Problem z AVG Security Search

[Urahara]

Witam, dzisiaj zainstalowałem sobie Any Video Converter trybem szybkiej instalacji i teraz gdy włączam nową kartę w przeglądarce chrome przekierowuje mnie na https://isearch.avg.com/tab?cid={06E858E1-635E-4316-B694-07EC4F7D4DDB}&mid=85a70cc6d21647d0a851d1a927a60a45-a5b6b730244cba6c056009e2d697d5ba2388b1ec&lang=en&ds=qw011&pr=sa&d=2012-08-01%2021:02:20&v=12.1.0.21&sap=nt

 

Już mam dosyć tego złośliwego gówna, napiszcie mi krok po kroku jak to usunąć. Pozdrawiam

[Landuss]

Ale to jest wyszukiwarka AVG więc nic groźnego, choć oczywiście sponsoring. Jesli jednak chcesz się tego pozbyć to sporządź raporty z OTL. Umieść je opcją załączniki na forum.

[Urahara]

Oto logi

OTL.Txt

Extras.Txt

[Landuss]

Tyle, że ty tutaj jesteś przy okazji zainfekowany i wszystko wskazuje na infekcję wirusem Sality, zarażającym pliki .exe na dysku, czego dowodem jest ta usługa Sality:

 

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fjpsgn.sys -- (amsint32)

 

 

1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych.

 

2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\sbwwkojo.sys -- (sbwwkojo)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fjpsgn.sys -- (amsint32)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1339002024_719097
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1339002024_719097
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1339002024_719097
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "https://isearch.avg.com/?cid={06E858E1-635E-4316-B694-07EC4F7D4DDB}&mid=85a70cc6d21647d0a851d1a927a60a45-a5b6b730244cba6c056009e2d697d5ba2388b1ec&lang=en&ds=qw011&pr=sa&d=2012-08-01 21:02:20&v=12.1.0.21&sap=hp"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=3012_4&babsrc=SP_ss&mntrId=f8e3c7ba00000000000000e06142e3b6"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={06E858E1-635E-4316-B694-07EC4F7D4DDB}&mid=85a70cc6d21647d0a851d1a927a60a45-a5b6b730244cba6c056009e2d697d5ba2388b1ec&lang=en&ds=qw011&pr=sa&d=2012-08-01 21:02:20&v=12.1.0.21&sap=dsp&q={searchTerms}"
 
:Files
autorun.inf /alldrives
C:\*.exe
C:\*.pif
C:\Documents and Settings\Admin\Dane aplikacji\Bhop.exe
netsh firewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / AVG Security Toolbar / Babylon toolbar on IE / V9 HomeTool / Bcool

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Bcool / AVG Secure Search

 

5. Uruchom AdwCleaner z opcji Delete

 

6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz daj znać co pokazał SalityKiller.

[Urahara]

Karty już sie normalnie otwierają i nie ma dotychczasowego problemu z plikami exe oraz menadżerem zadań za co bardzo dziękuje

 

Oto kolejne logi

OTL.Txt

[Landuss]

Jeszcze coś się ostało więc wykonasz skrypt poprawkowy.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE File not found
O4 - HKLM..\Run: [soundMax] C:\Documents and Settings\Admin\userinit.exe File not found
O4 - HKCU..\Run: [AdobeBridge]  File not found
O4 - HKCU..\Run: [winupdater] C:\WINDOWS\System32\Windupdt\winupdate.exe ()
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Office Update.lnk =  File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: Nofolderoptions = 1
 
:Files
C:\user.js
C:\WINDOWS\System32\Windupdt
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

[Urahara]

Kolejne logi

OTL.Txt

[Landuss]

Teraz można uznać, że wszystko pozamiatane. Użyj opcji Sprzątanie z OTL oraz opróżnij przywracanie systemu: KLIK

 

Programy mas aktualne więc to tyle.

[Urahara]

Pojawił sie kolejny problem otóż we właściwościach nie mam opcji przywracania systemu.

Gdy próbuje włączyć je w Akcesoria>Narzędzia Systemowe wyświetla sie "Przywracanie systemu zostało wyłączone przez zasady grupy.

Aby włączyć przywracanie systemu, Skontaktuj sie z administratorem domeny." i tutaj od razu mówię, że jestem administratorem.

[Landuss]

Start > Uruchom > regedit i skasuj ten klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

 

Restart systemu i sprawdź efekty.

Edytowane 6 Września 2012 przez picasso
6.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso