Komp mi muli dużo bardziej niż powinien

[kominekl]

"{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}" = Bonjour
"AVG Secure Search" = AVG Security Toolbar

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HD502HJ_S20BJ9BZA27932&ts=1348429478
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HD502HJ_S20BJ9BZA27932&ts=1348429478
IE - HKU\S-1-5-21-1267917107-777748536-2660093714-1000\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://search.babylon.com/home?affID=112763&tt=120912_pcp_3812_7
IE - HKU\S-1-5-21-1267917107-777748536-2660093714-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HD502HJ_S20BJ9BZA27932&ts=1348429478
IE - HKU\S-1-5-21-1267917107-777748536-2660093714-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://isearch.avg.com/?cid={5D22154A-ECA0-43B7-827D-0468A2C258AF}&mid=fe0f99602f2947d0b1cdcd2623da4cdb-68cc4614dbe090db72cce0baf0b18639ee3168ac&lang=pl&ds=xn011&pr=sa&d=2012-09-07 20:35:38&v=12.2.0.5&sap=hp
IE - HKU\S-1-5-21-1267917107-777748536-2660093714-1000\..\SearchScopes,BrowserMngrDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1267917107-777748536-2660093714-1000\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKU\S-1-5-21-1267917107-777748536-2660093714-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=112763&tt=120912_pcp_3812_7&babsrc=SP_def&mntrId=6e4797a100000000000000ffcda01115
IE - HKU\S-1-5-21-1267917107-777748536-2660093714-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-1267917107-777748536-2660093714-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid={5D22154A-ECA0-43B7-827D-0468A2C258AF}&mid=fe0f99602f2947d0b1cdcd2623da4cdb-68cc4614dbe090db72cce0baf0b18639ee3168ac&lang=pl&ds=xn011&pr=sa&d=2012-09-07 20:35:38&v=12.2.0.5&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-1267917107-777748536-2660093714-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O4 - HKU\S-1-5-21-1267917107-777748536-2660093714-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
O8:[b]64bit:[/b] - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found

:Files
C:\Users\Jurek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\foobar2000 - Shortcut.lnk
C:\Windows\SysWow64\searchplugins
C:\Windows\SysWow64\Extensions
C:\Users\Jurek\AppData\Roaming\OpenCandy
C:\Users\Jurek\AppData\Local\AVG Secure Search
C:\ProgramData\AVG Secure Search
C:\Windows\SysNative\drivers\avgtpx64.sys
C:\Program Files (x86)\Common Files\AVG Secure Search
C:\Program Files (x86)\AVG Secure Search

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p139531 + log z TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292 + nowe logi z OTL + log z Autoruns otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589.

[jurrrus]

Bonjour i AVG Security Toolbar usunięte.

Logi:

Po wykonaniu skryptu w OTL: http://www.wklej.eu/index.php?id=b257f5497c
ADWCleaner: http://www.wklej.eu/index.php?id=5facb489a4
TDSSKiller: http://www.wklej.eu/index.php?id=6efd65aae9
OTL: http://www.wklej.eu/index.php?id=f16902dfee
Extras: http://www.wklej.eu/index.php?id=9a94f5beef
Autoruns: http://www32.zippyshare.com/v/26800431/file.html

[kominekl]

Wykonywanie Skryptu.

Po wklejeniu podanego przeze mnie skryptu masz nacisnąć Wykonaj Skrypt, a nie Skanuj. Popraw, a następnie podaj nowe logi z OTL i nowy log z Autoruns.

[jurrrus]

Nie wierzę w tego missclicka...

Log z usuwania http://www.wklej.eu/index.php?id=9216e9d8bd
OTL: http://www.wklej.eu/index.php?id=d818e1f619
Extras: http://www.wklej.eu/index.php?id=674c891251
Autorun: http://www36.zippyshare.com/v/42119534/file.html

Btw wrednego toolbara już się pozbyłem, ale nie zaszkodzi sprawdzić czy nie mam jeszcze jakichś śmieci.

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

APSDaemon
iTunesHelper
NUSB3MON
ROC_roc_ssl_v12
SunJavaUpdateSched

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

gusvc
Microsoft Office Groove
odserv
ose
WinDefend
WMPNetworkSvc

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Jurek\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Jurek\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
O4 - HKU\S-1-5-21-1267917107-777748536-2660093714-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\system32\StikyNot.exe File not found
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found

:Files
C:\Users\Jurek\AppData\Local\Google\Update
C:\Users\Jurek\Desktop\Autoruns
C:\Users\Jurek\Desktop\tdsskiller.exe
C:\Windows\tasks\*.*
C:\Users\Jurek\Desktop\AutoRuns.arn
C:\Users\Jurek\Desktop\adwcleaner (1).exe
C:\Users\Jurek\Desktop\adwcleaner.exe

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[jurrrus]

Jeśli idzie o usuwanie w Autoruns, to wszystko poszło. Czasem tylko wyrzucił, że coś nie istnieje, ale wpisy zostały usunięte.

Logi:

po wykonaniu skryptu: http://www.wklej.eu/index.php?id=0e140e6997
OTL: http://www.wklej.eu/index.php?id=9fb8a08f0e
Extras: http://www.wklej.eu/index.php?id=c011540654

[mateo8898]

W OTL kliknij Sprzątanie

W AdwCleaner kliknij Uninstall

Przeczyść dysk oraz rejestr CCleaner

[jurrrus]

Proszę o sprawdzenie logów:

OTL: http://www.wklej.eu/index.php?id=5485222403

Extras: http://www.wklej.eu/index.php?id=523e433d3f

GMER: http://www.wklej.eu/index.php?id=1a537ab49e

Pojawił się problem następującej natury: niezależnie od przeglądarki okresowo nie otwiera mi facebooka, czy stron googla (wyszukiwarki, gmaila, googlemaps etc.). Mało tego, to samo stało się też na innych komputerach w domu, mniej więcej w jednym momencie (żadne dane nie były przenoszone na pendrive'ach).

[mateo8898]

Czysto, kosmetyka. Co do problemu, pewnie masz router, ustaw w nim np. takie DNS-y:

8.8.8.8
8.8.4.4

Wklej w OTL:

:OTL
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SupTab\SEARCH~2.DLL) - File not found
O20 - AppInit_DLLs: (C:\PROGRA~2\SupTab\SEARCH~1.DLL) - File not found
[2014-03-25 11:41:18 | 000,000,000 | ---D | M] -- C:\Users\Jurek\AppData\Roaming\qone8

:Commands
[emptytemp]

Klikasz Wykonaj skrypt i podajesz log z usuwania.

[jurrrus]

No mocno bym się zdziwił, gdyby to nie była czysta kosmetyka - tydzień minął od reinstala.

Tak, mam router, ale jeśli problem był z nim, to powinien zostać rozwiązany, bo konieczność zmusiła mnie do jego resetu (zaginione hasło...). BTW chciałem z ciekawości zmienić te DNSy i wywala mi, że format podanego IP jest niepoprawny.

Log z usuwanie OTL: http://www.wklej.eu/index.php?id=df5afc7675

EDYCJA: Przeczytałem o tych atakach na routery, użyłem tego skanera: http://cert.orange.pl/modemscan/index.py/scan
Wyrzucił mi, że mam router podatny na ataki. Muszę to załatwiać przez operatora czy mogę coś zrobić sam w tej sprawie?

[mateo8898]

Oczywiście, że możesz sam. Tylko sposób zależy od modelu routera.
Dziwne, że nie możesz ustawić tych DNS-ów, na pewno wpisujesz je prawidłowo?? A zaleciłem ich zmianę ze względu na to, że problem występuje także na innych komputerach, dodatkowo w logu z OTL widoczny jest taki adres:

68.168.98.196

Nie byłoby nic w tym dziwnego, gdyby nie to, że pochodzi on z USA... A to już jest podejrzane.

W OTL Sprzątanie

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

[jurrrus]

Udało się ustawić DNSy, wcześniejszy problem to czeski błąd - w jednym adresie była spacja, którą przekopiowałem.
Czy ustawienie tych serwerów wystarczy, żeby być bezpiecznym, czy trzeba zrobić coś jeszcze? Czytałem o wyłączeniu możliwości edytowania ustawień routera przez użytkowników innych niż podłączenych przez kabel.

[mateo8898]

Ustawienie DNS-ów może rozwiązać problem z otwieraniem się stron, a zabezpieczenie routera to całkiem inna sprawa. Ale tak jak napisałem, wszystko zależy od jego modelu, więc podaj go, jeśli chcesz otrzymać szczegółową instrukcję.

[jurrrus]

A, no tak...
54M Wireless ADSL2+ Router, a konkretniej TD-W8901G

[mateo8898]

Prosta sprawa, bo wszystko masz akurat opisane tutaj http://www.orange.pl/kid,4002234817,id, ... ticle.html
Interesują Cię kroki 4 i 5.