• Ogłoszenie:

Portal v9- uciążliwa strona startowa-wirus z programu pazera

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: trzy z FRST + Gmer.

Portal v9- uciążliwa strona startowa-wirus z programu pazera

Postprzez cbol 02 Kwi 2012, 21:07

reklama
Witam ostatnio instalowałem program pazera free MP4 to avi i najprawdopodobniej po instalacji tego programu przy uruchamianiu przeglądarek uruchamia mi się strona http://pl.v9.com/?utm_source=b&utm_medium=imb . Odinstalowałem program ale problem nie zniknął i nie wiem jak sobie z nim poradzić skanowałem malware nic nie wykryło . Zastanawiam się czy czasem nie mam na komputerze keyloggera. Oto logi z OTL:
Załączniki
OTL.Txt
(102.4 KiB) Ściągnięto 464 razy
cbol
~user
 
Posty: 13
Dołączenie: 27 Gru 2011, 14:22



Portal v9- uciążliwa strona startowa

Postprzez wojtas 02 Kwi 2012, 21:19

a gdzie drugi log z OTL? nie zaznaczyłeś opcji Rejestr- skan dodatkowy - użyj filtrowania , proszę to wykonać w następnym poście

odinstaluj w dodaj usuń programy:
Akamai NetSession Interface Service,

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/?utm_source=b&utm_medium=imb
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://pl.v9.com/?utm_source=b&utm_medium=imb
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/?utm_source=b&utm_medium=imb
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://pl.v9.com/?utm_source=b&utm_medium=imb
FF - HKLM\Software\MozillaPlugins\@pandasecurity.com/activescan: C:\Program Files (x86)\Panda Security\ActiveScan 2.0\npwrapper.dll File not found
[2012/04/01 17:50:04 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKCU..\Run: [Akamai NetSession Interface] C:\Users\Łukasz\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 [2011/06/08 18:49:25 | 000,000,000 | ---D | M]
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Reg Error: Key error.)
[2012/04/01 17:49:50 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\v9Soft
[2012/04/01 17:49:04 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\pazera-software
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:05EE1EEF
@Alternate Data Stream - 117 bytes -> C:\ProgramData\Temp:2B11E0DF

:Commands
[emptytemp]


Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (uruchom z prawokliku "jako Administrator)
Pokaż raport z niego

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). Pamiętaj też o extras.txt
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Portal v9- uciążliwa strona startowa

Postprzez cbol 03 Kwi 2012, 06:54

Wykonałem czynności o które mówiłeś ale dalej pokazuje się ta nieszczęsna strona startowa ;/ Oto logi z OTL :
Kod: Zaznacz wszystko
All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@pandasecurity.com/activescan\ deleted successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Akamai NetSession Interface deleted successfully.
File C:\Users\Łukasz\AppData\Local\Akamai\netsession_win.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
C:\Program Files (x86)\v9Soft folder moved successfully.
C:\Program Files (x86)\pazera-software\MP4_to_AVI_Converter\profiles folder moved successfully.
C:\Program Files (x86)\pazera-software\MP4_to_AVI_Converter folder moved successfully.
C:\Program Files (x86)\pazera-software folder moved successfully.
ADS C:\ProgramData\Temp:05EE1EEF deleted successfully.
ADS C:\ProgramData\Temp:2B11E0DF deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56468 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Gość
->Temp folder emptied: 750848 bytes
->Temporary Internet Files folder emptied: 64044 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 139062248 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1943 bytes

User: Lukasz

User: Public

User: úukasz

User: Łukasz
->Temp folder emptied: 1355777 bytes
->Temporary Internet Files folder emptied: 1592993 bytes
->Java cache emptied: 515135 bytes
->FireFox cache emptied: 49406896 bytes
->Google Chrome cache emptied: 19561796 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 57873 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 18536 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50333 bytes
RecycleBin emptied: 150467 bytes

Total Files Cleaned = 203.00 mb


OTL by OldTimer - Version 3.2.39.2 log created on 04032012_063020

Files\Folders moved on Reboot...
C:\Users\Łukasz\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\windows\temp\sqlite_41iqM1vBntJbjlX moved successfully.
C:\windows\temp\sqlite_5KdEwFTRVvdc4OV moved successfully.
C:\windows\temp\sqlite_i5tYQhIcVHweQzs moved successfully.

Registry entries deleted on Reboot...
Załączniki
AdwCleaner[S1].txt
(9.69 KiB) Ściągnięto 161 razy
OTL.Txt
(172.03 KiB) Ściągnięto 151 razy
Extras.Txt
(72.7 KiB) Ściągnięto 97 razy
cbol
~user
 
Posty: 13
Dołączenie: 27 Gru 2011, 14:22



Portal v9- uciążliwa strona startowa

Postprzez wojtas 03 Kwi 2012, 16:20

V9Software" = Deinstalator Strony V9

zobacz czy masz to w dodaj usuń, jeśli tak wywal to z systemu

wejdź w opcje przeglądarki i ustaw startową na np. www.google.pl , zrób reset i zobacz jak sytuacja.
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Portal v9- uciążliwa strona startowa

Postprzez cbol 03 Kwi 2012, 17:40

Był deinstalator w dodaj usuń, usunąłem i w przeglądarce ustawiałem strone startową na inną i żadnego efektu . Co ciekawie na każdej przeglądarce jakie mam zainstalowane (chrome, firefox , IE) włącza sie ta strona startowa.
cbol
~user
 
Posty: 13
Dołączenie: 27 Gru 2011, 14:22



Portal v9- uciążliwa strona startowa

Postprzez wojtas 03 Kwi 2012, 17:55

a zobacz czy w menedżer rozszerzeń Firefoxa i Chrome nie ma nic od tej strony... jak jest odinstaluj i daj nowe logi z OTL


V9 uruchamia się poprzez dopisanie do skrótu przeglądarki internetowej.
Najlepiej jest usunąć V9 z opcji przeglądarki a następnie kliknąć prawym na skrócie przeglądarki w menu start i w oknie które się nam pojawiło w polu Element docelowy usuwamy wszystko po .exe pewnie będzie to coś w stylu http://www.v9.com&.......
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Portal v9- uciążliwa strona startowa

Postprzez cbol 03 Kwi 2012, 19:42

Usunąłem ten dodatkowy wpis w elemencie docelowym przeglądarek i bez zmian .
Załączniki
OTL.Txt
(171.77 KiB) Ściągnięto 155 razy
Extras.Txt
(73.71 KiB) Ściągnięto 87 razy
cbol
~user
 
Posty: 13
Dołączenie: 27 Gru 2011, 14:22



Portal v9- uciążliwa strona startowa

Postprzez wojtas 03 Kwi 2012, 21:14

odinstaluj : Hyperionics DB Toolbar

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Reg Error: Key error.)

:Reg
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="about:blank"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Secondary Start Pages"="about:blank"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

:Commands
[emptytemp]


Kliknij wykonaj skrypt. I potwierdź reset komputera .

Uruchom SystemLook 64

wklej:
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\Google Chrome\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command


i daj look, i raport

Dodano 03.04.2012 21:15:14:
Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Reg Error: Key error.)

:Reg
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{B5C7055E-7998-4180-8F2A-3D5817EC95AD}"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="about:blank"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Secondary Start Pages"="about:blank"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

:Commands
[emptytemp]




Kliknij wykonaj skrypt. I potwierdź reset komputera .
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Portal v9- uciążliwa strona startowa

Postprzez cbol 04 Kwi 2012, 06:46

Niestety nie pozbyłem sie tego.
Załączniki
SystemLook.txt
(1.48 KiB) Ściągnięto 74 razy
cbol
~user
 
Posty: 13
Dołączenie: 27 Gru 2011, 14:22



Portal v9- uciążliwa strona startowa

Postprzez wojtas 04 Kwi 2012, 08:49

Wklej do notatnika systemowego ten tekst:

Wklej do notatnika systemowego ten tekst:

Windows Registy Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command]
@="C:\\Program Files\\Mozilla Firefox\\firefox.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\CHROME.EXE\shell\open\command]
@="C:\\Users\Łukasz\\AppData\\Local\\Google\\Chrome\\Application\\chrome.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe"

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik i dodaj do rejestru. zrób reset kompa i daj znać
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Portal v9- uciążliwa strona startowa-wirus z programu pazera

Postprzez cbol 04 Kwi 2012, 17:10

Wykonałem, bez zmian.
cbol
~user
 
Posty: 13
Dołączenie: 27 Gru 2011, 14:22



Portal v9- uciążliwa strona startowa-wirus z programu pazera

Postprzez wojtas 04 Kwi 2012, 17:22

Wklej do notatnika systemowego ten tekst:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command]
@="C:\\Program Files\\Mozilla Firefox\\firefox.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe"


Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik i dodaj do rejestru. zrób reset kompa i daj znać
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Portal v9- uciążliwa strona startowa-wirus z programu pazera

Postprzez cbol 04 Kwi 2012, 19:22

Dalej bez zmian. Zauważyłem że mam problem z zainstalowaniem Javy . Pokazuje mi się okno( ostrzeżenie o zabezpieczeniach) z wiadomością że system napotkał problemy z plikiem jre.1.6.0_31-c-l.msi
cbol
~user
 
Posty: 13
Dołączenie: 27 Gru 2011, 14:22



Portal v9- uciążliwa strona startowa-wirus z programu pazera

Postprzez wojtas 05 Kwi 2012, 08:36

pokaż nowe logi w tym loga z System Look z takim samym skryptem.
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Portal v9- uciążliwa strona startowa-wirus z programu pazera

Postprzez cbol 05 Kwi 2012, 14:12

Oto logi:
Załączniki
SystemLook.txt
(1.37 KiB) Ściągnięto 179 razy
OTL.Txt
(105.57 KiB) Ściągnięto 85 razy
Extras.Txt
(75.71 KiB) Ściągnięto 72 razy
cbol
~user
 
Posty: 13
Dołączenie: 27 Gru 2011, 14:22



Portal v9- uciążliwa strona startowa-wirus z programu pazera

Postprzez wojtas 05 Kwi 2012, 18:35

wyłącz przeglądarki :
Wklej do notatnika systemowego ten tekst:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\Google Chrome\shell\open\command]
@="C:\\Users\\Łukasz\\AppData\\Local\Google\\Chrome\\Application\\chrome.exe"


Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik i dodaj do rejestru. zrób reset kompa i daj znać
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Portal v9- uciążliwa strona startowa-wirus z programu pazera

Postprzez cbol 05 Kwi 2012, 20:03

Dalej to samo , strona sie V9 sie włącza przy starcie, javy też nie moge zainstalować
cbol
~user
 
Posty: 13
Dołączenie: 27 Gru 2011, 14:22



Portal v9- uciążliwa strona startowa-wirus z programu pazera

Postprzez wojtas 06 Kwi 2012, 17:42

ale nadal we wszystkich przeglądarkach ? daj nowe logi :)
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Portal v9- uciążliwa strona startowa-wirus z programu pazera

Postprzez dlogi83 08 Kwi 2012, 21:24

W panelu sterowania, w dodaj usuń programy jest deinstalator strony startowej v9.
U mnie zadziałało.
dlogi83
~user
 
Posty: 1
Dołączenie: 08 Kwi 2012, 21:19



Portal v9- uciążliwa strona startowa-wirus z programu pazera

Postprzez cbol 12 Kwi 2012, 09:34

Ja też użyłem tego deinstalatora ale niestety dalej ta strona się pokazuje .


edit.
daj PPM na każdej ikonce przeglądarek:
właściwości > skrót > element docelowy i zobacz co tam masz jeśli masz link z V9 skasuj a zostaw tylko ścieżkę do programu:

daj loga jeszcze z System Look. i daj znać na PW jak dodasz :)
Załączniki
SystemLook.txt
(1.29 KiB) Ściągnięto 121 razy
OTL.Txt
(102.74 KiB) Ściągnięto 88 razy
Extras.Txt
(74.71 KiB) Ściągnięto 80 razy
cbol
~user
 
Posty: 13
Dołączenie: 27 Gru 2011, 14:22



Następna

Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 5 gości