Przeglądarka przekierowuje mnie na inne strony niż wpisuję

**Posty:** 34 · przez **mateusznokian** 10 Sie 2012, 21:00

Witam,
ostatnio zauważyłem że zwolnił mi internet, następnym denerwującym problemem jest przekierowywanie mnie na inną stronę przy wpisaniu w pasek adresu facebook.pl (wyskakuje takie coś jak w załączniku). Mam nadzieję że nie jest to nic poważnego. Proszę o pomoc w przejrzeniu logów i ewentualną pomoc przy usunięciu ewentualnych szkodników. Na dodatek wyświetlają mi się różne strony typu internetowy poker lub kasyno, ankiety ( jakiś gemius chyba).

**Posty:** 205 · przez **defacto19** 10 Sie 2012, 22:03

Przyczyną przekierowywania na niechciane strony jest zmodyfikowany plik hosts, co widać w raporcie:

O1 HOSTS File: ([2012-08-05 22:59:55 | 000,001,198 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts

Uruchom OTL i w sekcji (Własne opcje skanowania/Skrypt) wklej:

:OTL
O4 - HKU\S-1-5-19..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-20..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: ????3?? - Reg Error: Value error. File not found
O8:64bit: - Extra context menu item: ????3?????? - Reg Error: Value error. File not found
O8:64bit: - Extra context menu item: Download all links by FlashGet3 - D:\Programy\FlashGet\BHO\fdgetallurl.htm ()
O8:64bit: - Extra context menu item: Download by FlashGet3 - D:\Programy\FlashGet\BHO\fdgeturl.htm ()
O8:64bit: - Extra context menu item: 使用快车3下载 - C:\Users\uzywka\AppData\Roaming\FlashGetBHO\GetUrl.htm File not found
O8:64bit: - Extra context menu item: 使用快车3下载全部链接 - C:\Users\uzywka\AppData\Roaming\FlashGetBHO\GetAllUrl.htm File not found
O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found
O8 - Extra context menu item: ????3?????? - Reg Error: Value error. File not found
O8 - Extra context menu item: Download all links by FlashGet3 - D:\Programy\FlashGet\BHO\fdgetallurl.htm ()
O8 - Extra context menu item: Download by FlashGet3 - D:\Programy\FlashGet\BHO\fdgeturl.htm ()
O8 - Extra context menu item: 使用快车3下载 - C:\Users\uzywka\AppData\Roaming\FlashGetBHO\GetUrl.htm File not found
O8 - Extra context menu item: 使用快车3下载全部链接 - C:\Users\uzywka\AppData\Roaming\FlashGetBHO\GetAllUrl.htm File not found
O33 - MountPoints2\{084ba567-d808-11e0-8aed-e0b9a534762d}\Shell - "" = AutoRun
O33 - MountPoints2\{2088236b-f196-11e0-b5c9-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\{2088236f-f196-11e0-b5c9-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\{2088236f-f196-11e0-b5c9-6c626d2ce669}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{26b77263-6ce0-11e1-a483-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\{26b77263-6ce0-11e1-a483-6c626d2ce669}\Shell\AutoRun\command - "" = F:\Setup.exe
O33 - MountPoints2\{5133c9e2-0ddc-11e1-b536-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\{5133c9e5-0ddc-11e1-b536-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\{5133c9e5-0ddc-11e1-b536-6c626d2ce669}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{67bb2422-fa78-11e0-a82a-e0b9a534762d}\Shell - "" = AutoRun
O33 - MountPoints2\{67bb2422-fa78-11e0-a82a-e0b9a534762d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{7d3a630e-b914-11e1-b912-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\{7d3a630e-b914-11e1-b912-6c626d2ce669}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{7d3a631d-b914-11e1-b912-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\{7d3a631d-b914-11e1-b912-6c626d2ce669}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{8b51e218-9bf7-11e1-9a0c-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\{8b51e218-9bf7-11e1-9a0c-6c626d2ce669}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{96792d08-d6bf-11e0-a323-e0b9a534762d}\Shell - "" = AutoRun
O33 - MountPoints2\{96792d0c-d6bf-11e0-a323-e0b9a534762d}\Shell - "" = AutoRun
O33 - MountPoints2\{96792d42-d6bf-11e0-a323-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\{96792d46-d6bf-11e0-a323-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\{c0b210d1-f338-11e0-9ea9-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\{c0b210d1-f338-11e0-9ea9-6c626d2ce669}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{d3dc5bbe-d861-11e0-bd76-6c626d2ce669}\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\AutoRun.exe
[2012-08-10 20:21:21 | 000,001,062 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1152562381-3938982502-911269079-1000UA.job
[2012-08-10 20:01:00 | 000,000,930 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012-08-09 19:21:00 | 000,001,010 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1152562381-3938982502-911269079-1000Core.job

:Commands
[resethosts]
[emptytemp]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, i kliknij skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

**Posty:** 34 · przez **mateusznokian** 10 Sie 2012, 22:38

Plik HOSTS zmieniłem sam, gdyż tak się niby blokuje strony przed wyświetlaniem, lecz na te wirusy to nie działało (normalne strony się blokowały). Oto logi:

Ach przypomniałem sobie. Wczoraj w NOD32 wyskoczyło mi na moment takie coś:

Kod: Zaznacz wszystko: 2012-08-10 09:52:57 Real-time file system protection file C:\$RECYCLE.BIN\S-1-5-21-1152562381-3938982502-911269079-1000\$R12V338.exe probably a variant of Win32/UpToDown.B potentially unwanted application unable to clean uzywka-Komputer\uzywka Event occurred on a file modified by the application: C:\Windows\explorer.exe.

Możliwe że OTL pokazuje to w ten sposób:

Kod: Zaznacz wszystko: IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

Czy to coś znaczy? Czy fałszywy alarm?

**Posty:** 205 · przez **defacto19** 10 Sie 2012, 23:58

Plik HOSTS zmieniłem sam, gdyż tak się niby blokuje strony przed wyświetlaniem, lecz na te wirusy to nie działało (normalne strony się blokowały).

Skoro nie wiesz jak blokować strony, za pomocą pliku hosts, to lepiej tego nie rób.

Wszystko wygląda już w porządku. Możesz przejść do finalizacji tematu:

Uruchom OTL i użyj opcji sprzątanie.

Wyczyść stan przywracania systemu -> http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/#1

Zainstaluj aktualizacje do programow wskazanych przez Security Check -> http://screen317.spywareinfoforum.org/
jako out of date.

Autor postu otrzymał pochwałę

**Posty:** 34 · przez **mateusznokian** 11 Sie 2012, 00:45

Dzięki wielkie. Nie przypuszczałem, że aż tyle tego będzie

Mam nadzieję, że reklamy się już nie będą pokazywać.
Udanego weekendu życzę i jeszcze raz dziękuję.