Witam. Mam problem. Co jakiś czas, przy wchodzeniu na normalną stronę, dodatkowo uruchamia mi się strona o (niestety) podłożu erotycznym a więc podejrzana. Proszę o pomoc, jak się tego pozbyć...
http://www.wklej.org/id/796a33a30e (Hijack)
http://www.wklej.org/id/d9967d2c35 (ComboFix)
Pojawianie się podejrzanych stron!!!
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
10 posty(ów)
• Strona 1 z 1
przez LucaS » 13 Mar 2008, 22:13
UA:
Jeśli chodzi o Hjacka to:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: XBTP01621 - {9EBBE90B-282E-4c39-8A7E-120749169F0F} - C:\PROGRA~1\BEARSH~2\MediaBar.dll
O2 - BHO: BrowsingAdvisor - {F1E96EDC-E0C8-BE98-1F15-C29DBED83B53} - C:\Program Files\BrowsingAdvisor\BrowsingAdvisor-1.dll
Fix i usuwasz pliki. i problem na 99% zniknie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: XBTP01621 - {9EBBE90B-282E-4c39-8A7E-120749169F0F} - C:\PROGRA~1\BEARSH~2\MediaBar.dll
O2 - BHO: BrowsingAdvisor - {F1E96EDC-E0C8-BE98-1F15-C29DBED83B53} - C:\Program Files\BrowsingAdvisor\BrowsingAdvisor-1.dll
Fix i usuwasz pliki. i problem na 99% zniknie
Było, minęło...
- LucaS
- Zasłużony działacz forum
- Posty: 2820
- Dołączenie: 11 Maj 2006, 21:45
- Pochwały: 7
...
przez Yooleck » 13 Mar 2008, 22:42
UA:
Dzięki wielkie ale już tak robiłem i po pewnym czasie stronka "powróciła"...
Masz coś jeszcze?
Kolega polecił mi wykonać coś takiego:
----------------------------------------------
Otwórz notatnik i wklej
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerBar"=-
"Twoje TVN24"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Onet.pl AutoUpdate"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote_Agent]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart
powstanie plik w który dwa razy klikniesz >> potwierdzisz chęć dodania do rejestru >> potem restart
Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox
usuń instalkę Combofix z dysku.
Wyłącz a potem włącz przywracanie systemu na wszystkich dyskach.
Wyczyść jakimś programem lub ręcznie Cookies.txt w profilach przeglądarki
Co sądzisz i czy mógłbyś mi to jakoś wyjaśnic?
Masz coś jeszcze?
Kolega polecił mi wykonać coś takiego:
----------------------------------------------
Otwórz notatnik i wklej
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerBar"=-
"Twoje TVN24"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Onet.pl AutoUpdate"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote_Agent]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart
powstanie plik w który dwa razy klikniesz >> potwierdzisz chęć dodania do rejestru >> potem restart
Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox
usuń instalkę Combofix z dysku.
Wyłącz a potem włącz przywracanie systemu na wszystkich dyskach.
Wyczyść jakimś programem lub ręcznie Cookies.txt w profilach przeglądarki
Co sądzisz i czy mógłbyś mi to jakoś wyjaśnic?
- Yooleck
- Forumowicz
- Posty: 5
- Dołączenie: 13 Mar 2008, 21:34
przez acoanic_radka » 13 Mar 2008, 23:26
UA:
A nie wchodzisz na jakieś strony, gdzie mogą się instalować (nie wiem czy tak to sie nazywa) "toolbary" ? U mnie to było gdy wchodziłem na jakieś strony z crackami a później coś wskoczyło do kompa i zmieniała mi się sama strona startowa i do tego otwierały sie strony porno kiedy chciały. Był to wtedy jakiś wirus i po przeskanowaniu jakimś on-line wywaliło to i problem znikną. Może masz to samo ..
Tak mnie wychowali: Ojczyzne kochać trzeba i szanować , nie deptać flagi i nie pluć na godło.
-
acoanic_radka - Postujący
- Posty: 394
- Dołączenie: 23 Lip 2005, 18:24
- Pochwały: 1
10 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Bing [Bot]