Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem z włączeniem centrum zabezpieczeń windows i przekierowywanie wyszukiwań google

Clareylan

Przez Clareylan
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Clareylan

Clareylan

Opublikowano
Opublikowano

Witam,

próbuję zwalczyć syf jaki złapał firmowy laptop mojej matki. Naściągała jakiś toolbarów i Bóg wie czego i zauważyła że jak szuka czegoś w google to wyskakują jej różnie strony reklamowe i erotyczne.

Ma na laptopie Chrome'a i Internet Explorera i domyślną wyszukiwarką stało się claro-search.

Pojawiają się problemy przy próbie włączenia centrum zabezpieczeń.

 

Kiedy pojawiły się problemy to przez zdalny pulpit zainstalowałem jej PandaCloud który wykrył i wywalił 5 wirusów.

Kiedy przyjechałem osobiście wziąłem się za usuwanie tooblarów - najpierw z panelu sterowania, potem używając AdwCleaner

Poprzestawiałem też strony startowe i wyszukiwarki. Ale problem z centrum zabezpieczeń został tak samo jak i z przekierowywaniem wyników wyszukiwania.

 

Chciałbym załatwić sprawę do końca weekendu, bo będę przy maszynie fizycznie, ewentualnie mogę przez zdalny pulpit coś zdziałać później

Z góry dziękuję za pomoc

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Po adware jeszcze są szczątki. Natomiast problem z przekierowaniami Google oraz Centrum zabezpieczeń wynika z infekcji działającej w oparciu o parę plików:

 

[2012/10/25 20:06:34 | 000,094,208 | RHS- | C] () -- C:\windows\System32\scrrunu.dll
[2012/10/25 20:06:34 | 000,000,308 | ---- | C] () -- C:\windows\tasks\CSGO.job

 

Infekcja ta wyłącza nie tylko Centrum, ale też Przywracanie systemu, wbudowany w system Windows Defender oraz MSSE (jeśli zainstalowany).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\windows\System32\scrrunu.dll
C:\windows\tasks\CSGO.job
C:\Users\AW\AppData\Local\funmoods-speeddial_sf.crx
C:\Users\AW\AppData\Local\CRE
netsh advfirewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=test312&chnl=test312&cd=2XzuyEtN2Y1L1QzutDtDtByEtBtCyCzz0FyB0AyD0DzzyD0EtN0D0Tzu0CtBzztCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=372053254"
IE - HKCU\..\SearchScopes\{3CE5CDB8-63FC-4E4F-B69A-FE1C99A7E616}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=test312&chnl=test312&cd=2XzuyEtN2Y1L1QzutDtDtByEtBtCyCzz0FyB0AyD0DzzyD0EtN0D0Tzu0CtBzztCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=372053254"
IE - HKLM\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
IE - HKCU\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found.
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{20A357EA-DFB2-3671-2A9A-5510D7CF363F}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Włącz funkcje zdeaktywowane przez malware:

  • Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender celowo pomijam (działa w tle antywirus Panda)
  • Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików"

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Odnośnik do komentarza
Clareylan

Clareylan

Opublikowano
  • Autor
Opublikowano

Witam,

Wszystko zdaje się działać jak powinno :)

 

Przesyłam to co OTL pokazał po restarcie i po ponownym skanie.

 

Wielkie dzięki za pomoc!

 

Jeszcze mam pytanko, bo jak próbuje tak czy siak uruchomić windows deffender'a to pojawia się błąd.

Prosiłbym jeszcze o małą podpowiedź, żeby w razie czego dało się go uruchomić.

OTL.Txt

11022012_152544.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zakończenie tematu:

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall (o ile wcześniej już tego nie zrobiłeś), w OTL uruchom Sprzątanie.

 

2. Zaktualizuj Adobe, Java i Silverlight. Na liście zainstalowanych widać co poniżej i to odinstaluj przed wdrożeniem najnowszych wersji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

Jeszcze mam pytanko, bo jak próbuje tak czy siak uruchomić windows deffender'a to pojawia się błąd.

 

Tak, bo mówiłam:

 

Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. (...) Windows Defender celowo pomijam (działa w tle antywirus Panda)

 

Jeśli chcesz by działał także Windows Defender, w services.msc należy dla jego usługi Typ uruchomienia przestawić na Automatyczny. Kompromis to Ręczny, by nie startował samoczynnie, bo Panda Cloud działa w tle i stary Defender systemu jest zbędny.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...