richarddawkins Napisano 15 Czerwca 2012 Zgłoś Napisano 15 Czerwca 2012 (edytowane) Cześć, mam ogromny problem z niesamowicie denerwującym Malware który ciągle wyświetla mi reklamę w prawym/dolnym rogu w kształcie kwadratu który można co prawda zamknąć ale pojawia się za każdym razem jak wchodzę na jakąś stronę lub też odświeżam bieżącą... Taki pop-up. Niezależnie od przeglądarki, niezależnie od dnia i niezależnie od strony wyświetla się ciągle. Próbowałem już pozbyć się tego ścierwa Avirą, Ad-Aware, AVG, ale nic nie dawało rady. Korzystałem z Hijack'a, ale w logach na moje oko wszystko jest "wporziąsiu". Może Wy mi pomożecie ? Na wstępie, podam log z Hijack'a, na wypadek gdybym coś przeoczył. Logfile of Trend Micro HijackThis v2.0.4Scan saved at 17:54:51, on 2012-06-15Platform: Windows 7 SP1 (WinNT 6.00.3505)MSIE: Internet Explorer v8.00 (8.00.7601.17514)Boot mode: NormalRunning processes:C:\Program Files (x86)\Dell DataSafe Local Backup\Components\scheduler\STService.exeC:\Program Files (x86)\Dell DataSafe Local Backup\Toaster.exeC:\Program Files (x86)\STMicroelectronics\Accelerometer\FF_Protection.exeC:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exeC:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exeC:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exeC:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exeC:\Users\dell\AppData\Local\Google\Chrome\Application\chrome.exeC:\Program Files (x86)\Common Files\Java\Java Update\jusched.exeC:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\avgas.exeC:\Program Files (x86)\Brother\ControlCenter3\brccMCtl.exeC:\Program Files (x86)\Brother\Brmfcmon\BrMfcmon.exeC:\Users\dell\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\dell\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\dell\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\dell\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\dell\AppData\Local\Google\Chrome\Application\chrome.exeC:\Windows\SysWOW64\rundll32.exeC:\Users\dell\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\dell\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\dell\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\dell\AppData\Local\Google\Chrome\Application\chrome.exeC:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=pl&l=pl&s=padR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htmR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost; 127.0.0.1; <local>R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhostO1 - Hosts: 149.5.18.172 www.google-analytics.com.O1 - Hosts: 149.5.18.172 ad-emea.doubleclick.net.O1 - Hosts: 149.5.18.172 www.statcounter.com.O1 - Hosts: 108.163.215.51 www.google-analytics.com.O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.O1 - Hosts: 108.163.215.51 www.statcounter.com.O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dllO2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files (x86)\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dllO2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files (x86)\BitComet\tools\BitCometBHO_1.5.4.11.dllO2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dllO2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dllO2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dllO3 - Toolbar: toolplugin - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\dell\AppData\Roaming\toolplugin\toolbar.dllO4 - HKLM\..\Run: [StartCCC] "c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exe"O4 - HKLM\..\Run: [Desktop Disc Tool] "c:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe"O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUNO4 - HKLM\..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe /autorunO4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOWO4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimizedO4 - HKLM\..\RunOnce: [Launcher] C:\Program Files (x86)\Dell DataSafe Local Backup\Components\scheduler\Launcher.exeO4 - HKLM\..\RunOnce: [STToasterLauncher] C:\Program Files (x86)\Dell DataSafe Local Backup\toasterLauncher.exeO4 - HKCU\..\Run: [Google Update] "C:\Users\dell\AppData\Local\Google\Update\GoogleUpdate.exe" /cO4 - HKCU\..\Run: [Gadu-Gadu 10] "C:\Users\dell\Desktop\Gadu-Gadu 10\gg.exe"O4 - Global Startup: Bluetooth.lnk = ?O8 - Extra context menu item: &P&obierz &za pomocą BitComet - res://C:\Program Files (x86)\BitComet\BitComet.exe/AddLink.htmO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://C:\Program Files (x86)\BitComet\BitComet.exe/AddAllLink.htmO9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dllO9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Wyślij do interfejsu Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htmO9 - Extra 'Tools' menuitem: Wyślij do urządzenia &Bluetooth... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htmO9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files (x86)\BitComet\tools\BitCometBHO_1.5.4.11.dll/206 (file missing)O17 - HKLM\System\CCS\Services\Tcpip\..\{1AE33F4E-DA90-4195-8352-EACBF03025D4}: NameServer = 8.8.8.8,208.67.222.222O17 - HKLM\System\CS1\Services\Tcpip\..\{1AE33F4E-DA90-4195-8352-EACBF03025D4}: NameServer = 8.8.8.8,208.67.222.222O17 - HKLM\System\CS2\Services\Tcpip\..\{1AE33F4E-DA90-4195-8352-EACBF03025D4}: NameServer = 8.8.8.8,208.67.222.222O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dllO23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_0057cbec48a2d7cf\AESTSr64.exeO23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\guard.exeO23 - Service: BitComet Disk Boost Service (BITCOMET_HELPER_SERVICE) - www.BitComet.com - C:\Program Files (x86)\BitComet\tools\BitCometService.exeO23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exeO23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)O23 - Service: Usługa Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exeO23 - Service: Usługa Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exeO23 - Service: FF Install Filter Service (InstallFilterService) - Unknown owner - C:\Program Files (x86)\STMicroelectronics\Accelerometer\InstallFilterService.exeO23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)O23 - Service: SoftThinks Agent Service (SftService) - SoftThinks - C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXEO23 - Service: Skype C2C Service - Skype Technologies S.A. - C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exeO23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_0057cbec48a2d7cf\STacSV64.exeO23 - Service: TurboBoost - Intel(R) Corporation - C:\Program Files\Intel\TurboBoost\TurboBoost.exeO23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Program Files\Dell\Dell Wireless WLAN Card\WLTRYSVC.EXEO23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)--End of file - 11628 bytes Edytowane 15 Czerwca 2012 przez richarddawkins Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
zzizzy Napisano 15 Czerwca 2012 Zgłoś Napisano 15 Czerwca 2012 (edytowane) Miłosny kalkulator na prawie każdej stronie - PurePC.pl - Forum Dyskusyjne wersja tl;dr - wejdź do C:\Windows\system32\drivers\etc, otwórz plik hosts notatnikiem i skopiuj jego zawartość tu. ed. Nieważne, wywal te wpisy z tego pliku: O1 - Hosts: 149.5.18.172 www.google-analytics.com.O1 - Hosts: 149.5.18.172 ad-emea.doubleclick.net.O1 - Hosts: 149.5.18.172 www.statcounter.com.O1 - Hosts: 108.163.215.51 www.google-analytics.com.O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.O1 - Hosts: 108.163.215.51 www.statcounter.com. Antywirus/spybot może chronić ten plik przed edycją, toteż na wszelki wypadek je wyłącz. Edytowane 15 Czerwca 2012 przez zzizzy Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
richarddawkins Napisano 15 Czerwca 2012 Zgłoś Napisano 15 Czerwca 2012 (edytowane) Wydaję się że masz rację ! Dzięki wielkie ! Jednak, o dziwo po usunięciu tych adresów które zapewne służyły do połączenia z serwerem "reklamodawcy", testując rozwiązanie zauważyłem że raz na jakieś, powiedzmy, 10-15 odsłon nadal potrafi się pojawić. Rzecz jasna jest o niebo lepiej aniżeli przedtem, tj. wcześniej pojawiało się za każdym razem, ale jednak jeszcze jakby "tam gdzieś" siedziało. Wymieniony przez Ciebie plik kompletnie oczyściłem i wstawiłem tylko dwie linijki: (faktycznie adresy sprytnie były ukryte na końcu pliku, specjalnie to <span style='color: red;'>[ciach!]</span>o potworzyło całkiem sporo "\n") localhost:127.0.0.1::1 localhost Zapisałem zmiany w pliku, wyłączywszy uprzednio antywirusa, zrestartowałem, ale raz na jakiś czas znowu to <span style='color: red;'>[ciach!]</span>o wyskakuje... Ok, chyba się zorientowałem, co robię źle. Mianowicie. Otworzyłem i wyedytowałem ten plik jako "zwykły" użytkownik. Nie mając praw do modyfikacji jako zwykły user, trzeba było zrobić to z poziomu admina. Jako że głównie na linuxie, za bardzo nie wiem jak to mam zrobić. Nadałem sobie prawa jako "każdy użytkownik" komputera do modyfikacji tego pliku, jednak po otworzeniu go na nowo, wyświetlają się tylko te dwie linie o których pisałem u góry, a ponadto cały plik tekstowy jest pusty... A reklamy jak się pokazywały tak się pokazują, co prawda niezmiernie rzadko. Na 100 odsłon chyba z pięć razy, ale jednak.... Edytowane 15 Czerwca 2012 przez richarddawkins Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
zzizzy Napisano 15 Czerwca 2012 Zgłoś Napisano 15 Czerwca 2012 Te dwie linie akurat są potrzebne. Wywal tymczasowe pliki, cookies, historię, etc. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
richarddawkins Napisano 15 Czerwca 2012 Zgłoś Napisano 15 Czerwca 2012 Właśnie te dwie linijki zostawiłem. Reszta jest czysta, ciasteczka usunięte, historia wyczyszczona. I nadal to "coś" od czasu do czasu się pojawia... Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 17 Czerwca 2012 Zgłoś Napisano 17 Czerwca 2012 Zrob skan przy pomocy mbam oraz cureit. Daj oba logi z OTL. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...