GOTENROT Opublikowano 25 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2012 Witam, Proszę o pomoc. Podabnie jak u Patrycji mam problem z przekierowywaniem wyników z google na inne strony. Podaję strony na które za każdym razem po wyszukaniu w przeglądarce jakiejś strony po kliknięciu na tą stronę wchodzą mi na przemian jedna lub druga: hxxp://intermanews.com/pages/home/?ppcid=10216&all_3_7&keyword=pc hxxp://serch-direct.com/in.php?source=7777&q=ranking%20patelni%20ceramicznych&suid=60387&rnd=ZumlpFHf4NM6Hg0PQEO%2Fbw%3D%3D lub też jakieś z grami online. Dopiero za którymś razem wskakuje ta na którą chcę wejść. Podaję dane odnośnie komputera: system 32 bitowy, procesor AMD Sempron 3000+, RAM 512 Mb, Poniżej logi z OTL i GMERa. Odnośnie sterowników sptd sprawdziłem i chyba ich nie miałem zainstalowanych ale gdybym się mylił proszę o informację to zrobię log z GMERa jeszcze raz. Skanowałem komputer TDSSKiller,em , Combofixem,Curelt nic nie wykazały . Combofix usuną mi folder Toolbar 4. Załączam też log. OTL.Txt Extras.Txt log GMER.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2012 U Ciebie (w odróżnieniu od Patrycji) sytuacja jest oczywista, infekcja dobrze widoczna w raportach w postaci tej pary plików: [2012-04-18 10:41:39 | 000,122,880 | RHS- | C] () -- C:\WINDOWS\System32\dnsapij.dll[2012-04-18 10:41:39 | 000,000,304 | ---- | C] () -- C:\WINDOWS\tasks\PNWBWB.job 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\System32\dnsapij.dll C:\WINDOWS\tasks\PNWBWB.job C:\Documents and Settings\PC\Dane aplikacji\searchquband C:\Documents and Settings\PC\Dane aplikacji\searchqutoolbar :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\9.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\PC\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\PC\USTAWI~1\Temp\afrdikod.sys -- (afrdikod) O3 - HKU\S-1-5-21-1417001333-1303643608-725345543-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 2. W związku z obecnością resztówek sponsoringowych obiektów użyj AdwCleaner z opcji Delete. 3. Wygeneruj nowy log z OTL opcją Skanuj (Extras już niepotrzebne po raz wtóry). Dołącz log z wynikami usuwania z punktu 1 oraz 2. . Odnośnik do komentarza
GOTENROT Opublikowano 26 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2012 Zrobiłem zgodnie z wytycznymi. Google już nie przekierowywuje na inne strony. Bardzo dziękuję za pomoc. Mam jednak pytanie. Po uruchomieniu OTL i wklejeniu we własne opcje skanowania/skrypt powyższych poleceń komputer zaczął się wyłączać. Pojawił się komunikat trwa zamykanie systemu. Po godzinie zrestartowałem go przyciskiem. Czy nie wpłynęło to na działanie OTL. Jeśli nie to po jakim czasie można go bezpiecznie zrestartować, żeby OTL wykonał całościowo usuwanie. To tak na marginesie. Poniżej dołączam logi z OTL po wykonaniu skryptu. Nie dodałem załącznika ponieważ pokazuje się komunikat, że nie mam uprawnień do wysyłania tego rodzaju plików. Jeszcze raz dziękuję. All processes killed ========== FILES ========== C:\WINDOWS\System32\dnsapij.dll moved successfully. C:\WINDOWS\tasks\PNWBWB.job moved successfully. C:\Documents and Settings\PC\Dane aplikacji\searchquband folder moved successfully. C:\Documents and Settings\PC\Dane aplikacji\searchqutoolbar folder moved successfully. ========== REGISTRY ========== HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}\ not found. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D7562AE-8EF6-416d-A838-AB665251703A}\ not found. ========== OTL ========== Service MEMSWEEP2 stopped successfully! Service MEMSWEEP2 deleted successfully! File C:\WINDOWS\system32\9.tmp not found. Service catchme stopped successfully! Service catchme deleted successfully! File C:\DOCUME~1\PC\USTAWI~1\Temp\catchme.sys not found. Error: No service named afrdikod was found to stop! Service\Driver key afrdikod not found. File C:\DOCUME~1\PC\USTAWI~1\Temp\afrdikod.sys not found. Registry value HKEY_USERS\S-1-5-21-1417001333-1303643608-725345543-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 1110 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56475 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 49286 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: PC ->Temp folder emptied: 1523994 bytes ->Temporary Internet Files folder emptied: 23421640 bytes ->Java cache emptied: 2226820 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 470 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2134153 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes RecycleBin emptied: 595968 bytes Total Files Cleaned = 29,00 mb OTL by OldTimer - Version 3.2.42.0 log created on 04262012_174919 Files\Folders moved on Reboot... Registry entries deleted on Reboot... AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 26 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2012 Zadanie prawie wykonane, tzn. infekcja oczywiście usunięta, ale mimo iż usuwałam wyszukiwarkę adware dts.search-results.com z Internet Explorer, ona powróciła. Przy okazji zajmę się i innymi rzeczami spoza zakresu infekcji. 1. Proponuję zresetować Internet Explorer: Opcje internetowe > Zaawansowane > Resetuj. Po tej akcji trzeba będzie ponownie włączyć określone wtyczki, z tym że Adobe Flash sobie daruj (zainstalowana stara wersją, którą i tak należy ze względów bezpieczeństwa wywalić i zainstalować najnowszą). 2. Widzę tu szczątki Google Chrome oraz Firefox, załatwy i je: - W pasku adresów Windows Explorer wklej C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji i sprawdź czy jest tam folder Google z podfolderem Google Chrome, a znaleziony skasuj. - Następnie Start > Uruchom > regedit i skasuj z rejestru wszystkie klucze spełniające warunek HKEY_LOCAL_MACHINE\Software\Mozilla* 3. Kolejna sprawa to przestarzały firewall nVidia, który może przysparzać kłopotów. Wejdź do Dodaj / Usuń programy i odinstaluj NVIDIA ForceWare Network Access Manager. 4. Po wykonaniu wszystkich czynności wykonaj nowy log z OTL z opcji Skanuj. Mam jednak pytanie. Po uruchomieniu OTL i wklejeniu we własne opcje skanowania/skrypt powyższych poleceń komputer zaczął się wyłączać. Pojawił się komunikat trwa zamykanie systemu. Po godzinie zrestartowałem go przyciskiem. Czy nie wpłynęło to na działanie OTL. Jeśli nie to po jakim czasie można go bezpiecznie zrestartować, żeby OTL wykonał całościowo usuwanie. To tak na marginesie. Kiedy mu przerwać, gdy operacja się dłuży, nie można określić, OTL może przetwarzać dane w różnym zakresie czasowym. Dopóki są jakieś widzialne znaki przetwarzania zadań, należy go zostawić w spokoju. Aczkolwiek u Ciebie wygląda to jakby na zawieszenie. Wg loga z usuwania OTL jednak skończył swoje zadania. . Odnośnik do komentarza
GOTENROT Opublikowano 30 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 30 Kwietnia 2012 Zrobiłem zgodnie z instrukcją. Nie udało mi się tylko odinstalować adobe flash player. Ściągnąłem uninstallera adobe jednak przy jego uruchomieniu pojawia się komunikat "temu komputerowi zablokowano uprawnienia do uruchamiania programu". Nie wiem co dalej. Zrobiłem kolejny log z OTL - załączam poniżej. Proszę o dalsze instrukcje. Internet jak narazie działa bez problemu i jakby trochę szybciej. Mam pytanie. Przeskanowałem w ccleaner rejestr i wyszła cała lista do naprawy. Czy mogę nacisknąć napraw nie obawiając się, że coś się stanie z rejestrem. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2012 Zgłoś Udostępnij Opublikowano 1 Maja 2012 Nie udało mi się tylko odinstalować adobe flash player. Ściągnąłem uninstallera adobe jednak przy jego uruchomieniu pojawia się komunikat "temu komputerowi zablokowano uprawnienia do uruchamiania programu". Nie wiem co dalej. Sprawdź czy określoną instalację Flash widzi Windows Installer CleanUp. Mam pytanie. Przeskanowałem w ccleaner rejestr i wyszła cała lista do naprawy. Czy mogę nacisknąć napraw nie obawiając się, że coś się stanie z rejestrem. Nie zostały podane wyniki skanu, toteż nie mogę tego ocenić. Usuwanie wpisów rejestru "w ciemno" jest nieprzewidywalne, programy nie są idealne i mogą podsuwać wyniki, które nie mają kwalifikacji do usunięcia. . Odnośnik do komentarza
GOTENROT Opublikowano 1 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2012 Ściągnąłem windows installer i udało się odinstalować adobe flash i zainstalować nową wersję. Poniżej umieściłem logi nowe z OTL i ccleaner. Proszę o sprawdzenie i wskazówki co z rejestru mogę usunąć. registry.txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2012 Zgłoś Udostępnij Opublikowano 1 Maja 2012 Nowe logi z OTL nie są mi potrzebne (wszystkie dane już są we wcześniejszym), usuwam. Wyciąg z CCleaner: zdaje się, że można to usuwać, ale oczywiście przed akcją zrób kopię usuwanych wpisów za pomocą CCleaner. Na zakończenie historii z infekcją wykonaj czyszczenie folderów Przywracania systemu: KLIK. . Odnośnik do komentarza
GOTENROT Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 Zrobiłem jak wyżej. Wszystko jest OK. Dziękuję bardzo za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi