Skocz do zawartości

Zarchiwizowany

Ten temat jest archiwizowany i nie można dodawać nowych odpowiedzi.

wasioo

Adware i prawdopodobnie dużo innych śmieci

Polecane posty

Przy każdym uruchomieniu komputera włącza się program "spottyface.exe", instaluje się FLVTube Player, zmienia strona startowa w Firefoxie (oraz standardowe szukanie z google na Ask.com)

Mam zainstalowanego ObjectDocka, którego nie mogę odinstalować za pomocą "dodaj/usuń programy"

A na dodatek prawdopodobnie zainstalowany jest jakiś keylogger (brat, po tym jak się przyznał stwierdził, że nie pamięta którego dokładnie zainstalował).

Raz na jakiś czas (szczególnie przy przeglądaniu internetu) komputer łapie dziwne zawiechy, które trwają około sekundy, jednak powtarzają się dość często i są denerwujące - może to akurat nie jest wina żadnego złośliwego oprogramowania - może mam jakieś problemy z dyskiem...

Takie są skutki zostawienia na 4 dni netbooka w rękach młodszego brata (przynajmniej te widoczne skutki a co z resztą to aż boję się myśleć).

Proszę o pomoc w usunięciu skutków jego zabaw (i mojej głupoty ;) ) oraz o jakieś rady co do zabezpieczenia systemu na przyszłość (aktualnie mam avasta, ale widzę że nie jest on chyba dobrym programem) a ja tymczasem ściągnę OTL i przygotuję loga. Z góry dziękuję za pomoc.

Edit:

Log OTL.txt -> http://wklej.org/id/388698/

Zostało też wygenerowane Extras.txt - potrzebne?

Podczas skanowania avas wykrył Win32:malware-gen w C:\Program Files\update.exe

Link do komentarza
Udostępnij na innych stronach

Malwarebytes znalazł (podczas pełnego skanu) 6 problemów (1 w rejestrze i 5 plików) i sobie z nimi poradził, jednak przy ponownym skanowaniu (tym razem szybkim) wykrył znowu ten sam problem w rejestrze a przy restarcie znowu wyskakuje to:

spottyface.jpg

i w tle uruchamia się instalka FLVTube Player.

Zauważyłem też, że podczas startu systemu na ułamek sekundy mruga jakieś okienko, ale się zamyka i nie wiem co to jest.

Malwarebytes nie odnalazł żadnego keyloggera.

Objectdock jednak dało się usunąć, sorry za zamieszanie.

Link do komentarza
Udostępnij na innych stronach

A próbowałeś zrobić to toporną metodą?

Start->Uruchom->msconfig->uruchamianie

Odznaczyć ten plik przy uruchamianiu, uruchomić ponownie, sprawdzić czy nadal występuje (jeśli tak, trzeba będzie kombinować dalej), jeśli nie - przejść do folderu w którym jest, i go usunąć.

Link do komentarza
Udostępnij na innych stronach

spottyface.jpg

Tutaj? Masz na ekranie podaną ścieżkę w której siedzi to ustrojstwo.

Naprawdę, to tylko takie toporne rozwiązanie, i nie wiadomo na ile skuteczne. Radzę poczekać na kogoś obeznanego w kwestii usuwania wszelkiego robactwa.

Link do komentarza
Udostępnij na innych stronach

Okej, dzięki.

Malwarebytes znowu znalazł zainfekowany wpis w rejestrze: http://wklej.org/id/388757/

Usuwam go z powodzeniem, ale po restarcie znowu się uaktywnia.

No i dalej kwestia keyloggera jest niepewna. Młody mówi, że nie wie czy się zainstalowało, bo "jakoś tak dziwnie się instalka skończyła, zamknęła i wyskoczył jakiś błąd".

A jeszcze co do Avasta. Zanim usunąłem zainfekowane pliki za pomocą Malwarebytes przeskanowałem je Avastem i oczywiście nie wykrył żadnego zagrożenia...

Link do komentarza
Udostępnij na innych stronach

Nie, Avast! nie jest antywirusem, lepiej zainstaluj AVG, albo inne darmowe antywiry.

Co do tego wpisu - szukałem w internecie i znalazłem to :

http://www.threatexpert.com/report.aspx?md...5fc0b3f3f24a20a

Niestety nie mogę znaleźć sposobu jak się go konkretnie pozbyć, musisz poczekać na speca od tego :).

Link do komentarza
Udostępnij na innych stronach

1. Ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów.

2. W OTL w sekcji Rejestr - skan dodatkowy zaznacz opcję Użyj filtrowania, poza tym pozaznaczaj również opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie i kliknij skanuj.

3. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku.

Logi powstałe w krokach 2 oraz 3 (czyli dwa logi z OTL oraz log z GMERa) wrzuć na forum. Najlepiej jako załącznik do posta, albo na wklej.org i daj linki na forum.

Jeśli GMER będzie sprawiał jakieś problemy, to spróbuj wygenerować log w trybie awaryjnym, jeśli i to się nie uda, to napisz, to użyjemy czegoś innego.

Link do komentarza
Udostępnij na innych stronach

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL 
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ManyCam.sys -- (ManyCam)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fl.iamwired.net/
FF - prefs.js..browser.search.defaulturl: "http://fl.iamwired.net/websearch.php?src=tops&search="
FF - prefs.js..keyword.URL: "http://fl.iamwired.net/websearch.php?src=tops&search="
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O21 - SSODL: Sockms - {AC6CA001-2AE1-40D6-A574-0BA583F22765} - C:\WINDOWS\System32\mannet.dll File not found
@Alternate Data Stream - 178 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:1AAB2E68
@Alternate Data Stream - 136 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:B755D674

:Commands
[emptyflash]
[emptytemp]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log, który wklej na forum.

Czemu masz uruchomione oprogramowanie Realteka z Temp?

C:\Documents and Settings\Mateusz\Ustawienia lokalne\Temp\RtkBtMnt.exe

Widzę, że masz zainstalowany toolbar Ask.com i zalecam jego usunięcie ze względu na jego wątpliwą reputację. Można to zrobić przez Dodaj/Usuń programy.

Zainstaluj program SUPERAntispyware FREE. Zaktualizuj go i przeskanuj nim system. Po zakończeniu skanowania wrzuć na forum log z tego programu.

Na koniec wygeneruj nowe logi z OTL i je również wklej na forum.

Możesz włączyć ponownie emulację za pomocą programu Defogger (uruchom go i kliknij opcję Enable).

Link do komentarza
Udostępnij na innych stronach

Co do Ask.com to zainstalował to chyba ten program, który instalował mi FLVTube Player, ale niestety nie mogę go usunąć z poziomu dodaj/usuń programy. Szukałem też w Firefox/Narzędzia/Dodatki, ale ani pod wtyczkami, ani pod rozszerzeniami nie było go.

A co do Realteka to nie mam pojęcia. Nic tam przy tym nie grzebałem a sterowniki i oprogramowanie zainstalowane były od razu z windowsem i o ile pamiętam nawet żadnej ich aktualizacji nie robiłem, więc dlaczego to się w Tempie uruchamia nie wiem.

Link do komentarza
Udostępnij na innych stronach

No właśnie nie ma go w Dodaj/Usuń programy. Pamiętam, że kiedyś to miałem już, ale odinstalowałem - może jakieś resztki zostały, albo uninstal to była jakaś ściema? Nie wiem. Właśnie kończę skan SUPERAntiSpyware.

edit:

OTL po skrypcie: http://wklej.org/id/389960/

SUPERAntiSpyware Scan Log: http://wklej.org/id/389966/

OTL po wszystkim: http://wklej.org/id/389968/

OTL extras po wszystkim: http://wklej.org/id/389970/

Swoją drogą to się trochę zdziwiłem. Instalkę MM8 miałem z jakiejś gazety czy tam z kolekcji klasyki...

Link do komentarza
Udostępnij na innych stronach

Jeśli chodzi o tego exe MM8, to z niewiadomych* mi powodów wiele programów antywirusowych znajduje wirusy w plikach wykonywalnych 3DO. Mi to wygląda na fałszywy alarm, ale możesz jeszcze sprawdzić plik na VirusTotal.

No to się pobędziemy Ask Toolbara. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL 
O2 - BHO: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

:Commands
[emptyflash]
[emptytemp]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log, który wklej na forum.

Wygeneruj nowe logi z OTL i je również wklej na forum.

Jak system się teraz zachowuje?

* Domyślam się o co może chodzić, ale pewności nie mam.

Link do komentarza
Udostępnij na innych stronach

VirusTotal potwierdził info o wirusie a ja momentalnie przypomniałem sobie, że to było tak, że nie miałem żadnego nośnika, żeby przenieść instalkę z płyty na netbooka więc zassałem grę z internetu :icon_rolleyes:

OTL po skrypcie: http://wklej.org/id/389987/

OTL log: http://wklej.org/id/389994/

OTL extras: http://wklej.org/id/389995/

Jeśli się nie mylę to w tych logach dalej jest jakiś wpis o Ask Toolbarze :/

Już po pierwszym skrypcie zauważyłem, że system uruchamia się szybciej i ogólnie jakoś tak płynniej chodzi - wielkie dzięki!

Jednak cały czas dochodzi do tych krótkich, ale częstych "zawieszek". Występują one podczas pracy w FF - może jakaś wadliwa wtyczka, albo nie wiem... burdel w ustawieniach, albo netbook jest za słaby na FireFox i pracę w kilku kartach ;]

Link do komentarza
Udostępnij na innych stronach

Firefox żre dużo pamięci, więc to może być problem. Wtyczki również mogą coś takiego powodować. Trudno stwierdzić, ale Firefox potrafi się przyciąć. Możesz sprawdzić na Operze?

Jeśli chodzi o Ask Toolbar, to według logów jest on na liście Dodaj/Usuń programy i jakieś pliki istnieją na dysku. Pliki i katalogi po nim możesz wywalić ręcznie. Wpis z Dodaj/Usuń programy najlepiej jest usunąć ręcznie. Tu masz opisane jak to zrobić. Klucz do usunięcia to {86D4B82A-ABED-442A-BE86-96357B70F4FE}.

W logach nie widzę już niczego złego.

Link do komentarza
Udostępnij na innych stronach

W takim razie wielkie dzięki. Pokombinuję i poszukam mniej pamięciożernej przeglądarki. Widzę że sam też sobie szkód narobiłem, nie tylko mój brat - więc mu się upiecze tym razem ;)

A jeszcze takie pytanie co do zabezpieczenia się na przyszłość. Jak widać Avast raczej nie zdał dobrze egzaminu, a netbooki nie mają aż takiej wielkiej mocy i trzeba uważać z programami, bo potrafią nieźle zamulić. Czy jest jakiś darmowy program dający lepszą ochronę niż Avast, oraz jednocześnie nie zabierający dla siebie dużej ilości zasobów pamięci komputera?

Link do komentarza
Udostępnij na innych stronach

Sciagnolem tego virusa i myslalem ze to jakas wtyczka do youtube wiec go zainstalowalem ale jak instalator wlaczyl sie jeszcze raz to sie zorientowalem ze to jakis wirus i szybko usunolem z komputera instalator wylaczlem w menedzeze procesow i tez usunolem, u mnie nie zainstalowalo ask.com ale "homepage security service" ale usunelo sie razem z rezsza. Na kompie nie mam antywira i mam pytanie czy ten program nie zostawia innych smiec i/lub nie niszczy systemu?

Dolaczam logi z otl

OTL.Txt

Extras.Txt

Link do komentarza
Udostępnij na innych stronach



  • Kto przegląda   0 użytkowników

    • Brak zalogowanych użytkowników przeglądających tę stronę.
×
×
  • Utwórz nowe...