Wyskakujące strony np. the-lucky-winner.com

[DzbanekPL]

Witam! Mam problem z wyskakującymi stronami the-lucky-winner.com. Informację "Gratulacje wygranej" włączają się samoistnie w różnych odstępach czasu, w różnych ilościach...Używam przeglądarki Mozilla Firefox. Pomoże ktoś?

[Untouched]

Cześć! Nie jestem w stanie Ci pomóc, ale wiem że na 100% musisz dodać brakujące logi z ;
Gmer http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736.
OTL http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754.

Pozdrawiam.

[DzbanekPL]

Siemka przepraszam, że z tak dużym opóźnieniem czasowym wklejam te logi, ale wczoraj czas mnie naglił... Oto i one:
LOG z Gmer: http://www.wklej.eu/index.php?id=5b4ae07899
Extras z OTL: http://www.wklej.eu/index.php?id=665ad513f0
OTL z OTL: http://www.wklej.eu/index.php?id=9747834a06

Proszę o dalsze wskazówki i pozdrawiam.

[mateo8898]

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 61
Disk \Device\Harddisk0\DR0 PE file @ sector 625137345

Użyj TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292 i podaj log z niego.

[DzbanekPL]

Jak zapisać notatnik z logiem, bo po kliknięciu "Report" nie mogę skopiować tekstu...

Ok już mam: http://www.wklej.eu/index.php?id=0b376a5769

[mateo8898]

I nic nie wykrył. Dorzuć jeszcze log z MBR.EXE otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p123422

[DzbanekPL]

Proszę z MBR: http://www.wklej.eu/index.php?id=a9f4d3cc13

[mateo8898]

Teraz spojrzałem na temat sprzed roku i też był taki szczątek w MBR, akurat to nic groźnego.

Odinstaluj: VshareComplete, vShare.tv plugin 1.3, Yontoo 1.10.02. Następnie:

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Darek\AppData\Local\Temp\ugloapow.sys -- (ugloapow)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MSI\Live Update 5\NTIOLib.sys -- (NTIOLib_1_0_4)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MSI\Live Update 5\msibios32_100507.sys -- (MSI_MSIBIOS_010507)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=WDC_WD3200AAJS-22VWA0_WD-WCARW095749057490&ts=1351523922
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=WDC_WD3200AAJS-22VWA0_WD-WCARW095749057490&ts=1351523922
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.v9.com/web/?q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.v9.com/web/?q={searchTerms}
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=WDC_WD3200AAJS-22VWA0_WD-WCARW095749057490&ts=1351523922
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=WDC_WD3200AAJS-22VWA0_WD-WCARW095749057490&ts=1351523922
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.claro-search.com/?q={searchTerms}&affID=114506&tt=4312_2&babsrc=SP_clro&mntrId=a8faadbf0000000000000019dbe0710b
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/mb59/?search={searchTerms}&loc=search_box&u=92260281200676232
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1000\..\SearchScopes\{DC3160F1-5FD4-4858-BCFE-EF3EA226997D}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=48BF43B2-CFD3-4799-89A2-7E172F4364D6&apn_sauid=6C6092E8-2951-4E4F-A68C-E433B1E784F3
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1001\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.claro-search.com/?affID=114506&tt=4312_2&babsrc=HP_clro&mntrId=a8faadbf0000000000000019dbe0710b
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=WDC_WD3200AAJS-22VWA0_WD-WCARW095749057490&ts=1348834924
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1001\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.claro-search.com/?q={searchTerms}&affID=114506&tt=4312_2&babsrc=SP_clro&mntrId=a8faadbf0000000000000019dbe0710b
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/mb59/?search={searchTerms}&loc=search_box&u=92260281200676232
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1001\..\SearchScopes\{DC3160F1-5FD4-4858-BCFE-EF3EA226997D}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=48BF43B2-CFD3-4799-89A2-7E172F4364D6&apn_sauid=6C6092E8-2951-4E4F-A68C-E433B1E784F3
IE - HKU\S-1-5-21-651134698-3155164038-1280930276-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "v9"
FF - prefs.js..browser.search.order.1: "v9"
FF - prefs.js..extensions.enabledAddons: [email protected]:1.20.00
[2011-11-21 18:51:43 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\Users\Darek\AppData\Roaming\mozilla\Firefox\Profiles\a2tffkxc.default\extensions\{3697b17c-b572-4862-a5e6-7f922c0f3403}
[2012-05-03 15:39:05 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\Darek\AppData\Roaming\mozilla\Firefox\Profiles\a2tffkxc.default\extension
[2012-10-18 08:19:57 | 000,002,568 | ---- | M] () -- C:\Users\Darek\AppData\Roaming\mozilla\firefox\profiles\a2tffkxc.default\searchplugins\askcom.xml
[2011-07-11 19:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Darek\AppData\Roaming\mozilla\firefox\profiles\a2tffkxc.default\searchplugins\startsear.xml
[2012-05-03 15:41:48 | 000,004,030 | ---- | M] () -- C:\Users\Darek\AppData\Roaming\mozilla\firefox\profiles\a2tffkxc.default\searchplugins\sweetim.xml
[2011-10-03 10:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2012-10-27 12:06:30 | 000,006,522 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-10-29 16:18:43 | 000,000,402 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O20 - AppInit_DLLs: (c:\progra~2\pcperf~1\23811~1.154\{61d8b~1\pcpmngr.dll) - c:\ProgramData\PC Performer Manager\2.3.811.154\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.dll ()

:Files
c:\ProgramData\PC Performer Manager

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[DzbanekPL]

Słuchaj przy wykonywaniu skryptu nie zaznaczyłem tego że, dla wszystkich użytkowników, Infekcji LOP, Infekcji Purity i przy rejestrze - skan dodatkowy użyj filtrowania...Nie wiem czy to dobrze zrobiłem...Dodatkowo potworzyły mi się jakieś pliki (przeważnie przezroczyste) w dokumentach, na pulpicie, na dysku C...Co mam robić w związku z tym? A tu chyba te logi: http://www.wklej.eu/index.php?id=5e132ce063

[mateo8898]

Przy wykonywaniu skryptu nie musisz nic przestawiać, to dotyczy tylko robienia nowych logów opcją Skanuj (które teraz podaj).

Co do plików, są one ukryte tylko, że OTL przestawia opcję ich widoczności. Póki co nie przejmuj się tym, na końcu powinny znów się "ukryć".

[DzbanekPL]

OK.
Extras: http://www.wklej.eu/index.php?id=0c8db9266d
OTL: http://www.wklej.eu/index.php?id=2286cfadbd

[mateo8898]

Odinstaluj jeszcze Ask Toolbar Updater

W OTL Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

[DzbanekPL]

A więc tak: NIe moge znaleźć Ask Toolbar Updater, posprzątane w OTL, CCleaner użyłem i wykonałem pełne skanowanie Malwarebytes' Anti-Malware.
Znalazło mi coś, oto raport: http://www.wklej.eu/index.php?id=d4bb644264
Co teraz?

[mateo8898]

Dlaczego nie usunąłeś wszystkich wpisów znalezionych przez Malwarebytes???

[DzbanekPL]

Odruchowo nacisnąłem usuń i usunęło tylko 2, bo reszta nie była zaznaczona. To jeszcze raz Malware i zaznaczyć wszystkie infekcje jakie będą do usunięcia?