Skocz do zawartości

B1.search - jak usunąć?


Rekomendowane odpowiedzi

Witam,

 

przy ściąganiu pliku pdf, zamiast oczekiwanego pliku ściągnął się plik instalujący wyszukiwarkę B1.search. Miałam już podobny problem z dziadostwem V9 i pomogliście mi go usunąć. Ponownie zatem proszę o pomoc przy usunięciu dziadostwa B1.

 

Podstawowe działania (zmiana ustawień w przeglądarce - używam google chorme; skanowanie komputera antywirusem - ESET Smart Security) nie działają.

 

Załączam raporty z OTL.

 

Z góry dziękuję za ponowną pomoc.

Pozdrawiam

Marzena

 

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Miałam już podobny problem z dziadostwem V9 i pomogliście mi go usunąć.

 

Postujesz aktualnie z nowego konta. Czy ta pomoc odbywała się dla "innego" użytkownika? Pokaż temat, jeśli był robiony tu na forum bezpośrednio. Pytam m.in. dlatego o to, że w raportach są ślady nieprawidłowo usuniętej infekcji trojanem ZeroAccess. Poza tym, używany był TDSSKiller = co w nim robiono / usuwano? Na razie czynności wstępne:

 

1. Otwórz Google Chrome, wejdź do ustawień i przeprowadź następujące działania: w Rozszerzeniach odinstaluj Improved Search (to właśnie ten obiekt modyfikuje ustawienia na search.b1.org), a w konfiguracji strony domowej usuń search.b1.org. Otwórz Firefox i ustaw inną stronę domową niż search.b1.org.

 

2. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB63487$

 

Klik w Unlock.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

IE - HKU\S-1-5-21-2049290462-4258717894-3957272904-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.b1.org/?bsrc=hmior&chid=c167991

O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File not found

O3 - HKU\S-1-5-21-2049290462-4258717894-3957272904-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O4 - HKU\S-1-5-21-2049290462-4258717894-3957272904-1005..\Run: [Privacy Protection] C:\Documents and Settings\All Users\Dane aplikacji\privacy.exe File not found

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)

 

:Files

C:\Documents and Settings\ATomaszewski\Ustawienia lokalne\Dane aplikacji\B1E

C:\Documents and Settings\ATomaszewski\Dane aplikacji\B1Toolbar

C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software

C:\Program Files\Enigma Software Group

del "\\?\C:\Windows\System32\ " /C

del "\\?\C:\Documents and Settings\ATomaszewski\Pulpit\CAZA2HV3." /C

fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB63487$ /C

netsh firewall reset /C

netsh winsock reset /C

 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner oraz zaległy GMER. Dołącz log z usuwania OTL z punktu 3.

 

 

 

.

Odnośnik do komentarza

Postujesz aktualnie z nowego konta. Czy ta pomoc odbywała się dla "innego" użytkownika? Pokaż temat, jeśli był robiony tu na forum bezpośrednio. Pytam m.in. dlatego o to, że w raportach są ślady nieprawidłowo usuniętej infekcji trojanem ZeroAccess. Poza tym, używany był TDSSKiller = co w nim robiono / usuwano?

 

Dziękuję za pomoc.

 

Jeśli chodzi o poprzednią sprawę, niestety straciłam dane do konta (szczerze, po prostu zapomniałam i login, i hasło...), dlatego musiałam założyć nowe. Dotyczyło ono jednak innego komputera, którego już nie mam. Może uda mi się przypomnieć chociaż login, to spróbuję odnaleźć tego posta.

 

Obecny problem dotyczy komputera, którego używała przede mną inna osoba. Najwyraźniej coś próbowała działać, ale nie znam szczegółów.

 

Wykonałam zalecone działania. Załączam raporty. Niestety nie mogę dołączyć loga OTL z pkt 3, bo pokazuje mi się komunikat, że nie mam uprawnień do wysyłania tego typu plików. Ponadto, podczas skanowania OTL wyświetla mi się alert, że aby uruchomić tę aplikację najpierw trzeba zainstalować jedną z następujących wersji platformy .NET Framework: v2.0.50727 i że mam się skontaktować z wydawcą w celu uzyskania tej wersji. Znalazłam tą wersję, instalacja się nie powiodła, z komunikatu dowiedziałam się, że wersja jest niekompatybilna z tą już zainstalowaną... Czy raport będzie poprawny?

 

Skoro go nie mogę załączyć, może mogę go wkleić:

 

All processes killed

========== OTL ==========

HKU\S-1-5-21-2049290462-4258717894-3957272904-1005\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-2049290462-4258717894-3957272904-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.

Registry value HKEY_USERS\S-1-5-21-2049290462-4258717894-3957272904-1005\Software\Microsoft\Windows\CurrentVersion\Run\\Privacy Protection deleted successfully.

Service esgiguard stopped successfully!

Service esgiguard deleted successfully!

File C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys not found.

========== FILES ==========

C:\Documents and Settings\ATomaszewski\Ustawienia lokalne\Dane aplikacji\B1E folder moved successfully.

C:\Documents and Settings\ATomaszewski\Dane aplikacji\B1Toolbar folder moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software folder moved successfully.

C:\Program Files\Enigma Software Group\SpyHunter\Log folder moved successfully.

C:\Program Files\Enigma Software Group\SpyHunter\Data folder moved successfully.

C:\Program Files\Enigma Software Group\SpyHunter folder moved successfully.

C:\Program Files\Enigma Software Group folder moved successfully.

< del "\\?\C:\Windows\System32\ " /C >

C:\Documents and Settings\ATomaszewski\Pulpit\cmd.bat deleted successfully.

C:\Documents and Settings\ATomaszewski\Pulpit\cmd.txt deleted successfully.

< del "\\?\C:\Documents and Settings\ATomaszewski\Pulpit\CAZA2HV3." /C >

C:\Documents and Settings\ATomaszewski\Pulpit\cmd.bat deleted successfully.

C:\Documents and Settings\ATomaszewski\Pulpit\cmd.txt deleted successfully.

< fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB63487$ /C >

C:\Documents and Settings\ATomaszewski\Pulpit\cmd.bat deleted successfully.

C:\Documents and Settings\ATomaszewski\Pulpit\cmd.txt deleted successfully.

< netsh firewall reset /C >

Ok.

C:\Documents and Settings\ATomaszewski\Pulpit\cmd.bat deleted successfully.

C:\Documents and Settings\ATomaszewski\Pulpit\cmd.txt deleted successfully.

< netsh winsock reset /C >

Pomylnie zresetowano Winsock Catalog.

Musisz ponownie uruchomi† komputer, aby ukoäczy† resetowanie.

C:\Documents and Settings\ATomaszewski\Pulpit\cmd.bat deleted successfully.

C:\Documents and Settings\ATomaszewski\Pulpit\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: All Users

 

User: ATomaszewski

->Temp folder emptied: 80206404 bytes

->Temporary Internet Files folder emptied: 12712470 bytes

->Java cache emptied: 89262 bytes

->FireFox cache emptied: 6615200 bytes

->Google Chrome cache emptied: 116983627 bytes

->Flash cache emptied: 765 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: LocalService

->Temp folder emptied: 86109 bytes

->Temporary Internet Files folder emptied: 6420123 bytes

->Flash cache emptied: 610 bytes

 

User: NetworkService

->Temp folder emptied: 3596 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1500435 bytes

%systemroot%\System32 .tmp files removed: 2596 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 16867 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 214,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 04192013_111128

 

Files\Folders moved on Reboot...

C:\WINDOWS\temp\Perflib_Perfdata_7e4.dat moved successfully.

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

FSS.txt

GMER.txt

OTL_po.Txt

Odnośnik do komentarza

Niestety nie mogę dołączyć loga OTL z pkt 3, bo pokazuje mi się komunikat, że nie mam uprawnień do wysyłania tego typu plików.

 

Logi z usuwania mają rozszerzenie *.LOG. W załącznikach dopuszczam tylko *.TXT. Na przyszłość: należy ręcznie zmienić nazwę pliku.

 

 

Ponadto, podczas skanowania OTL wyświetla mi się alert, że aby uruchomić tę aplikację najpierw trzeba zainstalować jedną z następujących wersji platformy .NET Framework: v2.0.50727 i że mam się skontaktować z wydawcą w celu uzyskania tej wersji. Znalazłam tą wersję, instalacja się nie powiodła, z komunikatu dowiedziałam się, że wersja jest niekompatybilna z tą już zainstalowaną... Czy raport będzie poprawny?

 

Skan OTL nie powinien mieć nic wspólnego z .NET Framework, nie wymaga go wcale. Skoro widzisz taki komunikat podczas skanowania, OTL tylko pośrednio się przyczynia do jego ujawnienia (tzn. być może akurat skanuje strefę, która się wadliwa i "odpala" to błąd). Pokaż mi ten komunikat na obrazku.

 

 

Zadania wykonane, wg raportu pozostały do korekty:

 

1. Usunięcie szczątkowego katalogu infekcji ZeroAccess i pliku z wadliwą nazwą. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\$NtUninstallKB63487$
del "\\?\C:\Documents and Settings\ATomaszewski\Pulpit\CAZA2HV3." /C

 

Klik w Wykonaj skrypt. Nie będzie restartu. Do oceny wystarczy tylko log z wynikami usuwania. Będzie krótki, więc wklej wprost w poście.

 

2. W Google Chrome nadal widać stronę startową:

 

========== Chrome ==========

 

CHR - homepage: http://search.b1.org/?bsrc=hmcor&chid=c167991

 

Czy na pewno nie widać tego w ustawieniach? I czy poza tym co cytuję gdzieś jeszcze w Google Chrome ujawnia się ten śmieć?

 

 

.

Odnośnik do komentarza

Logi z usuwania mają rozszerzenie *.LOG. W załącznikach dopuszczam tylko *.TXT. Na przyszłość: należy ręcznie zmienić nazwę pliku.

 

Będę wiedzieć na przyszłość.

 

Załączam obrazek z komunikatem o .NET Framework.

 

Poniżej ostatni raport z OTL:

 

 

========== FILES ==========
C:\WINDOWS\$NtUninstallKB63487$\1620863132\U folder moved successfully.
C:\WINDOWS\$NtUninstallKB63487$\1620863132\L folder moved successfully.
C:\WINDOWS\$NtUninstallKB63487$\1620863132 folder moved successfully.
Folder move failed. C:\WINDOWS\$NtUninstallKB63487$ scheduled to be moved on reboot.
< del "\\?\C:\Documents and Settings\ATomaszewski\Pulpit\CAZA2HV3." /C >
C:\fixit\OTL\cmd.bat deleted successfully.
C:\fixit\OTL\cmd.txt deleted successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04222013_103540
 
Files\Folders moved on Reboot...
Folder move failed. C:\WINDOWS\$NtUninstallKB63487$ scheduled to be moved on reboot.
 
PendingFileRenameOperations files...
 
Registry entries deleted on Reboot...

 

 

W chromie nie widzę nigdzie śmiecia, ani w ustawieniach, ani w rozszerzeniach.

post-10500-0-06274700-1366620481_thumb.jpg

Odnośnik do komentarza

1. Ostatni skrypt OTL niestety nie wykonał wszystkiego, jest problem z usunięciem folderu ZeroAccess. Powtórka. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB63487$

 

Klik w Unlock. Następnie uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\WINDOWS\$NtUninstallKB63487$

 

Klik w Wykonaj skrypt. Wklej do posta log z wynikami usuwania.

 

2. W ustawieniach Google Chrome nie widzisz, ale w logu jest. Dostarcz mi pełny plik preferencji przeglądarki. Tzn. skopiuj na Pulpit ten plik, shostuj gdzieś i podaj doń link:

 

C:\Documents and Settings\ATomaszewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

3. Wbrew pozorom to nie wygląda na komunikat OTL per se. W momencie, gdy błąd występuje, OTL na dole skanuje ścieżkę C:\Windows\Assembly, co sugeruje, że OTL po prostu rusza skanem element, który ma kłopoty z .NET Framework. Proponuję:

 

- Odinstalować wszystkie pozycje .NET Framework aktualnie zainstalowane w systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{5AF71003-1797-4D93-9F37-4F2125CBF539}" = Microsoft .NET Framework 2.0 Language Pack - PLK

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{FD593DE6-C3A0-4722-8E86-9DEEF0A93290}" = Microsoft .NET Framework 3.0 Polish Language Pack

"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1

"Microsoft .NET Framework 2.0 Language Pack - PLK" = Microsoft .NET Framework 2.0 — pakiet języka polskiego

"Microsoft .NET Framework 3.0 Polish Language Pack" = Pakiet języka polskiego dla systemu Microsoft .NET Framework 3.0

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

 

- Poprawić narzędziem .NET Framework Cleanup Tool.

- Następnie zainstalować pakiet .NET Framework 3.5 SP1.

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...

Nie przedstawiłaś wyników przetwarzania skryptu w punkcie 1. Nie wypowiadasz się konkretnie na temat akcji z .NET Framework. Natomiast w kwestii Preferences, dlaczego zapis do TXT, czy aby Ci nie chodzi o załączniki forum? Blokuję wszystko poza TXT, a prosiłam o oryginalny plik Preferences, bo taki miał być edytowany a nie kopia (której znów należałoby zmienić rozszerzenie). W tym pliku jednak niewiele jest do edycji (jedna linijka) i sama możesz to zrobić:

 

1. Zamknij Google Chrome, nie może być otwarte podczas operacji. Upewnij się, że w procesach nie działa chrome.exe.

 

2. Otwórz w Notatniku oryginalny plik C:\Documents and Settings\ATomaszewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences (a nie jego kopię w TXT), CTRL+F i wpisz na szukanie frazę homepage, powinno znaleźć ten fragment:

 

 "homepage": "http://search.b1.org/?bsrc=hmcor&chid=c167991",

"homepage_changed": true,

"homepage_is_newtabpage": false,

 

Zedytuj w pierwszej linii adresy na:

 

 "homepage": "http://www.google.pl/",

"homepage_changed": true,

"homepage_is_newtabpage": false,

 

Zapisz zmiany w pliku.

 

3. Uruchom Google Chrome, by sprawdzić czy nie wyrzuca błędu po edycji pliku.

 

 

.

Edytowane przez picasso
12.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...