Wyswietlanie okien, przekierowywanie

[uavrotdetonat]

Dzien dobry.Nie moge wyleczyc komputera.Objawy samowlaczanie sie okien ze START.Przekierowywanie stron w Firefox na Microsoft shop.Samo wpisuje sie w przegladarce " zxvm/)ZXCVM&--#60;&--#62;|/

*zxcv

*

 

Dziwne dzwieki z glosniczka na plycie glownej.

Malwarebytes wykryl Trojan.Agent w katalogu Windows Run 145... Zostalo to usuniete.

Teraz nic podejrzanego nie wykrywa.

Combofix wykryl PriceGong.Rowniez to zostalo usuniete.

Jesli nie odlacze sieci to przy skanowaniu Malwarebytes ten program zostaje zamkniety zanim zdaze zareagowac na okno z zapytaniem czy zamknac go.

Norton 360 niby zabezpiecza moj komputer,dlatego uruchamiam Malwarebytes i Combofix w trybie awaryjnym.

Czesto dzialaja tylko klawisze zx v m.zxcvm,\*zxcv

 

Dodaje jeszcze logi**********z*********z**.****zxcvm,.\/*

log.txt

Extras.Txt

OTL.Txt

[Landuss]

W raportach aktywna infekcja Loop + Conficker. Poza infekcją są tutaj śmieciarskie toolbary o charakterze sponsoringowym i tego też się musisz pozbyć.

 

1. Przejdź w panel usuwania programów i odinstaluj te pozycje:

 

pdfforge Toolbar v5.4 / Ask Toolbar / MediaBar 2.0 / DVDVideoSoft Toolbar / Max_IT Toolbar / yBabylon_English Toolbar / ooVoo_Video_Chat Toolbar / PHPNukeIT Toolbar / Softonic-Eng7 Toolbar / programma di aggiornamento Ask Toolbar Updater

 

2. Zastosuj narzędzie AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Programmi\File comuni\Spigot
C:\Programmi\Application Updater
C:\WINDOWS\Tasks\AE99BA3B918A2ABB.job
C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
C:\Documents and Settings\UserXp\Dati applicazioni\Search Settings
C:\Documents and Settings\UserXp\Dati applicazioni\phone bend cool
C:\Documents and Settings\All Users\Dati applicazioni\Bleh kind cool memo
 
:Services
xvnum
xlbrd
wofkfam
gchqfzrho
czfqw
clr_optimization_v2.0.50727_32
cdmmsfmyl
acahn
sony_ssm.sys
MRENDIS5
catchme
Application Updater
 
:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ApnUpdater]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2322:TCP"=-
[HKEY_USERS\S-1-5-21-57989841-884357618-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cool Memo First Boob"=-
"SearchSettings"=-
 
:OTL
NetSvcs: wofkfam - file not found
NetSvcs: acahn - file not found
NetSvcs: gchqfzrho - file not found
NetSvcs: xlbrd - file not found
NetSvcs: czfqw - file not found
NetSvcs: exirvgfu - file not found
NetSvcs: xvnum - file not found
NetSvcs: cdmmsfmyl - file not found
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-57989841-884357618-1606980848-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=browsersearch
IE - HKU\S-1-5-21-57989841-884357618-1606980848-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=it_IT&apn_ptnrs=UG&apn_dtid=&apn_uid=90B57FCC-C700-4FB4-8902-075E86FE6B0C&apn_sauid=C5F755EC-2018-4B82-B290-D3BAB3D07EF4
IE - HKU\S-1-5-21-57989841-884357618-1606980848-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/webResults.html?src=ieb&q={searchTerms}
IE - HKU\S-1-5-21-57989841-884357618-1606980848-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1572363
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "ooVoo Video Chat Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1572363&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:5.4
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:5.4
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1572363&q="
[2010/01/29 22.52.39 | 000,000,000 | ---D | M] (PHPNukeIT Toolbar) -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\extensions\{2c965f3f-8efd-4bfc-a2c5-1672845fdbbf}
[2010/08/07 14.07.34 | 000,000,000 | ---D | M] (Softonic-Eng7 Toolbar) -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
[2010/03/16 22.15.52 | 000,000,000 | ---D | M] (Max IT Toolbar) -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\extensions\{609368c3-88c6-4b9d-9f8e-28e29bbb6131}
[2010/08/23 13.34.00 | 000,000,000 | ---D | M] (ooVoo Video Chat Toolbar) -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\extensions\{e5a1e26f-0d1d-4307-868f-fbd9a374ab54}
[2010/08/07 14.08.30 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
[2012/02/01 17.35.48 | 000,002,392 | ---- | M] () -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\searchplugins\askcom.xml
[2010/05/16 17.39.28 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\searchplugins\conduit.xml
[2009/03/10 16.12.31 | 000,000,000 | ---D | M] (PHPNukeIT Toolbar) -- C:\Programmi\Mozilla Firefox\extensions\{2c965f3f-8efd-4bfc-a2c5-1672845fdbbf}
[2009/01/10 15.04.58 | 000,000,000 | ---D | M] (BearShare MediaBar) -- C:\Programmi\Mozilla Firefox\extensions\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}
[2012/04/13 11.48.12 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAMMI\PDFFORGE TOOLBAR\FF
[2012/02/03 16.35.11 | 000,000,744 | ---- | M] () -- C:\Programmi\mozilla firefox\searchplugins\eBay-it.xml
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-57989841-884357618-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found.
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowasz.

 

4. Następnie uruchamiasz OTL ponownie (zaznacz opcję pomiń pliki Microsoftu), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz log powstały w punkcie 3.

[uavrotdetonat]

xcv,.\xcvm,.\/*

OTL.Txt

[Landuss]

A gdzie jest log powstały w punkcie 3? Jeśli chodzi o sam skrypt to nie został wykonany. Proszę to powtórzyć przy wyłączonym oprogramowaniu zabezpieczającym.

[uavrotdetonat]

A gdzie jest log powstały w punkcie 3? Jeśli chodzi o sam skrypt to nie został wykonany. Proszę to powtórzyć przy wyłączonym oprogramowaniu zabezpieczającym.

Dzien dobry,dziekuje za odpowiedz.

Bardzo dobre pytanie.Wczoraj w odpowiedzi byly 2 logi, w tym ten z pkt 3 pobrano 1 raz.Teraz jest tylko ten drugi.

 

Nie mam mozliwosci pelnego sterowania moim systemem.Wlasciwie jest ono minimalne.Czeste piski z glosniczka plyty glownej.Nadal wyskakuja okienka Windowsa.

Brak przekierowan na strone Microsoft shop.

Wirus odcina klawiature i czesciowo mysz np. do logowania sie na tym forum.4 godziny zmagan z systemem*celem wyslania loga/ niewiele dzis daly .Obecnie pisze z komputera siostrzenca.

Uruchomilem dzis ponownie OTL ze skryptem do wykonania.Norton 360 byl wylaczony.Mimo to nie bylo restartu (poza moim restartem przyciskiem na obudowie).Postaram sie ponownie przeslac pliki z OTL.

 

P.s.Prosze sprecyzowac czy w OTL mam zaznaczyc okienka Lop itd czy wystarczy all users przy tym skanowaniu?Reszte okienek zostawiam tak jak jest.

Ile godzin wykonuje sie ten srypt?5 godziny uplynelo i jeszcze trwa?Jest jakas mozliwosc podejrzenia operacji,etc...?W oasku OTL pojawil sie tekst: program nie odpowiada.

[Landuss]

Bardzo dobre pytanie.Wczoraj w odpowiedzi byly 2 logi, w tym ten z pkt 3 pobrano 1 raz.Teraz jest tylko ten drugi.

 

To nie był wcale log z punktu 3 tylko log ze skanu OTL i to zrobiony na nieprawidłowych ustawieniach (wklejanie dodatkowych warunków do okna). Nie wiem skąd to brałeś skoro ja niczego takiego nie zalecałem zrobić. Log powielony usunąłem.

 

Nie mam mozliwosci pelnego sterowania moim systemem.Wlasciwie jest ono minimalne.Czeste piski z glosniczka plyty glownej.Nadal wyskakuja okienka Windowsa.

Wirus odcina klawiature i czesciowo mysz np. do logowania sie na tym forum.4 godziny zmagan z systemem*celem wyslania loga/ niewiele dzis daly .Obecnie pisze z komputera siostrzenca.

 

Wirus ci nie odcina klawiatury ani myszy bo nie ma takich wirusów więc to akurat nie tego wina. To może być problem sprzętowy i jeżeli ten problem nadal będzie występował to właśnie w dziale sprzętowym radzę założyć temat.

 

P.s.Prosze sprecyzowac czy w OTL mam zaznaczyc okienka Lop itd czy wystarczy all users przy tym skanowaniu?Reszte okienek zostawiam tak jak jest.

Ile godzin wykonuje sie ten srypt?5 godziny uplynelo i jeszcze trwa?Jest jakas mozliwosc podejrzenia operacji,etc...?W oasku OTL pojawil sie tekst: program nie odpowiada.

 

Jeśli nie zalecam ci nic zaznaczać to nie zaznaczasz to oczywiste. Zaś sam skrypt powinien wykonać się szybko. Jeśli masz z tym problem to możesz próbować w trybie awaryjnym ale wcześniej chcę dostać nowe logi z OTL aby sprawdzić czy rzeczywiście coś się wykonało czy nie.

[uavrotdetonat]

Ok.Dziekuje za wskazowki.

Pliki z OTL.

Plik a.txt to log z OTL z wlaczona opcja Skip Microsoft Files.

a.Txt

OTL.Txt

[Landuss]

Nadal nic a nic nie wykonane. Proszę to wykonać w trybie awaryjnym Windows.

[uavrotdetonat]

OTL ver 3.2.39.2 (nie odpowiada)

 

NetSvcs:wofkfam-file not found

NetSvcs: acahn file not found

NetSvcs: gchqfzrho file not found

NetSvcs: xlbrd file not found

NetSvcs: czfqw file not found

NetSvcs: exirvgfu file not found

------------------------------------------------------

Processing NetSvcs:wofkfam-file not found...

[Landuss]

Co to ma znaczyć? Masz jakiś problem w awaryjnym?

[uavrotdetonat]

Niestety tak.

"Tak" wyglada okno programu OTL 3.2.39.2 w trybie AWARYJNYM WIDOWS XP.

 

Chyba, ze pol godzinki wykonania skryptu to zbyt malo czasu, ale dlaczego wyswietlil "nie odpowiada" ?

[Landuss]

A spróbuj nieco zmienić skrypt i zamiast tego na końcu:

 

:Commands

[emptytemp]

 

Wstaw to:

 

:Commands

[reboot]

[uavrotdetonat]

Dziekuje za kolejna wskazowke.

Niestety , nadal w normalnym trybie i awaryjnym z siecia, OTL wykonuje blyskawicznie tylko czesc skryptu opiana przeze mnie wyzej i nie odpowiada po 20-30minutach od uruchomienia.

 

Wczoraj OTL podczas wykonywania skryptu jeszcz pokazywal przez 20 minut w pasku dzialan : KILLING PROCESSES,DO NOT INTERRUPT....Ostatecznie jednak pojawial sie napis: Nie odpowiada (patrz wczesniejsze moje odpowiedzi).

 

Zauwazylem,ze jak podlacze klawiature i wcisne np r to wywoluje okno wykonawcze Windowsa.Literka z lub x lub m wywoluje wielokrotnie okno Windowsa Wlasciwosci lub inne Systemu.Kopiuje sie katalog ze zdjecami na pulpicie.

Po odlaczeniu klawiatury to samo zachowanie z Klawiatura na Monitorze.

Klawiatura na Monitorze funkcjonuje tylko gdy uruchomie system bez podlaczonej klawiatury.

Niestety wolno urchamia sie Firefox i wlacza sie natretnie sporadycznie Microsoft shop-dzisiaj tylko 1 raz na ok 10 restartow systemu.

 

Przy probie odinstaloania Ask toolbar przedwczoraj system prosil o zamkniecie Int.Explorer-wcale go nie uzywam.Klik OK i ponownie prosba o zamkiecie IE-taka petla.

Watpie czy sie odinstalowal ten Ask toolbar lub cos co sie podszywa pod niego.Chociaz nie ma go w Odinstaluj Programy.Usunalem z rejestru pozostalosci po nim "odnoszace sie do Common Agent".

[picasso]

Podaj zaległy log z GMER, bo tu nie odbyło się sprawdzanie pod kątem rootkit.

 

 

Niestety , nadal w normalnym trybie i awaryjnym z siecia, OTL wykonuje blyskawicznie tylko czesc skryptu opiana przeze mnie wyzej i nie odpowiada po 20-30minutach od uruchomienia.

 

Ze skryptu kompletnie wytnij sekcję :Commands oraz wszystkie linie z NetSvcs. Ponów skrypt z poziomu Trybu awaryjnego Windows.

 

 

Przy probie odinstaloania Ask toolbar przedwczoraj system prosil o zamkniecie Int.Explorer-wcale go nie uzywam.Klik OK i ponownie prosba o zamkiecie IE-taka petla.

 

Ale proces Internet Explorer (iexplore.exe) mógł być uruchomiony w tle. To że nie używasz / nie uruchamiasz ręcznie Internet Explorer nie oznacza, że "coś" go nie uruchomiło samodzielnie (np. infekcja).

 

 

.

Edytowane 25 Maja 2012 przez picasso
25.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso