Przekierowania wyszukiwarki Google

[darek44]

Witam. Prawdopodobnie mam problem z googlle, wyskakuja dziwne strony. Prosze o pomoc.

gmer.txt

OTL.Txt

dziwne strony.txt

Extras.Txt

[picasso]

Temat doprowadzam do oczekiwanej formy. Infekcja jest i na dodatek powinieneś mieć problem z gadżetami Pulpitu (błędy wyświetlania):

 

[2011-04-12 19:02:22 | 000,000,286 | -H-- | C] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011-04-12 19:02:16 | 000,000,246 | -H-- | C] () -- C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011-04-12 19:02:08 | 000,118,784 | RHS- | C] () -- C:\Windows\System32\iglhxa32F.dll
[2011-04-12 19:02:08 | 000,000,312 | -HS- | C] () -- C:\Windows\tasks\Olehrfyfz.job

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011-04-12 19:02:22 | 000,000,286 | -H-- | C] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011-04-12 19:02:16 | 000,000,246 | -H-- | C] () -- C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011-04-12 19:02:08 | 000,118,784 | RHS- | C] () -- C:\Windows\System32\iglhxa32F.dll
[2011-04-12 19:02:08 | 000,000,312 | -HS- | C] () -- C:\Windows\tasks\Olehrfyfz.job
IE - HKCU\..\URLSearchHook: {3ba34663-845a-4931-a6f3-1e033ec342a7} - Reg Error: Key error. File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {3BA34663-845A-4931-A6F3-1E033EC342A7} - No CLSID value found.
@Alternate Data Stream - 980 bytes -> C:\Users\Admin\AppData\Local\Temp:3MGoGcf6qXMG3cygeWX1
@Alternate Data Stream - 1150 bytes -> C:\ProgramData\Microsoft:dzxCtLunBSk3LrASS
@Alternate Data Stream - 1105 bytes -> C:\Program Files\Common Files\System:m3eZEuncud28XWpCmn3pzg
@Alternate Data Stream - 1033 bytes -> C:\Users\Admin\AppData\Local\Temp:FWvYky67xBXRjaZ9KHu9
@Alternate Data Stream - 1011 bytes -> C:\ProgramData\Microsoft:KMV7Wr7D1MAT2qQRIFouSyb
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz z tego log.

 

2. Do oceny: nowe logi z OTL z opcji Skanuj oraz log otrzymany z usuwania w punkcie 1.

 

 

 

 

.

[darek44]

Problem z wyszukiwarka google rozwiazany. Dziekuje. Mam problemy z gadzetami,czesc ich rozwiazalem dzieki porada z tego forum.Ciagle jest problem z kalendarzem,znikaja wszystkie znaki ,zostaje tylko pomaranczowy kolor

OTL.Txt

wykonanie skryptu.txt

[picasso]

Gładko poszło. Wykonaj końcowe kroki:

 

1. W OTL wywołaj funkcję Sprzątanie, co usunie kwarantannę z trojanami oraz sam program OTL.

 

2. Przeskanuj system przez Malwarebytes' Anti-Malware i zaprezentuj raport.

 

 

Ciagle jest problem z kalendarzem,znikaja wszystkie znaki ,zostaje tylko pomaranczowy kolor

 

Czy to na pewno ma miejsce teraz po usunięciu infekcji i po wyłączeniu + ponownym włączeniu gadżetów? Planowałam usuwanie klucza, który tworzy problem z gadżetami, ale skrypt OTL twierdzi, że go już nie ma:

 

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\ not found.

... co by się zgadzało z tym:

 

czesc ich rozwiazalem dzieki porada z tego forum

 

Które operacje przeprowadzałeś?

 

 

 

.

[darek44]

tutorial:Problemy z sidebarem/wykonalem:zanik/niemoznosc uruchomienia sidebara oraz artefakty wyswietlania.

kalendarz nadal pomaranczowy.

mbam-log-2011-04-15 (01-48-57).txt

[picasso]

To co wykrył MBAM to składnik infekcji, widzę "No action taken" = usuń to za pomocą MBAM. Po tym możesz wyczyścić foldery Przywracania systemu: INSTRUKCJE. I to by było na tyle w kwestii infekcji.

 

 

tutorial:Problemy z sidebarem/wykonalem:zanik/niemoznosc uruchomienia sidebara oraz artefakty wyswietlania.

 

Tego się domyśliłam, ale pytałam dokładnie o to, które z tam wypisanych zadań przeprowadziłeś. To może sprecyzuję teraz: czy to była rejestracja biblioteki komendą regsvr32 vbscript.dll?

 

 

kalendarz nadal pomaranczowy.

 

Skoro infekcja usunięta (i ów klucz "L"), powyższe triki przetrenowane, to nasuwa mi się jeszcze skojarzenie z Avastem (o ile masz go w wersji 6, co sugeruje datowanie plików w logach). Darmowy Avast w wersji 6 dodał kolejny składnik rezydenta czyli "Osłonę skryptową". Ta osłona jest równoznaczna z filtrowaniem skryptów w IE9, czyli także i ma to związek z gadżetami, które opierają swoją pracę na silniku IE. Zamknij wszystkie gadżety Pulpitu, w Avast zdeaktywuj na stałe "Osłonę skryptów", zresetuj komputer i spróbuj włączyć gadżet kalendarza.

 

 

 

.

[darek44]

Tak, to byla rejestracja regsvr32 vbscript.dll

Wylaczenie oslony skryptow w Avast pomoglo, kalendarz jest.

Dziekuje za pomoc.

 

Jeszcze jedno,prosze o wyrozumialosc.Z tego co wiem to pasek boczny w 7 ma inne wlasciwosci niz w viscie.Wydaje mi sie ,ze przed infekcja zblizajac sie wskaznikiem myszki do gadzedow pojawiala sie jakby przezroczysta linia odzielajaca je od reszty pulpitu i ikon.Teraz tego nie widze.

 

Jeszcze raz ogromne podziekowania.

[picasso]

Z tego co wiem to pasek boczny w 7 ma inne wlasciwosci niz w viscie.Wydaje mi sie ,ze przed infekcja zblizajac sie wskaznikiem myszki do gadzedow pojawiala sie jakby przezroczysta linia odzielajaca je od reszty pulpitu i ikon.Teraz tego nie widze.

 

Jesteś pewien, że to tyczyło gadżetów natywnych Windows 7? Nigdy nie widziałam na Windows 7 "przeźroczystej linii", albo nie do końca chwytam myśl. Nie pomyliło Ci się ze sztucznie dodanym Thoosje Windows Vista Sidebar (który w logach widziałam na dysku)? Mówisz w końcu o "pasku bocznym", a taki nie istnieje domyślnie na Windows 7.

 

Przy okazji, te paski Thoosje ładują teraz masę szajsu w instalatorze, jakieś toolbary / QuickStores i nawet wejście w opcje "Advanced" instalatora i odznaczenie montażu nie zapobiega procesowi wstawiania niepożądanych gości. Szczątki tych gości widziałam u Ciebie i skryptem OTL usuwałam te odpadki.

 

 

 

.

[darek44]

Jeszcze raz dziekuje. Czesc.