Problem z Google, przekierowywanie do innej strony lub reklam plus powolne dzialanie systemu

meryem · 30 Stycznia 2013

witam,mam problem z wyszukiwarka google, przekierowuje mnie do ciagle tej samej strony lub powiazanych tematem reklam, ponadto komputer ostatnio sporo zwolnil, po wlaczeniu bardzo dlugo oczekuje na start systemu i automatycznie otwiera sie okno Moje dokumenty. Mam Norton 360 i on nic nie wykrywa,ale podejrzewam jakies wirusy/trojany. Prosze o pomoc.

OTL.Txt

Extras.Txt

picasso · 30 Stycznia 2013

W systemie działa infekcja, w postaci tej pary plików:

[2013/01/21 10:38:23 | 000,126,976 | RHS- | C] () -- C:\WINDOWS\System32\kbdkorw.dll[2013/01/21 10:38:23 | 000,000,306 | ---- | C] () -- C:\WINDOWS\tasks\enpunzvw.job

1. Przez Panel sterowania odinstaluj adware vShare Plugin (tak, to ta "wtyczka video") oraz Microsoft Security Essentials (jest uszkodzony).

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\WINDOWS\System32\kbdkorw.dll
C:\WINDOWS\tasks\enpunzvw.job
C:\Documents and Settings\All Users\Dane aplikacji\5ra8062dq8428865y808c4ojt6iakla6yp1831xy31g1n
C:\Documents and Settings\Agata\Ustawienia lokalne\Dane aplikacji\5ra8062dq8428865y808c4ojt6iakla6yp1831xy31g1n
C:\Documents and Settings\Agata\Application Data\OpenCandy
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchvsl.xml
 
:OTL
IE - HKU\S-1-5-21-823518204-436374069-682003330-1003\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKU\S-1-5-21-823518204-436374069-682003330-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={3862ED7A-6F7F-44EA-B19F-754D3BADFED9}&mid=105eb3acd69447d18d93d15f026dedee-a0f2c5bdf28866d43aabbd0a2d42399021e22537&lang=en&ds=tg027&pr=sa&d=2011-09-16 19:00:45&v=8.0.0.34&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-823518204-436374069-682003330-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\control panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\control panel present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\restrictions present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\control panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\restrictions present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\control panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\restrictions present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\control panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\restrictions present
O7 - HKU\S-1-5-21-823518204-436374069-682003330-1003\Software\Policies\Microsoft\Internet Explorer\control panel present
O7 - HKU\S-1-5-21-823518204-436374069-682003330-1003\Software\Policies\Microsoft\Internet Explorer\restrictions present
O7 - HKU\S-1-5-21-823518204-436374069-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 0
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O37 - HKU\S-1-5-21-823518204-436374069-682003330-1003\...exe [@ = exefile] -- Reg Error: Value error. File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\Motive\MRESP50a64.SYS -- (MRESP50a64)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS -- (MRENDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\Motive\MREMPR5.SYS -- (MREMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\Motive\MREMP50a64.SYS -- (MREMP50a64)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Agata\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER (przed uruchomieniem musisz usunąć sterownik SPTD) oraz Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner.

.

meryem · 30 Stycznia 2013

zrobilam jak bylo napisane, oto wyniki:

wyszukiwarka Google dziala bez wiekszych problemow, lecz po uruchumieniu Windows, otwiera sie wciaz folder Moje dokumenty...

picasso · 30 Stycznia 2013

po uruchumieniu Windows, otwiera sie wciaz folder Moje dokumenty...

Problemem jest podwójne odwołanie w wartości UserInit na to samo i będę korygować ten wpis:

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\WINDOWS\System32\userinit.exe (Microsoft Corporation)

Co do wykonanych zadań, owszem zrobione, ale wymagane poprawki i naprawa szkód. Log z Farbar Service Scanner wykazuje, że usługa Windows Update jest całkowicie skasowana, a Centrum zabezpieczeń i Zapora systemu w stanie wyłączonym. Poprawki:

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Aktualizacje automatyczne"
"ObjectName"="LocalSystem"
"Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\
  61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum]
"0"="Root\\LEGACY_WUAUSERV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start"=dword:00000002
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

2. Zresetuj system. Zrób nowy log z Farbar Service Scanner. Potwierdź czy błąd Moich dokumentów ustąpił.

.

meryem · 30 Stycznia 2013

wyglada na to ze wreszcie po wielu miesiacach, folder Moje dokumenty juz nie bedzie wyskakiwal nieproszony oto log

FSS1.txt

picasso · 30 Stycznia 2013

Zadania wykonane. Teraz ta część zadaniowa:

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

2. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Przyinstalacji padnie pytanie o typ edycji, wybierz darmową.

.

meryem · 30 Stycznia 2013

niestety, wykryto ponizsze zagrozenia:

czy powinnam je usunac tym programem?

MBAM-log-2013-01-30 (19-17-36).txt

picasso · 31 Stycznia 2013

Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod poste. Posty powyżej sklejam.

1. Wyniki MBAM: tak, wszystko usuń. Prawie wszystko to szczątki starych infekcji fałszywymi skanerami. Wyjątkiem są wpisy określone jako PUM.Disabled.SecurityCenter, to wiadomość, że powiadomienia Centrum zabezpieczeń są wyłączone. Napraw i to.

2. Odinstaluj stare wersje Adobe / Java / Silverlight i (o ile potrzebne) zainstaluj najnowsze: KLIK. Wg raportu masz zainstalowane następujące wersje:

========== HKEY_LOCAL_MACHINE Uninstall List ========== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 29
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla pozostałych)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)

.

meryem · 31 Stycznia 2013

dziekuje bardzo za pomoc!

Zaloguj się

Problem z Google, przekierowywanie do innej strony lub reklam plus powolne dzialanie systemu

Rekomendowane odpowiedzi

meryem

Odnośnik do komentarza

picasso

Odnośnik do komentarza

meryem

Odnośnik do komentarza

picasso

Odnośnik do komentarza

meryem

Odnośnik do komentarza

picasso

Odnośnik do komentarza

meryem

Odnośnik do komentarza

picasso

Odnośnik do komentarza

meryem

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność