Incredibar pomoc w usunięciu

[Krzychu]

Witam, proszę o pomoc w usunięciu tego malware

Załączam logi z OTL.

OTL.Txt

Extras.Txt

[picasso]

1. Odinstaluj wątpliwy skaner SpyHunter.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{40439b93-f815-4122-8073-d03bed94c303}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-shoutcast-chromesbox-en-us"
IE - HKU\S-1-5-21-602162358-1580818891-725345543-1004\..\SearchScopes\{40439b93-f815-4122-8073-d03bed94c303}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-shoutcast-chromesbox-en-us"
IE - HKU\S-1-5-21-602162358-1580818891-725345543-1004\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6OyZMYQ3Xv&i=26"
O9 - Extra 'Tools' menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab" (Reg Error: Value error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\SiWinAcc.sys -- (SiFilter)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\Si3114r5.sys -- (Si3114r5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Krzychu\USTAWI~1\Temp\cpuz135\cpuz135_x32.sys -- (cpuz135)
DRV - [2012-10-26 20:03:06 | 000,104,280 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VBoxNetAdp.sys -- (VBoxNetAdp)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

 

[Krzychu]

Załączam logi.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Brak jakichkolwiek oznak wykonania tego:

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Firefox nadal zaśmiecony adware i nie ma zmian charakterystycznych dla resetu...

 

 

.

[Krzychu]

Nie uzywam firefoxa wiec nie robiłem.

Ale juz wykonane

[picasso]

Zadaję określone czynności = nie opuszczaj wg własnego widzimisie. To nie ma znaczenia, że nie używasz, dopóki jest zainstalowany i na dysku śmietnik. Skoro teraz zrobiłeś reset, to wykonaj nowy log OTL z opcji Skanuj, który ma udowodnić zmiany.

 

 

 

.

[Krzychu]

Ok, nowy log...

Mam jeszcze pytanko, gdzie mozna sie nauczyc interpretowac logi z OTL?

OTL.Txt

[picasso]

Zadania zrobione, kończymy:

 

1. Drobne korekty. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Files
C:\Program Files\Enigma Software Group
netsh firewall reset /C

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Usuń stare Java, zaktualizuj Adobe Reader / Firefox i Google Chrome: KLIK. Wg raportu są zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{7148F0A8-6813-11D6-A77B-00B0D0142040}" = Java 2 Runtime Environment, SE v1.4.2_04
"{91120415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{AC76BA86-7AD7-1033-7B44-AB0000000001}" = Adobe Reader XI
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-602162358-1580818891-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 23.0.1271.95

 

 

Mam jeszcze pytanko, gdzie mozna sie nauczyc interpretowac logi z OTL?

 

Nie ma do tego "instrukcji". Jest to składowa wielu rzeczy, o czym pisałam m.in. tu: KLIK. Na zachodzie jest kilka szkół (np. na Bleeping, SpywareInfo), gdzie są prowadzone kursy dla osób chcących usuwać infekcje. Są to szkoły limitowane do tego aspektu, wiedza o systemie i tak musi być nabyta innymi drogami. Ja nie przechgodziłam treningu w takich szkołach, jestem samoukiem.

 

 

 

.

[Krzychu]

Witam juz wczesniej zakladalem tu temat z prosbą o usunięcie tego adware lecz nadal się on pojawia..

OTL.Txt

Extras.Txt

Edytowane 3 Lutego 2013 przez picasso
Tematy sklejam razem. //picasso

[Landuss]

No tak ale poprzedniego tematu nie ukończyłeś i zostawiłeś go bez finalnej odpowiedzi. W logach nie widzę śladu Incredibar więc teraz pytanie gdzie to widzisz i na jakiej przeglądarce?

[Krzychu]

Pojawia się tylko w chrome, jako dodatkowa karta przy uruchomieniu przegladarki

w załączniku ss. Probowalem juz deinstalacji i instalacji chroma ale dalej ta zakladka sie pojawia.

[Landuss]

Spróbuj odinstalować Chrome i usuń po instalacji ten folder C:\Documents and Settings\Krzychu\Ustawienia lokalne\Dane aplikacji\Google

 

Zainstaluj ponownie i sprawdź efekty.

[Krzychu]

Niestety nadal jest..

[picasso]

Tematy sklejam razem. Skoro odinstalowanie Google Chrome, włącznie z usunięciem katalogu z Ustawień lokalnych, nie daje rezultatu, to nasuwa się pytanie: czy Google Chrome ma włączoną synchronizację z serwerem? Jeśli tak = ustawienia na serwerze są zainfekowane i synchronizację należy wyłączyć przed czyszczeniem Google Chrome.

 

 

 

.

[Krzychu]

Udało mi się to usunąć poprzez edycje pliku preferences i usuniecie wszystkich odnośników do tej strony, ale pewnie dane na serwerze nadal są zainfekowane...

Da się jakoś je wyczyścić ale tylko z tego ustrojstwa bez utraty reszty danych?

 

Edit:

Jednak nadal jest to ustrojstwo.. chyba poprostu przeniose się na inną przeglądarke, na ktorej w sumie lepiej działają mi filmy na yt itp.

[picasso]

ale pewnie dane na serwerze nadal są zainfekowane...

Da się jakoś je wyczyścić ale tylko z tego ustrojstwa bez utraty reszty danych?

 

Czyli jest tu włączona synchronizacja? W takiej sytuacji należy ją wyłączyć, by wyczyścić dane z serwera. Akcja wykonalna np. przez ten link: KLIK. Powinna się pokazać opcja:

 

"Zatrzymać synchronizację i wyczyścić zsynchronizowane dane Chrome?

Czy na pewno chcesz zatrzymać synchronizację i wyczyścić wszystkie zsynchronizowane dane Chrome z serwerów Google?

Tego działania nie można cofnąć, a jego wykonywanie może potrwać kilka godzin."

 

 

 

.

Edytowane 13 Marca 2013 przez picasso
13.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso