8 odpowiedzi w tym temacie

[GOTENROT]

Witam,

Proszę o pomoc.
Podabnie jak u Patrycji mam problem z przekierowywaniem wyników z google na inne strony. Podaję strony na które za każdym razem po wyszukaniu w przeglądarce jakiejś strony po kliknięciu na tą stronę wchodzą mi na przemian jedna lub druga:

hxxp://intermanews.com/pages/home/?ppcid=10216&all_3_7&keyword=pc
hxxp://serch-direct.com/in.php?source=7777&q=ranking%20patelni%20ceramicznych&suid=60387&rnd=ZumlpFHf4NM6Hg0PQEO%2Fbw%3D%3D

lub też jakieś z grami online.
Dopiero za którymś razem wskakuje ta na którą chcę wejść.

Podaję dane odnośnie komputera:
system 32 bitowy, procesor AMD Sempron 3000+, RAM 512 Mb,

Poniżej logi z OTL i GMERa. Odnośnie sterowników sptd sprawdziłem i chyba ich nie miałem zainstalowanych ale gdybym się mylił proszę o informację to zrobię log z GMERa jeszcze raz.
Skanowałem komputer TDSSKiller,em , Combofixem,Curelt nic nie wykazały . Combofix usuną mi folder Toolbar 4. Załączam też log.

Załączone pliki

•  OTL.Txt   49.54 KB   38 Ilość pobrań
•  Extras.Txt   35.64 KB   23 Ilość pobrań
•  log GMER.txt   6.21 KB   26 Ilość pobrań
•  ComboFix.txt   6.45 KB   27 Ilość pobrań

[picasso]

U Ciebie (w odróżnieniu od Patrycji) sytuacja jest oczywista, infekcja dobrze widoczna w raportach w postaci tej pary plików:

[2012-04-18 10:41:39 | 000,122,880 | RHS- | C] () -- C:\WINDOWS\System32\dnsapij.dll
[2012-04-18 10:41:39 | 000,000,304 | ---- | C] () -- C:\WINDOWS\tasks\PNWBWB.job

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\WINDOWS\System32\dnsapij.dll
C:\WINDOWS\tasks\PNWBWB.job
C:\Documents and Settings\PC\Dane aplikacji\searchquband
C:\Documents and Settings\PC\Dane aplikacji\searchqutoolbar

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\9.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\PC\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\PC\USTAWI~1\Temp\afrdikod.sys -- (afrdikod)
O3 - HKU\S-1-5-21-1417001333-1303643608-725345543-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

:Commands
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

2. W związku z obecnością resztówek sponsoringowych obiektów użyj AdwCleaner z opcji Delete.

3. Wygeneruj nowy log z OTL opcją Skanuj (Extras już niepotrzebne po raz wtóry). Dołącz log z wynikami usuwania z punktu 1 oraz 2.



.

[GOTENROT]

Zrobiłem zgodnie z wytycznymi. Google już nie przekierowywuje na inne strony.
Bardzo dziękuję za pomoc.
Mam jednak pytanie. Po uruchomieniu OTL i wklejeniu we własne opcje skanowania/skrypt powyższych poleceń komputer zaczął się wyłączać. Pojawił się komunikat trwa zamykanie systemu. Po godzinie zrestartowałem go przyciskiem. Czy nie wpłynęło to na działanie OTL. Jeśli nie to po jakim czasie można go bezpiecznie zrestartować, żeby OTL wykonał całościowo usuwanie. To tak na marginesie.
Poniżej dołączam logi z OTL po wykonaniu skryptu. Nie dodałem załącznika ponieważ pokazuje się komunikat, że nie mam uprawnień do wysyłania tego rodzaju plików.
Jeszcze raz dziękuję.


All processes killed
========== FILES ==========
C:\WINDOWS\System32\dnsapij.dll moved successfully.
C:\WINDOWS\tasks\PNWBWB.job moved successfully.
C:\Documents and Settings\PC\Dane aplikacji\searchquband folder moved successfully.
C:\Documents and Settings\PC\Dane aplikacji\searchqutoolbar folder moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}\ not found.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D7562AE-8EF6-416d-A838-AB665251703A}\ not found.
========== OTL ==========
Service MEMSWEEP2 stopped successfully!
Service MEMSWEEP2 deleted successfully!
File C:\WINDOWS\system32\9.tmp not found.
Service catchme stopped successfully!
Service catchme deleted successfully!
File C:\DOCUME~1\PC\USTAWI~1\Temp\catchme.sys not found.
Error: No service named afrdikod was found to stop!
Service\Driver key afrdikod not found.
File C:\DOCUME~1\PC\USTAWI~1\Temp\afrdikod.sys not found.
Registry value HKEY_USERS\S-1-5-21-1417001333-1303643608-725345543-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 1110 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56475 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: PC
->Temp folder emptied: 1523994 bytes
->Temporary Internet Files folder emptied: 23421640 bytes
->Java cache emptied: 2226820 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 470 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134153 bytes
%systemroot%\System32 .tmp files removed: 2596 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
RecycleBin emptied: 595968 bytes

Total Files Cleaned = 29,00 mb


OTL by OldTimer - Version 3.2.42.0 log created on 04262012_174919
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...

Załączone pliki

•  AdwCleanerS1.txt   7.81 KB   25 Ilość pobrań
•  OTL.Txt   45.73 KB   23 Ilość pobrań

[picasso]

Zadanie prawie wykonane, tzn. infekcja oczywiście usunięta, ale mimo iż usuwałam wyszukiwarkę adware dts.search-results.com z Internet Explorer, ona powróciła. Przy okazji zajmę się i innymi rzeczami spoza zakresu infekcji.

1. Proponuję zresetować Internet Explorer: Opcje internetowe > Zaawansowane > Resetuj. Po tej akcji trzeba będzie ponownie włączyć określone wtyczki, z tym że Adobe Flash sobie daruj (zainstalowana stara wersją, którą i tak należy ze względów bezpieczeństwa wywalić i zainstalować najnowszą).

2. Widzę tu szczątki Google Chrome oraz Firefox, załatwy i je:
- W pasku adresów Windows Explorer wklej C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji i sprawdź czy jest tam folder Google z podfolderem Google Chrome, a znaleziony skasuj.
- Następnie Start > Uruchom > regedit i skasuj z rejestru wszystkie klucze spełniające warunek HKEY_LOCAL_MACHINE\Software\Mozilla*

3. Kolejna sprawa to przestarzały firewall nVidia, który może przysparzać kłopotów. Wejdź do Dodaj / Usuń programy i odinstaluj NVIDIA ForceWare Network Access Manager.

4. Po wykonaniu wszystkich czynności wykonaj nowy log z OTL z opcji Skanuj.

Mam jednak pytanie. Po uruchomieniu OTL i wklejeniu we własne opcje skanowania/skrypt powyższych poleceń komputer zaczął się wyłączać. Pojawił się komunikat trwa zamykanie systemu. Po godzinie zrestartowałem go przyciskiem. Czy nie wpłynęło to na działanie OTL. Jeśli nie to po jakim czasie można go bezpiecznie zrestartować, żeby OTL wykonał całościowo usuwanie. To tak na marginesie.

Kiedy mu przerwać, gdy operacja się dłuży, nie można określić, OTL może przetwarzać dane w różnym zakresie czasowym. Dopóki są jakieś widzialne znaki przetwarzania zadań, należy go zostawić w spokoju. Aczkolwiek u Ciebie wygląda to jakby na zawieszenie. Wg loga z usuwania OTL jednak skończył swoje zadania.




.

[GOTENROT]

Zrobiłem zgodnie z instrukcją. Nie udało mi się tylko odinstalować adobe flash player. Ściągnąłem uninstallera adobe jednak przy jego uruchomieniu pojawia się komunikat "temu komputerowi zablokowano uprawnienia do uruchamiania programu". Nie wiem co dalej. Zrobiłem kolejny log z OTL - załączam poniżej. Proszę o dalsze instrukcje.
Internet jak narazie działa bez problemu i jakby trochę szybciej.
Mam pytanie. Przeskanowałem w ccleaner rejestr i wyszła cała lista do naprawy. Czy mogę nacisknąć napraw nie obawiając się, że coś się stanie z rejestrem.

Załączone pliki

•  OTL.Txt   38.87 KB   23 Ilość pobrań
•  Extras.Txt   33.91 KB   23 Ilość pobrań

[picasso]

Nie udało mi się tylko odinstalować adobe flash player. Ściągnąłem uninstallera adobe jednak przy jego uruchomieniu pojawia się komunikat "temu komputerowi zablokowano uprawnienia do uruchamiania programu". Nie wiem co dalej.

Sprawdź czy określoną instalację Flash widzi Windows Installer CleanUp.

Mam pytanie. Przeskanowałem w ccleaner rejestr i wyszła cała lista do naprawy. Czy mogę nacisknąć napraw nie obawiając się, że coś się stanie z rejestrem.

Nie zostały podane wyniki skanu, toteż nie mogę tego ocenić. Usuwanie wpisów rejestru "w ciemno" jest nieprzewidywalne, programy nie są idealne i mogą podsuwać wyniki, które nie mają kwalifikacji do usunięcia.



.

[GOTENROT]

Ściągnąłem windows installer i udało się odinstalować adobe flash i zainstalować nową wersję. Poniżej umieściłem logi nowe z OTL i ccleaner. Proszę o sprawdzenie i wskazówki co z rejestru mogę usunąć.

Załączone pliki

•  registry.txt   64.17 KB   127 Ilość pobrań

[picasso]

Nowe logi z OTL nie są mi potrzebne (wszystkie dane już są we wcześniejszym), usuwam. Wyciąg z CCleaner: zdaje się, że można to usuwać, ale oczywiście przed akcją zrób kopię usuwanych wpisów za pomocą CCleaner. Na zakończenie historii z infekcją wykonaj czyszczenie folderów Przywracania systemu: KLIK.


.

[GOTENROT]

Zrobiłem jak wyżej. Wszystko jest OK. Dziękuję bardzo za pomoc.