Wirus - otwiera się strona "oduxa.net"

[MeTaLiQ]

Witam mam podobny problem

Po włączeniu komputera otwiera mi się czarne okno takie jak cmd, i od razu znika tak szybko

i po chwili otwiera mi się chrome i ta strona: http://oduxa.net/

czyściłem komputer programem mbam ale to nic nie dało proszę o pomoc

Z góry dziękuję za każdą pomoc

[feleron]

Przeprowadź skan programem Adwcleaner(kliknij szukaj, potem usuń) i pokaż powstały log. Następnie użyj programu OTL Zaznacz opcje: Infekcja LOP - Sprawdzanie, Infekcja Purity - Sprawdzanie, wszyscy użytkownicy, części 64 bit systemu oraz we wszystkich sekcjach zaznacz opcję Użyj filtrowania. Użyj opcji Skanuj. Powstaną dwa logi(extras i OTL) zamieść je tutaj.

[MeTaLiQ]

wrzuciłem na hosting te pliki, bo nie wiedziałem jak na to forum wkleić masz tu link:http://speedy.sh/TKJSR/LOGI.rar

jest tam też zdjęcie z ustawieniami otl bo nie wiedziałem czy dobrze je ustawiłem

chcę jeszcze dodać to, że zmieniają mi się ustawienia klawiatury same i muszę nacisnąć ctrl+t aby powróciły do normalnej formy,

ale coś w opcjach grzebałem i usunąłem inne języki klawiatury i przestało się tak dziać

jednak problem wrócił ale w mniejszej skali

problem z klawiaturą powrócił, występuje teraz bardzo często tak jak miałem to na samym początku, muszę co chwilę klikać ctrl+t

głównie jak to się robi to literki nie chodzą a jak naciskam esc to się otwiera menu start

w myszce się też ustawienia zmieniają gdy jestem na przeglądarce internetowej i przesuwam tym kółkiem to strona mi się powiększa i maleje

jak pisałem to co jest powyżej problem tylko 2 razy wystąpił, czasami jest tak że przez długi czas nie występuje

proszę o pomoc

[feleron]

Uruchom OTL w oknie własne opcje skanowania/skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\xhunter1.sys -- (xhunter1)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\vtany.sys -- (vtany)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
O2 - BHO: (no name) - {4646332D-5637-006A-76A7-7A786E7484D7} - No CLSID value found.
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {4646332D-5637-006A-76A7-7A786E7484D7} - No CLSID value found.
:Commands
[emptytemp]

Kliknij wykonaj skrypt. Następnie daj log z usuwania.

Jest ślad infekcji odpowiedzialnej za Twój problem:

O4 - HKLM..\Run: [Babakan] C:\Windows\System32\cmd.exe (Microsoft Corporation)

Pobierz TO.

Uruchom i wklej :

:filefind
*babakan*.*
:regfind
babakan

Kliknij Look i pokaż powstały log. Logi możesz wrzucać np. Tutaj. Poza tym nie dałeś logu Extras.txt(nie wiem czemu ma taką nazwę skoro jest tam to samo co w OTL.txt) ale tym zajmiemy się później.

W adwcleaner nie użyłeś opcji Usuń(albo użyłeś, ale wstawiłeś nieodpowiedni log).

[MeTaLiQ]

poprawiony log z adwcleaner

http://wklej.org/hash/89ecce930db/

log z usuwania otl

http://wklej.org/id/1273637/

a ten plik (systemlook) gdy naciskam na look wyskakuje błąd ,,script required"

[feleron]

Pobierz TO.

Uruchom i wklej :

:filefind
*babakan*.*
:regfind
babakan

Kliknij Look i pokaż powstały log.

Zrób tak jak napisałem.

[MeTaLiQ]

http://wklej.org/id/1273683/

[feleron]

Wklej do notatnika:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Babakan"=-

Następnie plik->zapisz jako-> nazwa pliku: fix.reg zapisz jako typ: wszystkie pliki. Kliknij zapisz, następnie uruchom zapisany plik i kliknij tak. Uruchom ponownie komputer i sprawdź czy problem nadal występuje.

[MeTaLiQ]

problem nadal występuje ;(

[feleron]

Daj nowe logi OTL, ustaw wszystko tak jak na tym obrazku. Następnie pobierz program Autoruns, uruchom i w oknie programu kliknij File->Save. Plik wrzuć na jakiś hosting i daj link.

[MeTaLiQ]

jak jest w otl tabelka rejestr to po jakimś czasie z UŻYJ FILTROWANIA zaznacza się na WSZYSTKO

http://speedy.sh/93Ee7/logi.rar

Wygrywasz +20% za piractwo. - t3t

[feleron]

Uruchom autoruns i w zakładce logon odznacz i usuń wpis Babakan. Sprawdź czy pomogło. Poza tym nałapałeś w międzyczasie trochę adware, ale tym zajmiemy się później.

[MeTaLiQ]

problem nadal wysępuje

nie wiem czy to ważne ale w końcu udało mi się zrobić ss tego co mi się otwiera jak komputer włączam http://i.imgur.com/E9q5fIs.jpg

[feleron]

Po tym otwiera Ci się Chrome z wspomnianą wcześniej stroną? Może w samej przeglądarce też jest coś nie tak... Jeżeli to nie problem to spróbuj odinstalować na razie Chrome'a, ale tak żeby nie pozostały po nim żadne pliki i foldery. W tym celu pobierz Revo Uninstaller, Uruchom i wybierz program z listy i kliknij odinstaluj. Użyj trybu rozszerzonego, aby usunąć pozostałości po programie(w kolejnych oknach zaznacz wszystkie i usuń). Poza tym przy pomocy revo Uninstaller pozbądź się również w ten sam sposób:

BrowserDefender
RegClean Pro
UpdateChecker
uTorrentControl_v6 Toolbar

Uruchom ponownie komputer i napisz czy coś się zmieniło. Po tych operacjach daj również nowy log z OTL(tym razem bez extras, odznacz pole rejestr-skan dodatkowy, reszta tak jak poprzednio)

[Sevard]

Chrome trzyma ustawienia, wtyczki itp. tam gdzie większość programów - w profilu. Revo tego nie tknie (zresztą wersja darmowa jest tak przestarzała, że jest mało prawdopodobne, żeby w ogóle sobie poradziła z pełnym i poprawnym odinstalowaniem Chrome'a).

Z innych rzeczy - z tego co widzę, to z tym szkodnikiem radził sobie Malwarebytes' Anti-Malware. Jeśli twórcy tego malware go nie poprawiali, to istnieje szansa, że i tu sobie poradzi.

Z jeszcze innych rzeczy:

DRV - [2013-05-13 11:16:19 | 000,466,008 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

Sterownik od wirtualnych napędów (w tym przypadku DAEMON Tools Lite). Może to zaciemniać logi na 32 bitowym systemie (dokładniej sterownik ten działa jak rootkit i może on ukryć jakieś malware) - do usunięcia przed podjęciem innych akcji. A skoro już jesteśmy przy emulacji, to nie widzę nigdzie sprawdzenia systemu pod kątem obecności rootkitów.

Tak, czy siak.

@MeTaLiQ

1. Odinstaluj Daemon Tools. Następnie odinstaluj sterownik SPTD (tu masz opisane jak).

2. Wyłącz antywirusa i inne programy zabezpieczające system (to jest ważne w tym przypadku, ponieważ GMER, który ściągniemy w następnym kroku może być rozpoznany jako szkodnik).

3. Ściągnij program GMER (to jest link do programu z losowo wygenerowaną nazwą, dziwna nazwa jest tutaj jak najbardziej ok).

4. Uruchom ściągnięty program z uprawnieniami administratora.

5. Powinno zacząć się preskanowanie. Poczekaj aż się zakończy. Niezależnie od wyniku należy przejść do kolejnego kroku, na razie nie podejmuj żadnych akcji.

6. Upewnij się, że wszystkie opcje po prawej stronie są zaznaczone (tzn. są przy nich ptaszki). Program domyślnie skanuje tylko dysk systemowy i tak to najlepiej zostawić (tzn. w okienku z dyskami powinien być zaznaczony tylko dysk systemowy i nic poza tym).

7. Jeśli wszystkie ustawienia są ok, to wciśnij przycisk Szukaj i czekaj na zakończenie skanowania. W czasie skanowania nie rób nic na komputerze (system powinien być bezczynny). Skanowanie może potrwać nawet kilka godzin (przeważnie jest dużo szybsze, ale uprzedzam). Dopóki program wydaje się odpowiadać i coś robić, to nie przerywaj jego pracy.

8. Oznaką zakończenia skanowania jest zmiana przycisku Stop w Szukaj.

9. Jeśli program coś wykryje, to nie podejmuj żadnych akcji, te wyniki powinny być najpierw zweryfikowane. Po zakończeniu skanowania naciśnij po prostu przycisk Kopiuj. To skopiuje log do schowka. Wklej to do pliku tekstowego, zapisz i wrzuć na forum.

Jeśli GMER będzie sprawiał problemy (co może się zdarzyć), to wrzuć na forum wyniki preskanu (o ile nie są puste i są dostępne), a jeśli i ich nie ma, to spróbuj uruchomić program w trybie awaryjnym. Jeśli i to nie pomoże, to daj znać, a użyjemy czegoś innego.

[MeTaLiQ]

Po tym otwiera Ci się Chrome z wspomnianą wcześniej stroną? Może w samej przeglądarce też jest coś nie tak... Jeżeli to nie problem to spróbuj odinstalować na razie Chrome'a, ale tak żeby nie pozostały po nim żadne pliki i foldery. W tym celu pobierz Revo Uninstaller, Uruchom i wybierz program z listy i kliknij odinstaluj. Użyj trybu rozszerzonego, aby usunąć pozostałości po programie(w kolejnych oknach zaznacz wszystkie i usuń). Poza tym przy pomocy revo Uninstaller pozbądź się również w ten sam sposób:

BrowserDefender
RegClean Pro
UpdateChecker
uTorrentControl_v6 Toolbar

Uruchom ponownie komputer i napisz czy coś się zmieniło. Po tych operacjach daj również nowy log z OTL(tym razem bez extras, odznacz pole rejestr-skan dodatkowy, reszta tak jak poprzednio)

nie wydaje mi się że jest to wina przeglądarki

Problem występował dużo wcześniej lecz ta ruska strona otwierała się na firefox, a nie na chrome jak to teraz występuje

ignorowałem to, ponieważ nie miałem czasu bawić się w usuwanie, problem zanikł na jakiś czas, i powrócił lecz na chrome

zrobiłem tak jak kazałeś Sevars tutaj masz logi: http://wklej.org/id/1277204/

a co do cb feleron jak masz jakies pomysły na tego wirusa to śmiało przedstaw je

[Sevard]

Aktywny sterownik sptd => log do kosza.

[MeTaLiQ]

przecież odinstalowałem je http://www.duplexsecure.com/en/faq tak jak tu pisze

no nic spróbuje jeszcze raz i dam logi

a i niechciana strona otwiera się teraz na przeglądarce explorer

znowu zaczoła otwierać się na chrome

[Sevard]

Ok, możliwe, że odinstalowanie sterownika sptd nie usunęło kluczy w rejestrze (co zdarza się dosyć często). Skoro piszesz, że to usunąłeś, to załóżmy, że tak jest (jeśli nie, to cóż...). W takim przypadku nie widać rootkitów, czyli poproszę tylko o log z programu Malwarebytes' Anti-Malware (wystarczy szybkie skanowanie z wersji darmowej).

[MeTaLiQ]

pełne skanowanie dałem http://wklej.org/id/1278089/

poprawione logi z gmer/a http://wklej.org/id/1278240/

[Sevard]

Niech Malwarebytes' usunie to co znalazł i zobacz jak to będzie wtedy wyglądało.

[MeTaLiQ]

nic się nie zmieniło

[MeTaLiQ]

dalej czekam na rozwiązanie tego problemu

[MeTaLiQ]

no pomorze ktoś ?

[Sevard]

1. Wyłącz wszystkie przeglądarki.

2. Wykonaj to:

Wklej do notatnika:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Babakan"=-

Następnie plik->zapisz jako-> nazwa pliku: fix.reg zapisz jako typ: wszystkie pliki. Kliknij zapisz, następnie uruchom zapisany plik i kliknij tak. Uruchom ponownie komputer i sprawdź czy problem nadal występuje.

raz jeszcze.

3. Zrestartuj komputer i przeskanuj system AdwCleanerem oraz Malwarebytes' raz jeszcze. Usuń to, co znajdą.

W międzyczasie nie włączaj żadnych przeglądarek.

Sprawdź, czy to pomoże.