W nowych kartach wyskakują reklamy

Post23 lis 2011, 11:42

Witam
Problem jest taki, że po kliknięciu na wyniki wyszukiwania google następuje przekierowanie na różne strony z reklamami (a nie na stronę wyszukaną). Przeskanowałam komputer programem Spybot, niestety nie pomogło.
Załączam logi:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post23 lis 2011, 12:08

1) Użyj >Dostępne tylko dla zarejestrowanych użytkowników
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

2) Uruchom OTL i w dolne białe pole wklej to:

Kod: Zaznacz cały

:OTL
[2011-11-23 09:17:05 | 000,000,400 | ---- | M] () -- C:\Windows\Tasks\At1.job
[2011-11-22 18:19:01 | 000,000,000 | ---D | M] -- C:\Users\Tereska\AppData\Roaming\60ECB
[2011-11-22 18:19:38 | 000,000,000 | ---D | M] -- C:\Users\Tereska\AppData\Roaming\CBC6D
[2011-11-22 18:22:16 | 000,060,416 | ---- | C] () -- C:\ProgramData\fastdiag.exe
[2011-11-22 18:22:16 | 000,060,416 | ---- | C] () -- C:\Users\Tereska\AppData\Roaming\certiso.exe
2011-11-23 09:16:26 | 000,000,000 | ---D | C] -- C:\Program Files\LP
O33 - MountPoints2\{5cb084df-1df3-11dd-8586-001d600724cc}\Shell\AutoRun\command - "" = G:\ylr.exe
O33 - MountPoints2\{5cb084df-1df3-11dd-8586-001d600724cc}\Shell\explore\Command - "" = G:\ylr.exe
O33 - MountPoints2\{5cb084df-1df3-11dd-8586-001d600724cc}\Shell\open\Command - "" = G:\ylr.exe
O33 - MountPoints2\{707dc30f-0eab-11dd-a39c-001d600724cc}\Shell\AutoRun\command - "" = G:\ylr.exe
O33 - MountPoints2\{707dc30f-0eab-11dd-a39c-001d600724cc}\Shell\explore\Command - "" = G:\ylr.exe
O33 - MountPoints2\{707dc30f-0eab-11dd-a39c-001d600724cc}\Shell\open\Command - "" = G:\ylr.exe
O20 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000 Winlogon: Shell - (C:\Users\Tereska\AppData\Roaming\60ECB\0724C.exe) -C:\Users\Tereska\AppData\Roaming\60ECB\0724C.exe ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O4 - HKLM..\Run: [\certiso.exe] C:\Users\Tereska\AppData\Roaming\certiso.exe ()
O4 - HKLM..\Run: [\fastdiag.exe] C:\ProgramData\fastdiag.exe ()
O4 - HKLM..\Run: [jusched] C:\Users\Tereska\AppData\Roaming\certiso.exe ()
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [\certiso.exe] C:\Users\Tereska\AppData\Roaming\certiso.exe ()
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [\fastdiag.exe] C:\ProgramData\fastdiag.exe ()
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [D60.exe] C:\Users\Tereska\AppData\Roaming\Microsoft\4CC6\D60.exe ()
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [DATB27E.tmp.exe] C:\Users\Tereska\AppData\Local\Temp\DATB27E.tmp.exe File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [jusched] C:\Users\Tereska\AppData\Roaming\certiso.exe ()
F3 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000 WinNT: Load - (C:\Users\Tereska\AppData\Roaming\CBC6D\lvvm.exe) -C:\Users\Tereska\AppData\Roaming\CBC6D\lvvm.exe ()
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html File not found
O9 - Extra 'Tools' menuitem : Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe File not found
FF - prefs.js..network.proxy.http_port: 64323
FF - prefs.js..network.proxy.type: 1
IE - HKU\S-1-5-21-223324977-3743227840-4098010493-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-223324977-3743227840-4098010493-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:64323

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.

3) Zainstaluj bezpieczniejszą wersję Javy >Dostępne tylko dla zarejestrowanych użytkowników

4) Radzę odinstalować zamulacza c:\program files\common files\akamai/netsession_win_d768ebc.dll

5) Daj nowy log z OTL, raport z usuwania Scriptem, log z USBFix

F.

Post23 lis 2011, 13:03

raport z usuwania scriptem: Dostępne tylko dla zarejestrowanych użytkowników
nowy log z OTL: Dostępne tylko dla zarejestrowanych użytkowników
Co do loga z USB Fix, niestety po restarcie zgubiłam ten plik, więc nie wiem jak go znaleźć... czy jest gdzieś na dysku, czy jeszcze raz go wygenerować?
A co do javy - nie widzę tam wesji dla 32-bit...

Post23 lis 2011, 13:10

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [\certiso.exe] C:\Users\Tereska\AppData\Roaming\certiso.exe File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [\fastdiag.exe] C:\ProgramData\fastdiag.exe File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [D60.exe] C:\Users\Tereska\AppData\Roaming\Microsoft\4CC6\D60.exe File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [DATB27E.tmp.exe] C:\Users\Tereska\AppData\Local\Temp\DATB27E.tmp.exe File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [jusched] C:\Users\Tereska\AppData\Roaming\certiso.exe File not found
O8 - Extra context menu item: Google Sidewiki... - Reg Error: Value error. File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
[2011-11-23 09:16:26 | 000,000,000 | ---D | C] -- C:\Program Files\LP

:Commands
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Daj log z USBFix, ale tym razem z opcji LISTING

.

Post23 lis 2011, 15:01

raport z usuwania się nie wyświetlił po restarcie.
Nowy log z OTL: Dostępne tylko dla zarejestrowanych użytkowników
USBFix: Dostępne tylko dla zarejestrowanych użytkowników

Post23 lis 2011, 15:21

1)

C:\Users\Tereska\AppData\Roaming\wmplayer.exe

Sprawdź go na --> Dostępne tylko dla zarejestrowanych użytkowników albo na Dostępne tylko dla zarejestrowanych użytkowników albo na Dostępne tylko dla zarejestrowanych użytkowników

2) Wyłącz w Spybocie rezydenta Tea Timer, bo przeszkadza w usuwaniu.

3) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [\certiso.exe] C:\Users\Tereska\AppData\Roaming\certiso.exe File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [\fastdiag.exe] C:\ProgramData\fastdiag.exe File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [D60.exe] C:\Users\Tereska\AppData\Roaming\Microsoft\4CC6\D60.exe File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [DATB27E.tmp.exe] C:\Users\Tereska\AppData\Local\Temp\DATB27E.tmp.exe File not found
O4 - HKU\S-1-5-21-223324977-3743227840-4098010493-1000..\Run: [jusched] C:\Users\Tereska\AppData\Roaming\certiso.exe File not found
O8 - Extra context menu item: Google Sidewiki... - Reg Error: Value error. File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Sądząc po logu USBFix - to jest OK w sprawie skrótów.

F.

Post23 lis 2011, 15:46

raport OTL po restarcie: Dostępne tylko dla zarejestrowanych użytkowników
nowy log po skanowaniu: Dostępne tylko dla zarejestrowanych użytkowników

A virustotal pokazał niezbyt ciekawy wynik - trojan Dostępne tylko dla zarejestrowanych użytkowników Jak sobie z nim poradzić?

Post23 lis 2011, 15:54

Tak myślałam, że to może być fałszywy plik, bo powstał w chwili infekcji.
Usuniemy go:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2011-11-23 09:14:09 | 000,286,208 | ---- | M] () -- C:\Users\Tereska\AppData\Roaming\wmplayer.exe

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post23 lis 2011, 16:09

raport OTL Dostępne tylko dla zarejestrowanych użytkowników
nowylog OTL: Dostępne tylko dla zarejestrowanych użytkowników

Post23 lis 2011, 16:33

Wg mnie - jest OK.

W USBFix kliknij na przycisk UNINSTALL

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

To wszystko.

F.

Post23 lis 2011, 16:36

Bardzo dziękuję!