Prosze o pomoc z http://search.certified-toolbar.com

[mejnu]

WItam,

 

Prosze o pomoc z wirusem hxxp://search.certified-toolbar.com

 

Nieszczesliwie zainstalowany toolbar jest na komputerze firmowym i boje sie teraz o korzystanie z niego zeby nie namieszal mi maksymalnie w systemie

 

Załączam logi z mojego systemu,

Extras.Txt

OTL.Txt

[picasso]

To nie wirus, to adware. Sponsorowany instalator tu był uruchamiany, który tego śmiecia miał doczepionego. Nie opowiedziałeś wszystkiego (bym się nie powtarzała), widać tu już prowadzone manipulacje, m.in. używany AdwCleaner. Stosowałeś też wątpliwe reputacją skanery: SpyHunter i XoftSpySE. Nie precyzujesz czy nadal widzisz tego toolbara, a jeśli to w której przeglądarce. Na teraz mogę zalecić tylko drobne korekty (rekonfiguracja po AdwCleaner + usunięcie szczątków adware i skanerów), bo więcej nic nie widzę:

 

1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"=-
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Search_URL"=-
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
O4 - HKLM..\Run: []  File not found
[2013-01-17 20:12:23 | 000,000,000 | ---D | C] -- C:\ProgramData\XoftSpySE
[2013-01-17 01:03:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013-01-17 01:02:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2
[2013-01-17 00:25:08 | 000,000,000 | ---D | C] -- C:\Users\Marcin\AppData\Roaming\Malwarebytes
[2013-01-17 00:25:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013-01-17 00:25:45 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2013-01-16 23:03:08 | 000,000,000 | ---D | C] -- C:\Users\Marcin\AppData\Local\DownTango
[2013-01-16 23:02:29 | 000,003,269 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml
[2012-11-08 22:58:15 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\FileOpen
[2012-11-29 23:33:36 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\MCommon
[2013-01-17 18:33:52 | 000,000,000 | ---D | M] -- C:\Users\Marcin\AppData\Roaming\WinLive
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[mejnu]

Witam,

 

Przepraszam ze nie podałem przeglądarki. Tak wiec uzywam CHROME i problem niestety nadal występuje Firefox używam raz na miesiąc bo przy drukowaniu niektórych rzeczy firmowych do pdf jakoś format się nie rozjeżdża w firefox (obecnie w firefox wspomniany problem juz nie występuje).

 

Czy to możliwe że tylko CHROME jest zainfekowany tym adware?

 

W załączniku przesyłam plik OTL

OTL.Txt

[picasso]

Zadania wykonane, jeden wpis omyłkowo ominęłam w Internet Explorer. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

 

Tak wiec uzywam CHROME i problem niestety nadal występuje (...) Czy to możliwe że tylko CHROME jest zainfekowany tym adware?

 

Na pewno są w przeglądarce preferencje tego adware, skoro to w niej notujesz. W skanie OTL tego nie widać, ale OTL nie skanuje wszystkich preferencji. Skopiuj na Pulpit ten plik:

 

C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Plik obejrzę, zedytuję i odeślę z powrotem.

 

 

 

.

[mejnu]

Kolejne kroki wykonałem tak jak opisałaś.

 

Załączam plik Preferences (zmieniłem nazwę na PreferencesAAA.txt bo inaczej nie mogłem załączyć tutaj tego pliku -> komunikat że nie mam uprawnień do wysyłania tego typu plików)

PreferencesAAA.txt

[picasso]

Plik miałeś umieścić na jakiś serwisie zewnętrznym, a nie przez załącznik (nie dopuszczam plików bez rozszerzeń i innych niż TXT). W pliku nie ma żadnego widzialnego odnośnika do tego śmiecia search.certified-toolbar.com, jest za to odpadek po adware SweetIM i to wytnę z pliku.

 

,
        "jcdgjdiieiljkfkdcloehkohchhpekkn": {
           "ack_external": true,
           "active_permissions": {
              "api": [ "cookies" ],
              "scriptable_host": [ "http://*.facebook.com/*", "https://*.facebook.com/*" ]
           },
           "from_bookmark": false,
           "from_webstore": false,
           "install_time": "13001961357350784",
           "location": 3,
           "manifest": {
              "description": "We are in the process of shutting down SweetIM for Facebook. This functionality is no longer available for use on your Facebook page.",
              "icons": {
                 "128": "128.png",
                 "16": "16.png",
                 "48": "48.png"
              },
              "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCMCuT713WyOTS+OzGSF6+vUL9o7Q4pSCdroHFA3zqgTkJyBsREdX/8Rng3+QZfB4ol4P1NYPQ1G+EXuVzC8yhrGd1C7E43AAQb2/ex4ihV/9hpKQ+B6VxnbFh2mDJYaLw99Fyo1iGImyhNoffFw997IRvG6YlPQn5HcUu0KtkL5wIDAQAB",
              "manifest_version": 2,
              "name": "SweetIM for Facebook",
              "optional_permissions": [ "background" ],
              "permissions": [ "cookies" ],
              "update_url": "http://www.sweetim.com/simgcbar/GCSocialUpdate.xml",
              "version": "1.2.0.0"
           },
           "path": "jcdgjdiieiljkfkdcloehkohchhpekkn\\1.2.0.0_0",
           "state": 2,
           "was_installed_by_default": false

 

Gdzie Ty konkretnie widzisz ten adres toolbara, w którym miejscu przeglądarki / podczas jakich czynności? Czy masz włączoną synchronizację Google z serwerem?

 

 

.

[mejnu]

Przepraszam nie wiedziałem że tak nie powinienem wysyłać pliku preferences.

 

Czy fragment pliku preferences to co podałaś (odnośnie SweetIM) to mogę wykasować?

 

Co do adresu toolbar'a to włącza się ta strona za każdym razem jak włączę Chrome (mimo że ustawiona strona startowa to google.pl oraz w Ustawienia->Wyszukiwanie też jest ustawione google, wcześniej było Certified-Toolbar ale to usunąłęm). Innymi słowy Certified-Toolbar nadpisuje mi moje ustawienia i nie wiem na ile to jest bezpieczne dla komputera i czy jakieś śmieci za tym się nie czają bądź niebezpieczeństwa.

 

Odnośnie synchronizacji to nic takiego nie ustawiałem. (Po wejściu do Ustawień w Chrome mam opcję "Zaloguj się do Chrome" ale nigdy tego nie używałem). Nie wiem czy to jest odpowiedź na Twoje pytanie.

[picasso]

Czy fragment pliku preferences to co podałaś (odnośnie SweetIM) to mogę wykasować?

 

Na razie nic z pliku Preferences nie usuwaj (i to co zakreśliłam to nie jedyny odnośnik SweetIM), akcje diagnostyczne w toku. Wszystkie ewentualne edycje wykonamy za jednym zamachem.

 

 

Co do adresu toolbar'a to włącza się ta strona za każdym razem jak włączę Chrome (mimo że ustawiona strona startowa to google.pl

 

Dodaj mi jeszcze jeden skan. Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet /s

 

Klik w Look.

 

 

.

[mejnu]

Dodatkowy skan w załączniku.

 

Pozdrawiam

SystemLook.txt

[picasso]

W skanie SystemLook nic ciekawego. Według innych tematów adware modyfikuje skrót przeglądarki.

 

1. Zamknij przeglądarkę Google Chrome. Skasuj wszystkie jej skróty (Pasek zadań / Menu start / Pulpit), utwórz w wybranym miejscu nowy skrót. Przesyłam zedytowany plik Preferences (usunięte adware SweetIM): KLIK. Podmień plik Preferences. Uruchom Google Chrome i sprawdź czy adware jest widoczne.

 

2. Dodaj skan SystemLook na warunki:

 

:regfind
certified
protected search
 
:folderfind
*certified*
protected search
 
:filefind
*certified*
protectedsearch*
protected search**

 

 

 

.

[mejnu]

Witam,

 

Jesteś wielka

 

Odpalam CHROME i piekna strona google.com mi sie odpala

W załączniku plik o który prosiłaś (chyba jeszcze jakies smieci w rejestrze zostały)

SystemLook.txt

[picasso]

Zostały poprawki na znaleziska SystemLook.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AboutURLs]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Adware autoryzowało się w zaporze systemowej. Zresetuj reguły. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę:

 

netsh advfirewall reset

 

3. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w OTL uruchom Sprzątanie.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Odinstaluj starsze Adobe / Java, zaktualizuj produkty Mozilla oraz pakiet Office 2007 (instalacja SP3): KLIK. Ostatni OTL Extras wykazywał zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416017FF}" = Java™ 6 Update 17 (64-bit)
"{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit)
"{39F4C6F9-618A-4E5B-8FB2-6BD661174E32}" = Intel® Turbo Boost Technology Monitor
"{64A3A4F4-B792-11D6-A78A-00B0D0170070}" = Java SE Development Kit 7 Update 7 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1033-7B44-A90100000001}" = Adobe Reader 9.0.1
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl)
"Mozilla Thunderbird 14.0 (x86 pl)" = Mozilla Thunderbird 14.0 (x86 pl)
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2373884761-3315178383-1634237956-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)

 

 

 

.

[mejnu]

Dziekuje serdecznie za pomoc.

 

Kroki wszystkie wykonałem.

Mialem watpliwości co do Java - ktore mam usunac a ktore nie.

Adobe 9 usunalem.

Java:

- zostawilem Java 7 Update 7 (64-bit) oraz Java SE Development Kit 7 Update 7 (64-bit)

- usunałem : Java™ 6 Update 17 (64-bit) oraz Java 7 Update 9

 

Mam nadzieje ze nic nie rozwalilem z ta Java. Zaraz po wyplacie dotacja słusznie sie nalezy

[picasso]

Mialem watpliwości co do Java - ktore mam usunac a ktore nie.

 

Wszystkie do usunięcia na korzyść najnowszej wersji.

 

 

Zaraz po wyplacie dotacja słusznie sie nalezy

 

Dziękuję.

 

 

 

.