Problem giants savings

[remik89]

Witam mam problem z malware Giant Savings na każej prawie stronie wyświetlają się reklamy których w normalnych warunkach nie ma. Dołączam obowiązkowe logi

Wiem że temat był już poruszany, ale do każdego przypadku należy podchodzić indywidualnie dlatego zdecydowałem się rozpocząć ten temat. Nie pomaga skanowanie McAfee Internet Security , cc cleaner ,spybot search and destroy.

Czekam na pomoc

Z góry dzięki

Pozdrawiam

 

Results of screen317's Security Check version 0.99.61

Windows 7 Service Pack 1 x86 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

Norton Internet Security

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

Spybot - Search & Destroy

McAfee SiteAdvisor Enterprise

CCleaner

Java™ 6 Update 37

Java 7 Update 13

Java version out of Date!

Adobe Flash Player 11.6.602.180

Mozilla Firefox 10.0.1 Firefox out of Date!

Mozilla Thunderbird (3.1.7) Thunderbird out of Date!

Google Chrome 24.0.1312.56

Google Chrome 24.0.1312.57

````````Process Check: objlist.exe by Laurent````````

McAfee Online Backup MOBKbackup.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

gmer log.txt

OTL.Txt

Extras.Txt

[picasso]

W systemie są też stare odpadki po rootkicie ZeroAccess.

 

1. Otwórz Google Chrome i wejdź do ustawień. W Rozszerzeniach odinstaluj Giant Savings.

 

2. Wyczyść Firefox ze starych naleciałości i śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale dodatki będziesz musiał przeinstalować.

 

3. Uruchom GrantPerms i w oknie wklej:

 

C:\Windows\$NtUninstallKB27523$

 

Klik w Unlock.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

fsutil reparsepoint delete C:\Windows\$NtUninstallKB27523$ /C
C:\Users\remik\AppData\Local\{60c709b9-2645-8192-bcaf-889587e69979}
C:\Users\remik\AppData\Local\{85AD1521-CC8A-11E1-8270-B8AC6F996F26}
C:\Windows\tasks\At*.job
C:\Windows\tasks\BearShareNAG.job
C:\Users\remik\AppData\Roaming\ProgSense
C:\ProgramData\t7wq14l2qs1owh
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKU\S-1-5-21-1385047699-1197689655-504847657-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKU\S-1-5-21-1385047699-1197689655-504847657-1001\..\SearchScopes\{AA8D6475-50E6-0FAB-D17A-2CE8EC5002F9}: "URL" = "http://www.startnow.com/s/?q={searchTerms}&src=defsearch&provider=Bing&provider_code=Z083&partner_id=335&product_id=477&affiliate_id=&channel=Fileserve01&toolbar_id=200&toolbar_version=2.0&install_country=US&install_date=20110818&user_guid=230E1C201DD74FB28095B44B8F5BEBC0&machine_id=68563d712e9afd7838b27ddfe5ff67e8&browser=IE&os=win&os_version=6.1-x86-SP1"
IE - HKU\S-1-5-21-1385047699-1197689655-504847657-1001\..\SearchScopes\{AD5EF61C-5753-4069-9987-73C0CD9A11DA}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FTB&o=41648106&src=kw&q={searchTerms}&locale=&apn_ptnrs=9C&apn_dtid=YYYYYYYYUS&apn_uid=24579DAF-DF46-4696-9762-73CCCC6B83D7&apn_sauid=E4EB6D2E-3D37-4505-9876-3C30722836B5"
IE - HKU\S-1-5-21-1385047699-1197689655-504847657-1001\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{85AD1521-CC8A-11E1-8270-B8AC6F996F26}: C:\Users\remik\AppData\Local\{85AD1521-CC8A-11E1-8270-B8AC6F996F26}\ [2012-07-12 21:31:59 | 000,000,000 | ---D | M]
O3 - HKLM\..\Toolbar: (no name) - !{5911488E-9D1E-40ec-8CBB-06B231CC153F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1385047699-1197689655-504847657-1001\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O4 - HKLM..\Run: [CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}] "C:\Users\remik\AppData\Local\Temp\cis17A5.exe" --PostUninstall {15198508-521A-4D69-8E5B-B94A6CCFF805} File not found
O4 - HKU\S-1-5-21-1385047699-1197689655-504847657-1001..\Run: [RMFon]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
O7 - HKU\S-1-5-21-1385047699-1197689655-504847657-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab" (Reg Error: Value error.)
O20 - HKLM Winlogon: GinaDLL - (RtlGina2.dll) -  File not found
O20 - Winlogon\Notify\avldr: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\ESET\ESET Smart Security\ekrn.exe -- (ekrn)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\kpjqlham.sys -- (soprfm)
DRV - File not found [Kernel | System | Stopped] -- System32\DRIVERS\ShlDrv51.sys -- (ShldDrv)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\DRIVERS\PavProc.sys -- (PavProc)
DRV - File not found [Kernel | System | Stopped] -- C:\Program Files\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log utworzony podczas usuwania OTL w punkcie 4 + przez AdwCleaner.

 

 

 

.

[remik89]

Ok zrobilem tak jak w instrukcji dołaczam wszystkie wymagane logi i czekam na dalsze instrukcje

 

Co dalej robić? jeśli nic to temat do zamknięcia.

FSS.txt

OTL.Txt

log po wykonaniu skryptu.txt

AdwCleanerS2.txt

[picasso]

Zadania owszem wykonane, ale tu jeszcze nie koniec. Log z Farbar Service Scanner ujawnia szkody po infekcji ZeroAccess (skasowane usługi). Wykonaj następujące działania:

 

1. Poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\$NtUninstallKB27523$
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page Restore"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Przedstaw log z wynikami usuwania. Nowy skan OTL zbędny.

 

2. Uruchom ServicesRepair. Zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

 

.

Edytowane 17 Maja 2013 przez picasso
17.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso