Przekierowywanie stron w Firefox

[german]

Witam, mam problem z przeglądarką Firefox, która przekierowuje wyniki wyszukiwania google na strony reklamowe. Znalazłem, że jest to prawdopodobnie spowodowane przez WidgiToolbarSpigot.Inc lub pdfforge Toolbar, gdyż tuż po przekierowaniu pojawia się adres jak np: hxxp://www.goingonearth.com/search.php?q=pdfforge&n=1303652736.

Oprogramowanie to według mojej najlepszej wiedzy zostało już usunięte z mojego komputera, jednak problem dalej występuje.

Aktualny log z Malwarebytes'

Aktualny Log OTL

Aktualny Log OTL Extras

 

Proszę o pomoc

[picasso]

Znalazłem, że jest to prawdopodobnie spowodowane przez WidgiToolbarSpigot.Inc lub pdfforge Toolbar, gdyż tuż po przekierowaniu pojawia się adres jak np: hxxp://www.goingonearth.com/search.php?q=pdfforge&n=1303652736.

 

Wprawdzie PDFCreator jest zainstalowany (on wpuszcza sponsoringowy toolbar = tu nieobecny), ale reklamy nie pochodzą z tego. W systemie jest infekcja:

 

[2011-04-20 19:38:36 | 000,080,384 | RHS- | C] () -- C:\windows\SysWow64\fixmapiv.dll
[2011-04-20 19:38:36 | 000,000,314 | -HS- | C] () -- C:\windows\tasks\tswhxbyy.job

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\windows\SysWow64\fixmapiv.dll
C:\windows\tasks\tswhxbyy.job
C:\Users\Gregor\Desktop\sdsetup.exe
C:\Users\Gregor\AppData\Local\Temp*.html
C:\Users\Gregor\AppData\Roaming\Mozilla\Firefox\Profiles\ggaylms9.default\searchplugins\askcom.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spyware Doctor"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktop"=-
"NoActiveDesktopChanges"=-
 
:OTL
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163"
FF - prefs.js..keyword.URL: "http://uk.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p="
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Otrzymasz z tego działania log.

 

2. System nie ma pliku HOSTS i są błędy w Dzienniku zdarzeń na ten temat:

 

Hosts file not found

Error - 2011-04-24 08:30:08 | Computer Name = Laptop | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Wystąpił błąd podczas próby odczytu lokalnego pliku hosts.

Zastosuj Fix-it z artykułu: KB972034.

 

3. Przejdź do apletu deinstalacji programów i usuń Ask Toolbar (tu jako Nero Toolbar). Widzę go w spisie zainstalowanych aplikacji:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar

4. Wygeneruj nowe logi z OTL opcją Skanuj. Dołącz log otrzymany z usuwania w punkcie 1.

 

 

 

 

.

[german]

Witam, po wykonaniu poszczególnych kroków,

Log z usuwanie w punkcie 1

Log OTL

Log OTL Extras

Jak narazie widzę, że problem ustąpił, ale poproszę jeszcze o sprawdzenie logów.

Dziękuje bardzo za pomoc

[picasso]

Widzę, że zamontowałeś Windows Installer Clean Up. W jakim celu? Miej na uwadze, że ten program został wycofany z użytku ze względu na błędy działania (zagrożenie naruszenia prawidłowych komponentów).

 

 

1. Drobna poprawka na szczątek po pasku narzędziowym Ask i nowo wyprodukowane śmieci GG10 (one niestety będą się regularnie tworzyć ...). W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
[2011-04-25 19:26:30 | 000,002,432 | ---- | M] () -- C:\Users\Gregor\AppData\Local\TempKj2864.html
[2011-04-25 19:26:30 | 000,002,089 | ---- | M] () -- C:\Users\Gregor\AppData\Local\Tempxf2864.html

Klik w Wykonaj skrypt. Po ukończeniu zadania klik w Sprzątanie.

 

 

2. Plik HOSTS nie został odtworzony:

 

Hosts file not found

Włącz pokazywanie rozszerzeń plików w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia dla znanych typów plików. Otwórz Notatnik i wklej w nim:

 

# Copyright © 1993-2009 Microsoft Corp.

#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
 
# localhost name resolution is handled within DNS itself.
#	127.0.0.1       localhost
#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

 

3. Software:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416018FF}" = Java™ 6 Update 18 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 24
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish
"7-Zip" = 7-Zip 4.65
"Gadu-Gadu 10" = Gadu-Gadu 10
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)

- Aktualizacja przeglądarki, Java (wersja 32-bit i 64-bit), Adobe Reader: INSTRUKCJE.

- Jest tu 64-bitowy Windows, ale został zamontowany 32-bitowy 7-zip. To oznacza, że nie będzie widać żadnych menu kontekstowych w Windows Explorer. Zamień 7-zip wersją natywnie 64-bitową.

- Wreszcie GG10. W temacie Darmowe komunikatory masz propozycje alternatywne bez śmieci i reklam i to lepiej zgrane z 64-bitami. Patrz na opisy WTW i Mirandy.

 

4. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

 

.

[german]

Wykonałem poprawkę oraz zainstalowałem nowe/inne wersje Adobe Reader, Java, Firefox i 7-Zip. Poniżej nowe logi OTL.

Log po poprawce i sprzątaniu

Nowy OTL

Nowy OTL Extras

Odnośnie opcji przywracania systemu, zauważyłem, że jest ona u mnie ustawiona na "Wyłącz ochronę systemu" dla wszystkich partycji. Czy należało by ją zmienić na "Przywróć ustawienia systemu oraz poprzednie wersje plików" czy nie jest to konieczne w mojej wersji systemu?

Zanim zmienię komunikator, czy śmieci produkowane przez GG10 można usuwać ręcznie czy lepiej przy pomocy OTL?

Jeśli chodzi o Windows Installer Clean Up - aplikacja polecana przez nauczyciela akademickiego z czasów studiów, usunięta, nie będę jej więcej używał, dziękuje za radę.

[picasso]

Poniżej nowe logi OTL.

 

Nie prosiłam o nie, zadałam przecież Sprzątanie, które usuwa OTL z dysku. Daję to w momencie, gdy uznaję, że nie mam już nic do weryfikacji.

 

 

Zanim zmienię komunikator, czy śmieci produkowane przez GG10 można usuwać ręcznie czy lepiej przy pomocy OTL?

 

Wystarczy ręcznie kasować wszystkie pliki o modelu nazwy C:\Users\Gregor\AppData\Local\Temp*.html. Tu były czyszczone skryptem tylko przy okazji, skrypt nie jest w ogóle wymagany by dało się to usunąć. Warunkiem jest jednak, że GG10 musi być zamknięte podczas tej operacji.

 

 

Odnośnie opcji przywracania systemu, zauważyłem, że jest ona u mnie ustawiona na "Wyłącz ochronę systemu" dla wszystkich partycji. Czy należało by ją zmienić na "Przywróć ustawienia systemu oraz poprzednie wersje plików" czy nie jest to konieczne w mojej wersji systemu?

 

Owszem, dla dysku systemowego opcja Ochrony powinna być włączona. Zasadniczo nie polecam na systemach Windows 7 i Vista wyłączać tę funkcję na trwałe, gdyż jest ona zbyt istotna dla ratowania systemu, a co więcej można z niej skorzystać także gdy system już nie potrafi się uruchomić (płyta WinRE). Pytaniem jest jednak: jak to się stało, że tu funkcja jest wyłączona, jesteś za to odpowiedzialny czy ustawienie zostało zmienione w niewyjaśniony sposób?

 

 

 

 

.

[german]

Prawdę mówiąc to pojęcia nie mam. To, że Ochrona jest wyłączona odkryłem przypadkowo podczas czyszczenia folderu przywracania systemu, ale nie pamiętam żebym wcześniej "grzebał" w tych ustawieniach. Dodatkowo zauważyłem w Centrum Akcji, że "Usługa Centrum zabezpieczeń systemu Windows" jest wyłączona, próba włączenia kończy się wyświetleniem w nowym oknie komunikatu Nie można uruchomić "usługi Centrum zabezpieczeń systemu Windows"

Czy jest to w jakiś sposób powiązane?

[picasso]

Dodatkowo zauważyłem w Centrum Akcji, że "Usługa Centrum zabezpieczeń systemu Windows" jest wyłączona, próba włączenia kończy się wyświetleniem w nowym oknie komunikatu Nie można uruchomić "usługi Centrum zabezpieczeń systemu Windows"

 

Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście wyszukaj usługę Centrum zabezpieczeń, z dwukliku wejdź do Właściwości, Typ startowy ustaw na Automatycznie (opóźnione uruchomienie), a następnie spróbuj usługę zastartować przyciskiem. Jeśli prawidłowo się uruchomi, koniec zadania. Jeśli nie, przepisz dokładnie błąd.

[german]

Problem rozwiązany. Dziękuję bardzo i pozdrawiam

Edytowane 27 Kwietnia 2011 przez picasso
Problem rozwiązany. Temat zamykam. //picasso