnik do komentarza
pukownik Opublikowano 6 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Witam sedecznie. wszystko wykonane. nowy log z OTLa (wykonany po wklejeniu otrzymanego tekstu) w załączniku. Punkt 2 też wykonany. Punkt 3 czyli praca TDSSKillera zakończyła się bez wyszkanych threats-ów - dopiero za drugim razem kiedy odptaszkowałem: Verifydriver digital signature oraz detect TDLFS file system to wtedy TDSSKiller znalał 1 threats: unsigned file, service: AtcL001 suspicium object, medium risk ale ponieważ TDSS zaproponował mu SKIP z czym się zgodziłem więc żaden raport wygenerowany nie został. Dla porządku zrobiłem restart i na tym koniec. 04062012_165030(kopia).txt Odnośnik do komentarza
Landuss Opublikowano 6 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Wklej tutaj jeszcze nowe logi z OTL z opcji Skanuj. I sprawdź czy dalej masz te przekierowania. Odnośnik do komentarza
pukownik Opublikowano 7 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 7 Kwietnia 2012 witam już prawie świątecznie, załączam dzisiejszy świeży log z OTL. Wczoraj i dziś kilka razy używałem wyszukiwarek (Google i Live search) i nie zostałem przekierowany ani razu choć w poprzednich paru dniach przekierowywany byłem w ponad 60% i to często po parę razy musiałem klikać w wyszukany link aby się raczył otworzyć. Jednakże z ostatecznym werdyktem o sukcesie wstrzymam sie ponieważ nie raz trafiały się już wybiórczo pojedyńcze dni bez tych przekierowań i wydaje mi się, że zdarzało się to raczej (ale nie na pewno) po moich czyszczeniach NIS-em i TDSSKillerem co raz pomagało na trochę a innymi razami wcale - a może były to zwykłe zbiegi okoliczności. Apropos sugesti o wyłączaniu systemu zabezpieczeń Windows to od kiedy mam NIS to nie obserwowałem tego ale jak jakieś 4-7 miesięcy temu miałem Kaperskiego to wtedy kilka razy zdarzyło sie przy starcie systemu, że zabezpieczenia były wyłączone co zgłaszał system i Kaspersky też ale ja to od razu właczałem i sądziłem, że to jakiś objaw przy uruchamianiu bo po włączeniu ręcznym ochrony było potem długo (np 1-2 tygodnie) ok. Ale któregoś dnia jesienią Kaspersky jakby nawalił bo baza nie dawała się łatwo aktualizować a potem była już klapa (aktualizacja dochodziła do ok. 20% i koniec) dlatego przeszedłem po paru takich wpadkach na wersję testewą 30 dniową Kasperskiego aby w międzyczasie zainstalować NIS. Starego Kasperskiego nie było mi żal bo miał już niedużo do końca ważności licencji. Prócz tych objawów niczego innego niepokojącego nie zauważałaem aż do lutego kiedy zaczęły się problemy z którymi walczymy obecnie. Aktualnie obesrwuję że czasami IE8 działa masakrycznie wolno, czyszczenie narzędzia/opcje internetowe/usuń - nie pomaga. Pomaga dopiero opcje internetowe/zaawansowane/przywróć ustawienia zaawansowane/resetuj - wtedy od razy działa szybko ale np następnego dnia znów bywa że powoli - to jest nowa sprawa do jakiegoś tygodnia. Poobserwuję to - a może coś da się łatwo z tym zrobić albo ja coś źle robię? OTL 07kwiet.Txt Odnośnik do komentarza
Landuss Opublikowano 7 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2012 Według loga nic podejrzanego już tu nie ma. Możesz przejść do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj oprogramowanie: "{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java 6 Update 30 "Mozilla Thunderbird (3.1.20)" = Mozilla Thunderbird (3.1.20) Szczegóły: KLIK Odnośnik do komentarza
pukownik Opublikowano 12 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 12 Kwietnia 2012 czesc, bardzo dziękuję za pomoc. Sam nie dałbym rady w żaden sposób. Pozostało mi zrobienie jeszcze dwóch aktualizacji. Teraz wszystko chodzi dobrze. W podziękowaniu wsparłem forum symboliczną (do Kredyt Banku) wpłatą 20zł. Nie mam pojęcia czy to adekwatne do waszego wysiłku. Dla mnie bardzo cenny jest fakt że pomagacie ludziom nie pytając o nic. Osobiście pozdrawiam Staff'a i cały zespół. Mam nadzieję, że będę mógł liczyć na Was w potrzebie. Tym bardziej dziękuję. Pukownik Odnośnik do komentarza
Rekomendowane odpowiedzi