Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wyszukiwarka Google - przekierowywanie wyników na strony z reklamami

tymek

Przez tymek
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

tymek

tymek

Opublikowano
Opublikowano

Witam serdecznie.

 

Problem jak w temacie. Klikanie w linki po wyszukaniu dowolnego hasła w Google skutkuje przekierowaniem na dziwne strony, czasem muszę 5 razy kliknąć w jeden link, żeby wejść w odpowiadający mu adres. Problem wystepuje w Google Chrome, nie sprawdzałem w innych przeglądarkach, bo tylko z tej korzystam.

 

Moja konfiguracja:

Windows 7 32 bit, Intel Core 2 Duo P7350 2GHz, 3 GB RAM

 

Logi w załączeniu.

 

Dzięki z góry za pomoc :)

OTL.Txt

Extras.Txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Są tu conajmniej dwie infekcje: ukryte zadanie w Harmonogramie kierujące do pliku DLL (odpowiadające za przekierowania Google) oraz sfałszowany explorer.exe (komponent trojana kojarzony z przechwytywaniem danych). Pod kątem tego drugiego: powinien być jeszcze jeden wpis w rejestrze, w sferze, której domyślnie OTL nie sprawdza. Podaj mi skan dostosowany, uruchom OTL, ustaw wszystkie opcje na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

hklm\Software\Microsoft\Active Setup\Installed Components|explorer.exe /RS

 

Klik w Skanuj. Przedstaw log.

 

 

 

.

Odnośnik do komentarza
tymek

tymek

Opublikowano
  • Autor
Opublikowano

Zrobiłem jak kazałeś, oto log:

 

 

OTL logfile created on: 5/10/2012 12:12:54 AM - Run 2

OTL by OldTimer - Version 3.2.42.3 Folder = E:\Download

Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation

Internet Explorer (Version = 9.0.8112.16421)

Locale: 00000409 | Country: Stany Zjednoczone | Language: ENU | Date Format: M/d/yyyy

 

3.00 Gb Total Physical Memory | 1.69 Gb Available Physical Memory | 56.27% Memory free

3.50 Gb Paging File | 1.72 Gb Available in Paging File | 49.20% Paging File free

Paging file location(s): c:\pagefile.sys 512 512 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 30.03 Gb Total Space | 5.55 Gb Free Space | 18.47% Space Free | Partition Type: NTFS

Drive D: | 25.05 Gb Total Space | 5.34 Gb Free Space | 21.31% Space Free | Partition Type: NTFS

Drive E: | 233.01 Gb Total Space | 22.23 Gb Free Space | 9.54% Space Free | Partition Type: NTFS

 

Computer Name: TYMEKHP | User Name: Tymek | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

 

========== Custom Scans ==========

 

< hklm\Software\Microsoft\Active Setup\Installed Components|explorer.exe /RS >

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}\\StubPath: C:\Windows\system32\install\explorer.exe Restart [2009/10/28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation)

 

< End of report >

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Jak już coś to kazał. OK, mam wszystkie dane. Przechodzimy do usuwania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\system32\install
C:\Windows\System32\uk-UA5.dll
C:\Windows\tasks\RWMVMECYUK.job
C:\Program Files\1268998497
C:\Users\Tymek\AppData\Roaming\chrtmp
C:\Users\Tymek\AppData\Roaming\Babylon
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
 
:Services
.1268998497
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Włącz funkcje zdeaktywowane przez malware:

  • Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem.
  • Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików"

3. Jest tu jakiś dziwny plik mający kropkę w nazwie na końcu:

 

File not found -- C:\Windows\System32\drivers\mshdmd.sys.

 

Ten plik jest niekasowalny standardową metodą, gdyż system go nie widzi. Usuń plik za pomocą Delete FXP Files.

 

4. Wygeneruj nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję po raz drugi). Dołącz log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

 

.

Edytowane przez picasso
13.06.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...