Wirus mediashifting.com i 95p.com

**Posty:** 4 · przez **13cichy93** 22 Sty 2012, 15:07

Witam

Od jakiegoś czasu mam problem z wyszukiwaniem stron. Gdy otwieram przeglądarkę automatycznie wyskakuje mi zakładka mediashifting.com, a gdy chcę otworzyć obojętnie jaką stronę wyszukaną na przykład w google, przekierowuje mnie na 95p.com, od wczoraj nawet na hooot.com. Widziałem kilka tematów związanych właśnie z tym wirusem ale nie umiem sobie poradzić z rozwiązaniem tego uciążliwego problemu. Jestem szczerze mówiąc zielony w tym temacie. Nie mam pojęcia co to są logi OTL ani ComboFix i inne typu rzeczy ponieważ nigdy nie miałem z czymś takim styczności. Jeżeli ktoś może to proszę o dokładne wyjaśnienie jak usunąć tego wirusa bez formatowania dysków. Dziękuję z góry.

**Posty:** 12734 · przez **Mikou@j** 22 Sty 2012, 15:10

Przeczytaj obowiazkowe-zasady-wstawiania-logow-wazne-vt117887.html i wstaw logi. Nie musisz wiedzieć co to jest, wszystko masz w temacie opisane.

Autor postu otrzymał pochwałę

**Posty:** 4 · przez **13cichy93** 22 Sty 2012, 16:10

Zrobiłem wszystko co bylo podane w tym temacie: obowiazkowe-zasady-wstawiania-logow-wazne-vt117887.html

Oto logi:

OTL:
http://www.wklej.org/id/675145/
Extras:
http://www.wklej.org/id/675149/

GMER:
http://www.wklej.org/id/675161/

Gdy skanowanie się zakonczyło wyskoczyło okienko "GMER wykrył niedogodności systemu wskazujące na Rookita".

Teraz tylko liczę na waszą wiedzę i na pomoc w rozwiązaniu problemu.

**Posty:** 18165 · przez **wojtas** 22 Sty 2012, 16:50

Start > w polu szukania wpisz cmd > wpisz komendę netsh winsock reset

Uruchom narzędzie Kaspersky TDSSKiller gdyby coś znalazł wybierz opcję Skip i wklej tylko raport

Daj loga z Combofixa i na koniec daj nowy log z OTL i Gmera

Autor postu otrzymał pochwałę

**Posty:** 4 · przez **13cichy93** 22 Sty 2012, 19:50

Log z Combofixa

http://www.wklej.org/id/675343/

OTL po użyciu Combofixa:

http://www.wklej.org/id/675348/

Gmer:

http://www.wklej.org/id/675363/

Po użyciu Combofixa nic nie mogę uruchomić na komputerze. Jedynie przez administratora większość ale pliki tekstowe oraz pliki mp3, avi etc. są do wyrzucenia? Jest jakiś sposób żeby temu zaradzić czy po wszystkim system wroci do normy?

EDIT: Po ponownym uruchomieniu komputera wszystko wróciło do normy i wygląda na to, że wirus zniknął

**Posty:** 18165 · przez **wojtas** 22 Sty 2012, 20:03

ale co się dzieje ? a gdzie log z Kaspra ?

**Posty:** 4 · przez **13cichy93** 22 Sty 2012, 21:20

Tu jest log z Kaspra przed użyciem Combofixa:

http://www.wklej.org/id/675232/

Po użyciu Combofixa nic nie mogłem uruchomić tak jak by tych plików w ogóle nie było, uruchomiłem ponownie komputer i wszystko wróciło do normy. Na mediashifting.com i inne tego typu strony już mnie nie przekierowuje. Transfer pobierania danych mi też do normy wrócił bo od momentu wdarcia się tego wirusa do systemu transfer mi strasznie mulił. Wszystko już jest wporządku

Dziękuję za pomoc

**Posty:** 18165 · przez **wojtas** 22 Sty 2012, 21:29

to nie koniec. przeskanuj jeszcze raz zobacz czy Kasper nic nie znalazł

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- -- (SiteAdvisor Service)
SRV - File not found [Auto | Stopped] -- -- (SeaPort)
SRV - File not found [Auto | Stopped] -- -- (PSI_SVC_2)
SRV - File not found [Auto | Stopped] -- -- (PnkBstrA)
SRV - File not found [Auto | Stopped] -- -- (pdfcDispatcher)
SRV - File not found [Auto | Stopped] -- -- (myAgtSvc)
SRV - File not found [Auto | Stopped] -- -- (HPDrvMntSvc.exe)
SRV - File not found [Auto | Stopped] -- -- (HP Support Assistant Service)
SRV - File not found [Auto | Stopped] -- -- (AMD External Events Utility)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?l=dis&o=15183
[2011/02/01 19:05:08 | 000,002,333 | ---- | M] () -- C:\Users\Compaq\AppData\Roaming\Mozilla\Firefox\Profiles\55dupccz.default\searchplugins\askcom.xml
O4 - HKLM..\Run: [SEDG Agent] C:\windows\System32\28463\SEDG.exe ()
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2012/01/22 18:17:37 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2012/01/08 18:12:12 | 000,000,000 | -HSD | C] -- C:\Windows\System32\28463
[2011/12/26 13:03:16 | 000,000,000 | -HSD | C] -- C:\Users\Compaq\AppData\Local\439046a7
[2012/01/22 16:51:40 | 000,000,000 | -HS- | M] () -- C:\Windows\System32\dds_log_trash.cmd

[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

c:\windows\system32\PnkBstrA.exe . . . jest zainfekowany!!
c:\windows\system32\PnkBstrA.exe . . . was deleted!! You should re-install the program it pertains to
.
c:\program files\Common Files\Protexis\License Service\PsiService_2.exe . . . jest zainfekowany!!
c:\program files\Common Files\Protexis\License Service\PsiService_2.exe . . . was deleted!! You should re-install the program it pertains to

musisz przeinstalować, punkbustera a to drugie jest od Protexis Licensing V2,

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

Kto jest na forum