Wyniki wyszukiwania w Google przekierowują na abnow com

[choco]

Witam, mój problem polega na tym, że wszystkie wyniki wyszukiwania w google przekierowują się na stronę abnow com. Przeczytałem po necie, że jest to jakiś wirus, który to powoduje.

 

Ogólnie to nie koniec wszystkich problemów. Centrum akcji w windows 7 (win 72 32bit) - Usługa centrum zabezp. systemu Windows jest wyłączona. Próba włączenia kończy się błędem: Nie można uruchomić usługi.

 

Dodatkowo zepsuł się antywirus ESet smart s. 4.0. Próby przeinstalowania kończą się komunikatem, że nie udało się poprawnie zainstalować programu.

 

Załączam logi z OTL:

http://wklejto.pl/117606

http://wklejto.pl/117607

 

oraz GMER (który dodatkowo pokazał komunikat: Uwaga gmer znalazł modyfikacją systemu wskazującą na obecność rootkit'a):

http://wklejto.pl/117608

http://wklejto.pl/117609

 

oraz po uruchomieniu combofixa:

http://wklejto.pl/117711

 

AntiZeroAccess pokazał, że nie ma zagrożenia.

 

tdskiller:

http://wklejto.pl/117715

 

 

po wykonaniu tego skryptu w otl:

 

:OTL

[2012-02-19 11:45:26 | 000,000,000 | -HSD | C] -- C:\Users\Mariusz\AppData\Local\556fae70

[2012-02-19 16:38:29 | 000,319,840 | ---- | C] () -- C:\Windows\eins1549.dll

[2012-01-21 16:35:09 | 000,000,000 | ---D | C] -- C:\Program Files\Ask.com

O20 - HKU\S-1-5-21-2175038191-923838448-371509059-1000 Winlogon: Shell - (C:\Users\Mariusz\AppData\Local\556fae70\X) - C:\Users\Mariusz\AppData\Local\556fae70\X ()

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab" (Reg Error: Key error.)

O3 - HKLM\..\Toolbar: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found

FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

IE - HKU\S-1-5-21-2175038191-923838448-371509059-1000\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found

:Files

netsh winsock reset /C

:Commands

[emptytemp]

 

http://wklejto.pl/117718

 

ponownie z otl:

http://wklejto.pl/117722

 

Antizeroaccess

http://wklejto.pl/117721

 

FSS:

http://wklejto.pl/117723

 

 

Proszę o sprawdzenie czy w systemie coś jeszcze zostało i nie ma jakiegoś spustoszenia. Ogólnie to teraz poprawiła się sytuacja z wyszukiwaniem.

Mogę zainstalować i uruchomić antywirusa. Jednak chyba nie chce się pojawić flaga od centrum akcji na pasku zadań.

[picasso]

po wykonaniu tego skryptu w otl:

 

Co to za skrypt i skąd? Usuwanie wpisu O20 nie miało racji bytu, ten wpis usuwa ComboFix, toteż skrypt w OTL w ogóle go nie znalazł. Usuwane dwa wpisy "not found" w MozillaPlugins, które należy zostawić w spokoju, bo to jest pozorne "not found". Na dokładkę na chama usuwanie wpisów paska narzędziowego Ask Toolbar, podczas gdy tu trzeba było zrobić prawidłową jego deinstalację. Wpis był na liście zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar

 

Konsekwencje: pasek jest tylko zlikwidowany z widoku w IE, w rejestrze śmietnik. Przywróć skasowany C:\Program Files\Ask.com na miejsce (siedzi w folderze kwarantanny C:\_OTL) i odinstaluj Ask Toolbar naturalną drogą poprzez Panel sterowania. Jeżeli wpis będzie tam niewidoczny, podam jak go uwidocznić.

 

 

Proszę o sprawdzenie czy w systemie coś jeszcze zostało i nie ma jakiegoś spustoszenia. Ogólnie to teraz poprawiła się sytuacja z wyszukiwaniem.

Mogę zainstalować i uruchomić antywirusa. Jednak chyba nie chce się pojawić flaga od centrum akcji na pasku zadań.

 

Rozumiem, że wykonywałeś rekonstrukcyjne instrukcje tu z forum (?), czyli odtwarzanie usług Zapory (KLIK), gdyż w OTL Extras były błędy skasowanej usługi BFE, ale aktualny log z Farbar Service Scanner nie wykazuje naruszeń, ani usług Zapory, ani usługi Centrum. Mówisz o "fladze na pasku", dokładnie zweryfikuj czy usterka ma miejsce, bo nie ma tu już znaków defektu na poziomie serwisów. Ikona Centrum na pasku a działanie Centrum to dwie różne rzeczy. Czy w Panelu sterowania Centrum akcji zgłasza jakieś problemy?

 

Co do resztek infekcji po wszystkich działaniach:

 

1. Skasuj jeszcze z dysku ten ukryty folder:

 

[2012-02-19 11:49:48 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA%

 

2. Pozostał odnośnik do usługi ZeroAccess w wartości NetSvcs. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

 

Dwuklik na netsvcs i z listy tam widzianej usuń wpis wlidsvc. Nie narusz innych wpisów.

 

 

 

.

[choco]

Skrypt podrzucony z innego forum.

1) Co do ask.com przywróciłem pliki, ale nie mam opcji w usuń programy, proszę o instrukcję jak usunąć.

2) Nic nie robiłem z rekonstrukcji. Tylko to co podałem w pierwszym poście i po tym zapora oraz centrum akcji działają. Problem z centrum akcji jest taki, że ikona nie pokazuje się na pasku zadań (wcześniej po 1-2 minutach od włączenia komputera się tam znajdowała). Teraz nie pojawia się nigdy. Jednak centrum akcji samo w sobie wygląda, że działa ok. Także w panelu sterowania centrum nic nie zgłasza, ale nie mam ikony (flagi) na pasku.

3) katalog %appdata% skasowany.

4) Wpis wlidsvc usunięty.

 

Także to co zostało to ask.com (odinstalowanie) oraz ikona centrum akcji.

[picasso]

1) Co do ask.com przywróciłem pliki, ale nie mam opcji w usuń programy, proszę o instrukcję jak usunąć.

 

Wyeksportuj klucz do wglądu. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, za to w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE} /S

 

Klik w Skanuj. Przedstaw wynikowy log.

 

 

Problem z centrum akcji jest taki, że ikona nie pokazuje się na pasku zadań (wcześniej po 1-2 minutach od włączenia komputera się tam znajdowała). Teraz nie pojawia się nigdy. Jednak centrum akcji samo w sobie wygląda, że działa ok. Także w panelu sterowania centrum nic nie zgłasza, ale nie mam ikony (flagi) na pasku.

 

Ja rozumiem co mówisz, insynuuję tu niedopatrzenie w opcjach. Prawoklik na pasek zadań > Właściwości > w sekcji "Obszar powiadomień" Dostosuj > Włączanie i wyłączanie ikon systemowych > jaki status ma Centrum akcji.

 

 

 

.

[choco]

1) log z otl "wszystkie opcje ustaw na Brak + Żadne, za to w sekcji Własne opcje skanowania / skrypt "

http://wklejto.pl/117840

 

2) we właściwościach paska 'centrum akcji' ma status: WYŁĄCZONE. Dropdown jest nieaktywny.

[picasso]

1) log z otl

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

Dwuklik na NoRepair i zamień aktualne 1 na 0. Sprawdź czy wpis Ask Toolbar uwidocznił się na liście deinstalacji.

 

2. Jeżeli wpis się nie uwidoczni, spróbuj klawisz z flagą Windows + R i w Uruchom wklej komendę:

 

MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

 

2) we właściwościach paska 'centrum akcji' ma status: WYŁĄCZONE. Dropdown jest nieaktywny.

 

Zastosuj ten oto automat Fix-it: KB945011. Narzędzie zresetuje Obszar powiadomień.

 

 

 

.

[choco]

1. klucz zmieniłem. W liście usuń programy nadal go nie było, również po resecie kompa. Msiexec również nie pomógł 'Instalacja paska została anulowana, w systemie wykryto zainstalowany pasek pobrany z ask.com', niezależnie jaką opcję (modyfikuj, napraw) wybiorę.

W tym miejscu mam pytanie, bo używam windows 7 manager smart uninstaller i jest tam możliwość usuniecia tych plików z dysku oraz wpisów z rejestru, zrobić to czy to nic nie da? screen tak wygląda:

 

 

2. fix-it nic nie pomógł, nadal opcja wyłączone jest nieaktywna, ikona się nie pojawia.

[picasso]

W tym miejscu mam pytanie, bo używam windows 7 manager smart uninstaller i jest tam możliwość usuniecia tych plików z dysku oraz wpisów z rejestru, zrobić to czy to nic nie da?

 

To posłuż się Smart Uninstaller. Widzi Ask Toolbar jako zainstalowany i z tego co prezentuje ekran wygląda to na prawidłową detekcję składników. Jak widać po fragmentach rejestru, procedura obszerniejsza niż wywalanie na łebka dwóch wpisów Ask z IE.

 

 

2. fix-it nic nie pomógł, nadal opcja wyłączone jest nieaktywna, ikona się nie pojawia.

 

Przeprowadź proces ręcznie.

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > w kluczu:

 

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify

 

Skasuj wartości IconStreams + PastIconsStream.

 

2. Przeładuj explorer.exe w menedżerze zadań.

 

 

 

.

[choco]

ask się pozbyłem, dzięki

a co do drugiego, to usunąć mam tylko zawartość wpisów iconstreams i pasticonstream czy całe te wpisy? próbowałem i tak i tak, ale efekt nadal ten sam, że we właściwościach ikona centrum akcji jest nieaktywna, no i ogólnie sie nie pojawia.

Potem odpaliłem jeszcze raz fix-it, ale też bez efektu. Próbowałem z resetem explorer.exe oraz ponownym uruchomieniem komputera.

[picasso]

a co do drugiego, to usunąć mam tylko zawartość wpisów iconstreams i pasticonstream czy całe te wpisy?

 

Całe wartości jako takie, bez edycji punktowej.

 

 

efekt nadal ten sam, że we właściwościach ikona centrum akcji jest nieaktywna, no i ogólnie sie nie pojawia.

 

Wprawdzie log z OTL dostarczony w poście nr 1 żadnych relatywnych polis (HideSCAHealth) nie pokazuje, ale zrób skan rejestru pod tym kątem. Uruchom OTL, wszystko ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /S
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /S

 

 

 

.

[choco]

otl dla powyższego skryptu:

http://wklejto.pl/117956

[picasso]

Zgodnie z tym co mówił wcześniej log z OTL, nie ma blokad tego rodzaju. Coś mi się tu nie zgadza. Kolejne próby:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wpisz komendę korekty Repozytorium:

 

winmgmt /salvagerepository

 

Zresetuj system. Przy braku skutków:

 

2. Pokaż skan na klucze Centrum jako takiego. Uruchom OTL, wszystko ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc /S
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Action Center /S

 

 

 

.

[choco]

1. Wynik: rejestr jest spójny. Po resecie nadal ten sam efekt. Ikona centrum ma status nieaktywny.

2. http://www.wklejto.pl/118033

[picasso]

1. Anomalia, którą widzę, to brak podklucza Security usługi Centrum. Zaimportuj brakujący wpis. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security]
"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
  00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
  00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\
  00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\
  7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\
  00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

Zresetuj system.

 

2. Przy braku skutków w/w akcji, spróbujmy z innej strony, czyli wymuszenie obecności ikony przez politykę:

 

Start > w polu szukania wpisz gpedit.msc > z prawokliku Uruchom jako Administrator. Przejdź do: Konfiguracja użytkownika > Szablony administracyjne > Menu Start i pasek zadań > dwuklik na opcję "Usuń ikonę Centrum akcji" i zaznacz "Wyłączone". Po zatwierdzeniu zmian zresetuj system.

 

 

 

.

[choco]

1. Wykonane, po resecie brak efektu.

2. Zmieniłem na Wyłączone, po resecie dropdown od ikony centrum akcji nadal nieaktywnych w ustawieniach ikon systemowych. Ikona nie pojawia się.

[picasso]

Szczerze mówiąc nie widzę powodu dla którego ikona jest nieaktywna: Centrum działa, usługa skorygowana, brak polis HideSCAHealth, zresetowany obszar TrayNotify na bazie dwóch sposobów, repozytorium jakoby spójne.

 

Wygeneruj kopię rejestru za pomocą RegBak, wszystko zapakuj do ZIP, shostuj gdzieś i podeślij tu link. Przejrzenie tego będzie czasochłonne i nie za szybko to zrobię.

 

 

.

[choco]

Ok. Podrzucam link ze skanu RegBak link. Czy brak tej ikony wpływa jakoś na działanie Centrum akcji, czy wszelkie zachowania są normalne jak do tej pory?

Ok, rozumiem, że to może być czasochłonne. W wolnej chwili proszę zerknij. Dziękuję!

[choco]

witam, i jak tam, miałaś okazję zaglądnąć na ten mój nieszczęsny rejestr?

[picasso]

Już dawno przejrzałam, ale nic z tego dla mnie nie wynika. Na chwilę obecną nie znam przyczyny zaniku ikony.

 

Jeszcze na wszelki wypadek zapytam ... czy w services.msc ręczne wstrzymanie pracy usługi, a następnie jej wznowienie nic nie daje?

[choco]

Nie mogę znaleźć 'centrum akcji' na liście. Jedynie centrum zabezpieczeń. Przejrzałem całą listę i nie widzę nic co by przypominało centrum akcji.

[picasso]

Centrum zabezpieczeń w services.msc = Centrum akcji w Panelu sterowania.

[choco]

Nie pomogło. Jakbyś jeszcze miała jakiś pomysł to daj znać dzięki.

[picasso]

W końcu udało mi się to rozwiązać: KLIK.

[choco]

Import do rejestru z tego posta: klik pomógł.

 

Ikona wróciła na swoje miejsce. Dzięki za pamięć i pomoc