Przekierowania z wyników google na inne niechciane strony

[coyot]

Witam

 

Mam następujący problem: po kliknięciu na wyniki wyszukiwania google przenosi mnie na inne strony (dodancing.cośTam, ihavenet.cośTam, itd.). Czasami przenosi kilka razy z rzędu, a czasami jest spokój przez kilka kliknięć.

Od nowości laptop miał zainstalowany Norton Internet Security. Po wygaśnięciu okresu możliwych aktualizacji odinstalowałem program i zainstalowałem Microsoft Security Essentials.

Niestety po jakimś czasie zauważyłem, że program jest nieaktywny: zniknęła ikona koło zegara, nie dało się też skanować poprzez "prawoklik". Dodatkowo zaczęły się te przekierowania na inne strony.

Mogło to się stać po odczytach z pożyczonego pendrive'a.

 

 

Próbowałem skanować

1. mks-online: nie dało się uruchomić.

2. Eset online - nic nie wykrył.

3. Kaspersky Virus Remooval Tool - pełne skanowanie łącznie z archiwami- wykrył jeden plik (program firmowy) - wrzuciłem ten plik na virustotal.com i tylko Kaspersky uznał go za wirus.

4. Malwarebytes Anti-Malware

5. DrWeb Cure it

 

Już teraz nie pamiętam czy Malwerbytes czy DrWeb wykrył jakieś pliki w cache firefoksa i je usunął. Poza tym nie znalazł niczego.

 

 

Przesyłam logi OLT i bardzo proszę o jakieś rady jak pozbyć się tego problemu.

 

Log z programu Security Check:

 

Results of screen317's Security Check version 0.99.44

Windows 7 Service Pack 1 x64

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

Microsoft Security Essentials

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

Spybot - Search & Destroy

Malwarebytes Anti-Malware wersja 1.62.0.1300

Java™ SE Runtime Environment 6

Java version out of Date!

Adobe Reader X 10.1.3 Adobe Reader out of Date!

Mozilla Firefox (14.0.1)

````````Process Check: objlist.exe by Laurent````````

Malwarebytes Anti-Malware mbamservice.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

 

Extras.Txt

OTL.Txt

[picasso]

Widzę w logu serię podejrzanych plików, dwie pary uruchamiane przez Harmonogram zadań. Infekcja ta wygląda na tę, która wyłącza Microsoft Security Essentials (już go chyba odinstalowałeś), Windows Defender (widać w logu deaktywację), Centrum zabezpieczeń + Przywracanie systemu (będę weryfikować).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\tasks\Edvopn.job
C:\Windows\tasks\vkcdotrdb.job
C:\Windows\SysWow64\sscore2.dll
C:\Windows\SysWow64\msscript5.dll
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone). Podaj czy Ochrona systemu jest wyłączona: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > czy jest zaznaczone "Przywróć ustawienia systemu oraz poprzednie wersje plików"?

 

 

 

Próbowałem skanować

1. mks-online: nie dało się uruchomić.

2. Eset online - nic nie wykrył.

3. Kaspersky Virus Remooval Tool - pełne skanowanie łącznie z archiwami- wykrył jeden plik (program firmowy) - wrzuciłem ten plik na virustotal.com i tylko Kaspersky uznał go za wirus.

4. Malwarebytes Anti-Malware

5. DrWeb Cure it

 

Skaner MKS stary, słaby i niewiarygodny. Firma MKS zresztą już zakończyła żywot.

 

 

.

[coyot]

ad. 1.

Dziwna sprawa bo OTL "sam" się usunął. Już drugi raz, za pierwszym razem myślałem, że sam go usunąłem przypadkiem. Teraz wiem, że coś mu pomogło.

OTL zapisane było w katalogu na pulpicie.

 

Po wykonaniu skryptu powstał log:

 

All processes killed

========== FILES ==========

C:\Windows\tasks\Edvopn.job moved successfully.

C:\Windows\tasks\vkcdotrdb.job moved successfully.

C:\Windows\SysWow64\sscore2.dll moved successfully.

C:\Windows\SysWow64\msscript5.dll moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: User

->Temp folder emptied: 52913618 bytes

->Temporary Internet Files folder emptied: 5247931 bytes

->FireFox cache emptied: 119381905 bytes

->Flash cache emptied: 1860 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 9144618 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50534 bytes

RecycleBin emptied: 135980597 bytes

 

Total Files Cleaned = 308,00 mb

 

OTL by OldTimer - Version 3.2.57.0 log created on 08172012_070440

Files\Folders moved on Reboot...

C:\Users\User\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

File C:\Users\User\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

 

 

ad. 2. Dla wszystkich dysków jest WYŁĄCZONA ochrona systemu.

Logi z FSS OTL załączone.

 

Skaner MKS stary, słaby i niewiarygodny. Firma MKS zresztą już zakończyła żywot.

.

Ups. Nie wiedziałem, nie spojrzałem na stronę główną, gdzie jest informacja o całkiem "swieżej" aktualizacji programu.

Ostatnia aktualizacja: 04.10.2011r 15:04

OTL.Txt

FSS.txt

[picasso]

Dziwna sprawa bo OTL "sam" się usunął. Już drugi raz, za pierwszym razem myślałem, że sam go usunąłem przypadkiem. Teraz wiem, że coś mu pomogło.

OTL zapisane było w katalogu na pulpicie.

 

Przypuszczalnie:

- Dr. Web CureIt. Wszystkie produkty Dr. Web wykrywają fałszywie OTL jako "trojana".

- Omyłkowo zastosowane Sprzątanie w OTL. Ta opcja usuwa program z dysku.

 

 

Skrypt pomyślnie wykonany, w nowym skanie nie widzę nic niepokojącego. Czy problem przekierowań Google ustąpił? Zostały korekty zdeaktywowanych przez malware funkcji oraz finalizacja.

 

1. W OTL uruchom Sprzątanie. Odinstaluj UsbFix oraz archaiczne skanery Skaner on-line mks_vir i Spybot - Search & Destroy. Po tym ręcznie dokasuj foldery:

 

[2012-08-16 08:13:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab
[2012-08-10 07:19:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
[2012-08-10 07:19:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2012-08-10 07:19:43 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy
[2012-08-05 11:14:56 | 000,000,000 | ---D | C] -- C:\Users\User\DoctorWeb
[2012-08-05 00:21:30 | 000,000,000 | ---D | C] -- C:\Program Files\SkanerOnline

 

2. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem.

 

3. Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików".

 

4. Wykonaj podstawowe aktualizacje: KLIK. Konkrety z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java™ SE Runtime Environment 6
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.3) MUI
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Gadu-Gadu" = Gadu-Gadu 7.0

 

GG7 też wyliczam, gdyż aplikacja jest sfatygowana i nie ma szyfrowania połączeń (niskie bezpieczeństwo). Jeśli szukasz chudego zamiennika, to obejrzyj opis WTW: KLIK.

 

 

.

[coyot]

Przekierowania zniknęły, mam nadzieję że na zawsze

Wielkie dzięki za pomoc i uznanie dla wiedzy.

 

Programy zaktualizowane, jeszcze tylko gg musi poczekać na swoją kolej.

 

Czy odinstalować Malwarebytes Anti-Malware?

 

Nie wiem tylko czy w to w tym wątku, ale mam jedno pytanie jeszcze.

Jaki możesz polecić darmowy antywirus (bez wdawania się w szczegóły)

- do użytku domowego

- do użytku firmowego (jeżeli taki w ogóle istnieje).

[picasso]

Czy odinstalować Malwarebytes Anti-Malware?

 

To nie jest konieczne. Program ma wersję darmową bez rezydenta i przyda się do prowadzenia okresowych skanów na żądanie.

 

 

Jaki możesz polecić darmowy antywirus (bez wdawania się w szczegóły)

- do użytku domowego

- do użytku firmowego (jeżeli taki w ogóle istnieje).

 

Nie prowadzę rozróżnień jakościowych w wiodących markach, cokolwiek byś dobrał z poniższej puli, byłoby w porządku. Największe rozbudowanie funkcyjne to pierwsza trójka, MSSE jest dość ograniczony, a Panda działa w technice chmury i wymaga stałego połączenia sieciowego (przy jego braku może się jednak awaryjnie przełączyć na silnik lokalny).

 

Avast, AVG, COMODO *, Microsoft Security Essentials *, Panda Cloud Antivirus

 

* nieliczne antywirusy, które dopuszczają użytkowanie firmowe (reszta ma licencję "użytek domowy niekomercyjny")

 

 

.

[coyot]

Wielki dzięki za pomoc.

Pojawił się mały problem i tu moje pytanie.

Czy jest możliwe, że podczas usuwania punktów przywracania systemu i plików mogły zostać usunięte inne pliki, które były w tym samym katalogu?

Katalog nazywał się tak samo jak konto użytkownika.

Czy backup windows i plików zapisuje się domyślnie w katalogu o takiej samej nazwie jak konto użytkownika?

 

Niestety zauważyłem to dopiero jak system utworzył nową kopię zapasową (nadpisał starą).

 

Czy można podejrzeć i przywrócić jakoś jakie pliki są w tej kopii?

Jest sporo plików .xml oraz 2 pliki o dużej pojemności .vhd.

 

Pewnie i tak szanse na odzyskanie plików są marne

[picasso]

Czy jest możliwe, że podczas usuwania punktów przywracania systemu i plików mogły zostać usunięte inne pliki, które były w tym samym katalogu?

Katalog nazywał się tak samo jak konto użytkownika.

 

Usuwanie punktów Przywracania systemu opróżnia tylko katalog System Volume Information, nie narusza innych folderów.

 

 

Niestety zauważyłem to dopiero jak system utworzył nową kopię zapasową (nadpisał starą).

 

Czy można podejrzeć i przywrócić jakoś jakie pliki są w tej kopii?

Jest sporo plików .xml oraz 2 pliki o dużej pojemności .vhd.

 

Nie rozumiem skąd zniknęły pliki, z jakiej ścieżki i gdzie. Czy masz na myśli, że kopie zapasowe zostały w jakiś sposób zastąpione? Jak masz skonfigurowane robienie kopii zapasowej (KLIK)? A obraz VHD można przeglądnąć na kilka sposobów: via interfejs Windows tak jak w podanym linku lub na żywca otworzyć plik w programie umiejącym takie pliki przetwarzać (np. 7-zip).

 

 

 

.

[coyot]

Nie rozumiem skąd zniknęły pliki, z jakiej ścieżki i gdzie. Czy masz na myśli, że kopie zapasowe zostały w jakiś sposób zastąpione? Jak masz skonfigurowane robienie kopii zapasowej (KLIK)? A obraz VHD można przeglądnąć na kilka sposobów: via interfejs Windows tak jak w podanym linku lub na żywca otworzyć plik w programie umiejącym takie pliki przetwarzać (np. 7-zip).

 

To może po kolei.

Na dysku D (ten sam dysk fizyczny co systemowy) był folder Jacek, a w nim inne foldery kilka plików video, itd.

Teraz jest Folder Jacek - system pokazuje wielkość 0 kb. Folder ten ma ikonę dysku, płyty i zielonej strzałki.

SpaceSniffer pokazuje że nie może uzyskać dostępu.

 

WARN  15:30:37 - Unable to examine D:\Jacek (Odmowa dostępu. - code 5)
WARN  15:30:37 - Unable to examine D:\System Volume Information (Odmowa dostępu. - code 5)
WARN  15:30:37 - Unable to examine D:\VOSTRO-S2 (Odmowa dostępu. - code 5)
WARN  15:30:38 - Unable to examine D:\WindowsImageBackup\Vostro-S2\Backup 2012-05-16 211908 (Odmowa dostępu. - code 5)
WARN  15:30:38 - Unable to examine D:\WindowsImageBackup\Vostro-S2\Catalog (Odmowa dostępu. - code 5)
WARN  16:05:36 - Unable to examine D:\Jacek (Odmowa dostępu. - code 5)

 

 

Nie wiem co się stało z moimi plikami, które były w tym folderze. Myślałem, że przez to iż nazwa konta na komputerze była taka sama jak folderu z moimi plikami, system coś namieszał i usunęły się pliki z tego katalogu.

 

Na dysku D: jest jeszcze katalog WindowsImageBackup gdzie są jeszcze inne kopie plików. Całość zajmuje 52 GB.

 

Ustawienia kopii zapasowej mam jak niżej:

 

 

 

 

Zaznaczone: Dołącz obraz systemu dysków: RECOVERY, OS (C:).

Co zrozumiałe, kopia była tworzona z plików z dysku C:

 

 

Jak zmusić 7-zip żeby otwierał pliki .vhd?

Przy próbie otwarcia wyskakuje komunikat: Odmowa dostępu.

[picasso]

Na dysku D (ten sam dysk fizyczny co systemowy) był folder Jacek, a w nim inne foldery kilka plików video, itd.

Teraz jest Folder Jacek - system pokazuje wielkość 0 kb. Folder ten ma ikonę dysku, płyty i zielonej strzałki.

 

Jak mówiłam w linkowanym temacie:

 

Pokazuje się zero, ponieważ kopie zapasowe są obwarowane specjalnymi restrykcjami dostępowymi (by zapobiec naruszeniu kopii). To jest zero fałszywe. By podejrzeć zawartość:

 

- Oficjalny sposób przeglądania zawartości kopii tego rodzaju: Panel sterowania > System i zabezpieczenia > Kopia zapasowa/Przywracanie > Przywróć moje pliki lub Przywróć pliki wszystkich użytkowników (tak, wbrew pozorom takie opcje, bo dochodzisz tylko do połowy zadania i nic się nie wykona) > Przeglądaj pliki lub Przeglądaj foldery i w wirtualizowanym interfejsie precyzyjnie zobaczysz jakie obiekty zawiera kopia zapasowa:

 

A co do:

 

SpaceSniffer pokazuje że nie może uzyskać dostępu.

 

Czy uruchamiając program kliknąłeś nań prawym i wybrałeś "Uruchom jako Administrator"?

 

 

Jak zmusić 7-zip żeby otwierał pliki .vhd?

Przy próbie otwarcia wyskakuje komunikat: Odmowa dostępu.

 

Być może kopia jest w użyciu (zajęcie procesami), dlatego 7-zip tego nie otwiera. Zostaw tego 7-zipa na razie, wróć do powyższego cytatu o "oficjalnym sposobie przeglądania kopii".

 

 

 

.

[coyot]

Czy uruchamiając program kliknąłeś nań prawym i wybrałeś "Uruchom jako Administrator"?

 

SpaceSniffer nie był uruchomiony jako administrator.

 

Po uruchomieniu w trybie administratora znalazł więcej plików. Znalazł też te, które mi "zniknęły".

 

Skopiowałem ścieżkę nadrzędnego katalogu, wkleiłem w eksploratorze. Dało się to otworzyć z uprawnieniami administratora. Wszystko skopiowałem do innego katalogu.

 

 

Nie wiem co było przyczyną tego, że nie widziałem tych plików, ale najważniejsze że już są.

 

Wyrzuciłem wszystkie stare kopie bezpieczeństwa.

Teraz zrobię nową.

 

 

Dziękuję za pomoc.