Notoryczne zamykanie przeglądarki, podejrzenie infekcji-adberni

[adberni]

Podobny przypadek miałem kilka dni temu, pomogło zainstalowanie w trybie awaryjnym MALWAREBYTES 1.6, przeskanowanie systemu, na niewiele się to zdało, następnie zalogowanie do systemu normalnie i otwarcie strony gdzie były takie przypadki jak w w/w opisie a program sam rozwiązał ten problem blokując jakis adres z ip XXXX.XXX....myślę,że to mój synek grając w gry sieciowe dostał od kogoś prezent....

Ps. Dla Admina
Przepraszam, że dopisuję do tematu, czytałem regulamin ale sądzę, że mogę jakoś pomóc.

[greh]

Film oglądasz bezpośrednio na YT czy na jakiejś stronie?
Jeśli na YT to faktycznie podaj logi wg tego co podał Cosik_Ktosik,
a jeśli na jakiejś stronie innej, wtedy na niej może być skrypt (niekoniecznie złośliwy) który robi takie psikusy.
Aczkolwiek co generuje to okienko? Antywirus czy przeglądarka?

[adberni]

W moim przypadku było tak: chciałem otworzyć np: portal peb.pl i było ok ale w momencie wybrania jakiegoś konkretnego działu np /nawigacje/automapa wyskakiwało okienko bezpośrednio generowane z przeglądarki firefox lub IE nie ma znaczenia z jakiej przeglądarki chciał bym otworzyć dany temat, co ciekawe to to, że nawet otwierajac antywira w moim przypadku NIS 2011 też wyskakiwala informacja o wykrytym wirusie na stronie. Nie byłem w stanie otworzyć żadnej strony z jakimkolwiek programem do walki z tym czymś. Udało się jedynie w trybie awaryjnym z obsługą sieci sciągnąć program i zainstalować i w/w strona otwierała sie bez żadnych komunikatów.

[kominekl]

Witam, proponuję dać specjalistom logi do sprawdzenia -> http://forum.hotfix.pl/bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html

Wykonaj to.

[greh]

Ja bym obstawiał, że ktoś mógł Ci zrobić psikusa i napisał skrypt vbs który o różnych porach to robi, lub przy odpowiednich zdarzeniach. Nie wykluczam jednak infekcji, więc podaj to, o co proszono już kilkukrotnie.

[adberni]

Oto moje logi OTL, DDS, GMER dotyczące mojej sprawy nie tej z przed postu wyżej.

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

oto moje logi

Tu się robią jaja. Mam nadzieję, że moderatorzy jakoś to uporządkują. Ten log tez sprawdzę, ale wklejaj logi na -> Dostępne tylko dla zarejestrowanych użytkowników.

Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługi -> NVIDIA Update i NVIDIA Display Driver Service.

Następnie odinstaluj - Malwarebytes Anti-Malware (zła forma) i Trojan Remover (zbędny).

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4
IE - HKU\S-1-5-21-796845957-115176313-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
[2011-10-21 20:51:44 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\bobaipd4.default\extensions\battlefieldheroespatcher@ea.com
O4 - HKU\S-1-5-21-796845957-115176313-839522115-1003..\Run: [DTlite] C:\Documents and Settings\Mama\Dane aplikacji\Microsoft\DTlite.exe ( )
O4 - HKU\S-1-5-21-796845957-115176313-839522115-1003..\Run: [Java] C:\Documents and Settings\Mama\Dane aplikacji\Microsoft\jusched.exe File not found
O32 - AutoRun File - [2011-12-06 12:53:34 | 050,608,128 | R--- | M] (Setup) - I:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2011-12-29 14:05:12 | 000,000,053 | R--- | M] () - I:\Autorun.inf -- [ CDFS ]
@Alternate Data Stream - 142 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:1CE11B51

:Files
C:\Documents and Settings\Mama\Dane aplikacji\Malwarebytes
C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes
C:\Program Files\Malwarebytes' Anti-Malware
C:\Documents and Settings\Mama\Moje dokumenty\Simply Super Software
C:\Program Files\Trojan Remover
C:\Documents and Settings\Mama\Dane aplikacji\Simply Super Software
C:\Documents and Settings\All Users\Dane aplikacji\Simply Super Software
C:\Program Files\ESET
C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\DTlite.exe
C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\update.exe
C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\jusched.exe
C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\Setup.exe
C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\localstore.rdf
C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\Setup.dat
C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\data2.cab
C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\data1.cab

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"GBB36X Configure"=-
"NeroFilterCheck"=-
"NvCplDaemon"=-
"NvMediaCenter"=-
"nwiz"=-
"USBToolTip"=-
[HKEY_USERS\S-1-5-21-796845957-115176313-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
"DAEMON Tools Lite"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL, wykonane dokładnie (tym razem brak loga Extras.txt) zgodnie z tym -> http://hotfix.pl/articles.php?article_id=143.

[adberni]

kominekl Też nie wiem czemu jestes w tym poscie?

Adminowi dziękuję za uporządkowanie tematu.


Proszę o analizę logów OTL, DDS, GMER

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

kominekl Też nie wiem czemu jestes w tym poscie?

Heh . Źle się zrozumieliśmy. To co napisałem powyżej to skrypt czyszczący dla Ciebie . Sprawdziłem Twój log i opracowałem dla Niego odpowiedni skrypt. Moja wzmianka o "jajach" wynikała z tego, że w jednym temacie widziałem logi użytkownika Greenpower i Twoje, a to nie Wasz temat . Mi nic do tego, więc postanowiłem Wam pomóc mimo złamania regulaminu . Wykonaj instrukcje z poprzedniego posta.

[adberni]

ok zaraz to uczynię

Już jestem po w/w skrypcie ale podczas jego wykonywania system sie zawiesił, próbowałem jeszcze raz ale to samo, zamieszczam log z OTL po teoretycznie wykonanym skrypcie:

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Log ucięty mimo, że widać z Niego, ze nie wykonałaś zaleceń odnośnie deinstalacji. Wykonaj wszystko od Usług. .Powtórz wykonywanie skryptu z poprzedniego postu, ale w trybie awaryjnym. Następnie podaj dwa logi z OTL -> OTL.txt i Extras.txt.

[adberni]

Faktycznie nie zastosowalem sie do w/w teraz zrobilem to w trybie awaryjnym, skrypt sie wykonal otl poprosil o ponowne uruchomienie systemu, tak też zrobiłem oto log po zastosowaniu skryptu a zaraz ponim wykonam skan ponowny i zamieszcze 2 logi z otl

Dostępne tylko dla zarejestrowanych użytkowników


tutaj ponowny skan ale wyskoczył tylko 1 log

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Nie można pominąć początku -> :OTL. To co jest w cytacie całe jest do wklejenia. Przeczytaj dokładnie instrukcję odnośnie robienia logów z OTL (nie zaznaczasz opcji Rejestr -> Skan Dodatkowy -> Użyj Filtrowania i dlatego nie masz Extras.txt, jeśli sam się nie wyświetli to znajduje się tam,gdzie OTL). Tym razem na pewno wykonasz poniższe instrukcję dokładnie .

Nie podoba mi się tutaj ten antywirus. Wygląda na lekko "pogryzionego". Usuniemy Go, bo i tak nie działa właściwie. W tym celu pobierz i tego -> Dostępne tylko dla zarejestrowanych użytkowników.

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4

:Reg
[HKEY_USERS\S-1-5-21-796845957-115176313-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (koniecznie oba).

[adberni]

ok wykonalem to jeszcze raz juz po odinstalowaniu NIS
oto log po wykonaniu skryptu
Dostępne tylko dla zarejestrowanych użytkowników

zaraz beda inne logi

otl Dostępne tylko dla zarejestrowanych użytkowników
ext Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

No i kończymy już .

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-796845957-115176313-839522115-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.

:Files
C:\Documents and Settings\Mama\Dane aplikacji\facemoods.com

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ESET Online Scanner]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Nastąpi restart, po którym w OTL naciśnij -> Sprzątanie.

Odinstaluj starą wersję Java`y -> Java(TM) 6 Update 26 i zainstaluj najnowszą -> Dostępne tylko dla zarejestrowanych użytkowników.
Odinstaluj starą wersję programu do odczytu .PDF -> Adobe Reader 9.5.0 - Polish i zainstaluj najnowszą -> http://www.hotfix.pl/infusions/pro_down ... r-p515.htm.
Przeczyść dysk i rejestr CCleaner`em -> http://www.hotfix.pl/infusions/pro_down ... r-p158.htm.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware -> http://www.hotfix.pl/infusions/pro_down ... e-p164.htm, jeśli coś znajdzie usuń i daj raport.