Przekierowywanie na różne strony i inne błędy

Post13 paź 2012, 18:48

Witam, od pewnego czasu gdy wchodzę na różne strony internetowe (linki z googla) przekierowywuje mnie na inne strony (zazwyczaj anonse erotyczne lub strony z nielegalnymi filmami). Co więcej, od niedawna przeglądając strony Operą zaczely wyskakiwać dziwne błędy typu: Dostępne tylko dla zarejestrowanych użytkowników oraz komputer zaczął zdecydowanie wolniej funkcjonować. Po kliknięciu na 'ok' nic się nie dzieje. Proszę o sprawdzenie moich logów:

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Z góry dzięki wielkie

Post13 paź 2012, 21:58

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {806FAACC-15C8-4FE7-84CC-46FA354A66B9}
IE:64bit: - HKLM\..\SearchScopes\{806FAACC-15C8-4FE7-84CC-46FA354A66B9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=HPNTDF&pc=HPNTDF&src=IE-SearchBox
IE:64bit: - HKLM\..\SearchScopes\{EC31CD9E-32FA-4401-ABB4-DDFB63752E8B}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {806FAACC-15C8-4FE7-84CC-46FA354A66B9}
IE - HKLM\..\SearchScopes\{806FAACC-15C8-4FE7-84CC-46FA354A66B9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=HPNTDF&pc=HPNTDF&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{EC31CD9E-32FA-4401-ABB4-DDFB63752E8B}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&AF=109805&babsrc=SP_ss&mntrId=86fc233b000000000000c446197e4387
IE - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000\..\SearchScopes\{806FAACC-15C8-4FE7-84CC-46FA354A66B9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=HPNTDF&pc=HPNTDF&src=IE-SearchBox
IE - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000\..\SearchScopes\{EC31CD9E-32FA-4401-ABB4-DDFB63752E8B}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_268.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012-08-24 11:30:40 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Program Files (x86)\mozilla firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012-03-10 19:32:37 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O3 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000..\Run: [4Y3Y0C3AWF7XXVXWUIAGGW] C:\Recycle.Bin\B6232F3A2B4.exe (Dostępne tylko dla zarejestrowanych użytkowników)
O4 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000..\Run: [Document Explorer] C:\Users\Jurek\Documents\explorer.exe (skies éclusiers)
O4 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000..\Run: [Download Manager] C:\Users\Jurek\Downloads\explorer.exe (skies éclusiers)
O4 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000..\Run: [Keikypo] C:\Users\Jurek\AppData\Roaming\Hora\vuvei.exe ()
O4 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000..\Run: [Profile Manager] C:\Users\Jurek\explorer.exe (skies éclusiers)
O4 - HKLM..\Run: [AdobeART] C:\Users\Jurek\AppData\Roaming\AdobeART.exe (blinderont mulets)
O4 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000..\Run: [TaskMgr] C:\Users\Jurek\AppData\Roaming\Microsoft\taskmgr.exe (re'inte'grerais consommable)
O4 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000..\Run: [xivwxuaggnirrpeecys] C:\Users\Jurek\AppData\Roaming\xivwxuaggnirrpeecys.exe (Microsof)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O7 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: msmessang = C:\Program Files (x86)\Windows Media Player\win-mplayer-setup.exe
O7 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Trolltech = C:\Users\Jurek\AppData\Roaming\C81D01.exe (Microsof)
O7 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_20)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_20)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.5.0)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.5.0)
[2012-10-12 17:14:25 | 000,098,304 | ---- | C] (skies éclusiers) -- C:\Users\Jurek\AppData\Roaming\g6j8v.exe
[2012-10-12 13:02:31 | 000,102,400 | ---- | C] (blinderont mulets) -- C:\Users\Jurek\AppData\Roaming\AdobeART.exe
[2012-10-12 12:52:46 | 000,098,304 | -H-- | C] (skies éclusiers) -- C:\Users\Jurek\Documents\explorer.exe
[2012-10-12 12:48:22 | 001,081,556 | ---- | C] (Microsof) -- C:\Users\Jurek\AppData\Roaming\xivwxuaggnirrpeecys.exe
[2012-10-12 12:45:29 | 000,098,304 | -H-- | C] (skies éclusiers) -- C:\Users\Jurek\explorer.exe
[2012-09-30 12:05:47 | 000,000,000 | ---D | C] -- C:\Users\Jurek\AppData\Roaming\Yndu
[2012-09-30 12:05:47 | 000,000,000 | ---D | C] -- C:\Users\Jurek\AppData\Roaming\Lusi
[2012-09-30 12:05:47 | 000,000,000 | ---D | C] -- C:\Users\Jurek\AppData\Roaming\Koomof
[2012-03-10 19:32:01 | 002,371,152 | ---- | C] (DownVision ) -- C:\Users\Jurek\AppData\Local\setup.exe
[2009-07-14 02:20:27 | 000,044,756 | -HS- | C] (Microsof) -- C:\Users\Jurek\AppData\Roaming\C81D01.exe
[2012-10-13 18:18:27 | 000,000,048 | ---- | M] () -- C:\Users\Jurek\AppData\Roaming\C81D01.dat
[2012-10-13 11:36:04 | 000,000,162 | ---- | M] () -- C:\Windows\SysWow64\inv.vbs
[2012-10-13 11:36:00 | 000,057,634 | ---- | M] () -- C:\Users\Jurek\AppData\Roaming\zqmkrehUkpoKfsafsaZg.exe

:Files
C:\Windows\tasks\*.*
C:\Users\Jurek\AppData\Roaming\EurekaLog
C:\Users\Jurek\AppData\Roaming\{D94BA408-F110-488B-A65E-3AE7945F79E6}
C:\Users\Jurek\AppData\Roaming\_MDLogs
C:\Users\Jurek\AppData\Roaming\Ypliq
C:\Users\Jurek\AppData\Roaming\Yndu
C:\Users\Jurek\AppData\Roaming\Wiwuly
C:\Users\Jurek\AppData\Roaming\Koomof
C:\Users\Jurek\AppData\Roaming\Hora
C:\Users\Jurek\AppData\Local\Temp

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[resethosts]
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z Combofix -> http://www.hotfix.pl/articles.php?article_id=41 + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + log z pełnego skanowania Malwarebytes`em -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL.

Post14 paź 2012, 15:48

Dostępne tylko dla zarejestrowanych użytkowników log z usuniecia
Dostępne tylko dla zarejestrowanych użytkowników log z adwcleaner
Dostępne tylko dla zarejestrowanych użytkowników combofix
Dostępne tylko dla zarejestrowanych użytkowników tdsrootkit
Dostępne tylko dla zarejestrowanych użytkowników malwarebytes (pliki w kwarantannie, nic nie kasowałem)
Dostępne tylko dla zarejestrowanych użytkowników nowe otl

Problem występuje nadal, wciąż mnie przekierowywuje.

Post14 paź 2012, 20:20

ADWCleaner.

Uninstall.

Combofix.

Wejdź w START -> URUCHOM -> i wklej tam -> "C:\Users\Jurek\Desktop\ComboFix.exe" /uninstall .

(pliki w kwarantannie, nic nie kasowałem)

Jeśli usunąłeś pliki do kwarantanny to usuń je teraz stamtąd (Usuń Wszystko).

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: msmessang = C:\Program Files (x86)\Windows Media Player\win-mplayer-setup.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 9019 = C:\PROGRA~3\LOCALS~1\Temp\mschqir.scr (re'serve's noueront)

:Files
C:\Users\Jurek\Desktop\mbam-setup-1.65.0.1400.exe
C:\Program Files (x86)\Windows Media Player\win-mplayer-setup.exe
C:\PROGRA~3\LOCALS~1\Temp
C:\Users\Jurek\Desktop\tds
C:\Windows\temp
C:\Qoobox
C:\Windows\erdnt
C:\Users\Jurek\Desktop\ComboFix.exe
C:\Users\Jurek\AppData\Local\Temp
C:\Windows\SysWow64\%APPDATA%
C:\Users\Jurek\Desktop\tdsskiller.zip
C:\Windows\SysNative\drivers\etc\hosts.ics
C:\Windows\tasks\*.*
C:\Users\Jurek\Desktop\adwcleaner.exe
C:\Windows\SysWow64\xmlfilter9.dll
$recycle.bin /alldrives
Recycle.Bin /alldrives
c:\users\Default\AppData\Local\temp

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"=-
"SunJavaUpdateSched"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro36]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro36.sys]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"=-
"IgfxTray"=-
"Persistence"=-

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post15 paź 2012, 20:16

Dostępne tylko dla zarejestrowanych użytkowników log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników log OTL
Dostępne tylko dla zarejestrowanych użytkowników log Extras

Wielkie dzięki

Post16 paź 2012, 19:19

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O7 - HKU\S-1-5-21-3695242839-1835544974-1419543738-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0

:Files
C:\Windows\temp
$RECYCLE.BIN /alldrives
C:\Users\Jurek\AppData\Roaming\C81D01.exe
C:\Windows\SysNative\drivers\etc\hosts.ics
C:\Windows\tasks\*.*
C:\Users\Jurek\AppData\Roaming\C81D01.dat
C:\Windows\SysWow64\inv.vbs
C:\Users\Jurek\AppData\Roaming\AutoUpdate

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

Post17 paź 2012, 13:23

Dostępne tylko dla zarejestrowanych użytkowników log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników nowy log otl
Dostępne tylko dla zarejestrowanych użytkowników log extras
Dostępne tylko dla zarejestrowanych użytkowników log z Autoruns

Post18 paź 2012, 15:30

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IgfxTray
Persistence
RTHDVCPL

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AERTFilters
Capture Device Service
cvhsvc
ezSharedSvc
GameConsoleService
HPDrvMntSvc.exe
IAStorDataMgrSvc
LMS
MBAMScheduler
MBAMService
Microsoft Office Groove Audit Service
odserv
ose
osppsvc
PnkBstrA
RtVOsdService
sftlist
sftvsa
Skype C2C Service
SkypeUpdate
UNS
wlidsvc
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

catchme

HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32

msacm.dvacm
msacm.MPEGacm
msacm.ulmp3acm
msacm.vorbis

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Logi.

Następnie podajesz nowe logi z OTL.

Post19 paź 2012, 11:15

Dostępne tylko dla zarejestrowanych użytkowników log z OTL
Dostępne tylko dla zarejestrowanych użytkowników log Extras

+

Dostępne tylko dla zarejestrowanych użytkowników nowy log z AutoRuns

Post19 paź 2012, 18:17

Autoruns.

Nie usunięto tego o co prosiłem. Popraw, a następnie podaj nowe logi z OTL.

Post21 paź 2012, 14:17

powinno byc ok.
Dostępne tylko dla zarejestrowanych użytkowników log otl
Dostępne tylko dla zarejestrowanych użytkowników otl extras
Dostępne tylko dla zarejestrowanych użytkowników

Post21 paź 2012, 21:24

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Files
C:\Users\Jurek\Desktop\autorunn
$RECYCLE.BIN /alldrives
C:\Users\Jurek\AppData\Local\Temp
C:\TEMP
C:\Windows\temp
C:\Users\Jurek\Documents\AutoRuns3.arn
C:\Windows\SysNative\drivers\etc\hosts.ics
C:\Windows\tasks\*.*
C:\Users\Jurek\Documents\AutoRuns2.rar
C:\Users\Jurek\Desktop\Autoruns.zip

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation

Zainstaluj SP1 -> Dostępne tylko dla zarejestrowanych użytkowników.

"{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java(TM) 6 Update 20 (64-bit)
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 24
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java(TM) 7 Update 5

Odinstaluj to oprogramowanie i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish

Odinstaluj to oprogramowanie i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

Post30 paź 2012, 13:38

Wybacz, że tak długo to trwało:

Dostępne tylko dla zarejestrowanych użytkowników log z usuwania

wszystkie punkty wyżej zrobione. Problemy nie występują. Wielkie dzięki

Post30 paź 2012, 20:31

kuraqq pisze:Wybacz, że tak długo to trwało:

Dostępne tylko dla zarejestrowanych użytkowników log z usuwania

wszystkie punkty wyżej zrobione. Problemy nie występują. Wielkie dzięki

Czy temat można zamknąć?

Post01 lis 2012, 23:26

tak, wielkie dzięki jeszcze raz