Skocz do zawartości

Wyniki wyszukiwania w Google przekierowują na abnow com


Rekomendowane odpowiedzi

Witam, mój problem polega na tym, że wszystkie wyniki wyszukiwania w google przekierowują się na stronę abnow com. Przeczytałem po necie, że jest to jakiś wirus, który to powoduje.

 

Ogólnie to nie koniec wszystkich problemów. Centrum akcji w windows 7 (win 72 32bit) - Usługa centrum zabezp. systemu Windows jest wyłączona. Próba włączenia kończy się błędem: Nie można uruchomić usługi.

 

Dodatkowo zepsuł się antywirus ESet smart s. 4.0. Próby przeinstalowania kończą się komunikatem, że nie udało się poprawnie zainstalować programu.

 

Załączam logi z OTL:

http://wklejto.pl/117606

http://wklejto.pl/117607

 

oraz GMER (który dodatkowo pokazał komunikat: Uwaga gmer znalazł modyfikacją systemu wskazującą na obecność rootkit'a):

http://wklejto.pl/117608

http://wklejto.pl/117609

 

oraz po uruchomieniu combofixa:

http://wklejto.pl/117711

 

AntiZeroAccess pokazał, że nie ma zagrożenia.

 

tdskiller:

http://wklejto.pl/117715

 

 

po wykonaniu tego skryptu w otl:

 

:OTL

[2012-02-19 11:45:26 | 000,000,000 | -HSD | C] -- C:\Users\Mariusz\AppData\Local\556fae70

[2012-02-19 16:38:29 | 000,319,840 | ---- | C] () -- C:\Windows\eins1549.dll

[2012-01-21 16:35:09 | 000,000,000 | ---D | C] -- C:\Program Files\Ask.com

O20 - HKU\S-1-5-21-2175038191-923838448-371509059-1000 Winlogon: Shell - (C:\Users\Mariusz\AppData\Local\556fae70\X) - C:\Users\Mariusz\AppData\Local\556fae70\X ()

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab" (Reg Error: Key error.)

O3 - HKLM\..\Toolbar: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found

FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

IE - HKU\S-1-5-21-2175038191-923838448-371509059-1000\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found

:Files

netsh winsock reset /C

:Commands

[emptytemp]

 

http://wklejto.pl/117718

 

ponownie z otl:

http://wklejto.pl/117722

 

Antizeroaccess

http://wklejto.pl/117721

 

FSS:

http://wklejto.pl/117723

 

 

Proszę o sprawdzenie czy w systemie coś jeszcze zostało i nie ma jakiegoś spustoszenia. Ogólnie to teraz poprawiła się sytuacja z wyszukiwaniem.

Mogę zainstalować i uruchomić antywirusa. Jednak chyba nie chce się pojawić flaga od centrum akcji na pasku zadań.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
po wykonaniu tego skryptu w otl:

 

Co to za skrypt i skąd? Usuwanie wpisu O20 nie miało racji bytu, ten wpis usuwa ComboFix, toteż skrypt w OTL w ogóle go nie znalazł. Usuwane dwa wpisy "not found" w MozillaPlugins, które należy zostawić w spokoju, bo to jest pozorne "not found". Na dokładkę na chama usuwanie wpisów paska narzędziowego Ask Toolbar, podczas gdy tu trzeba było zrobić prawidłową jego deinstalację. Wpis był na liście zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar

 

Konsekwencje: pasek jest tylko zlikwidowany z widoku w IE, w rejestrze śmietnik. Przywróć skasowany C:\Program Files\Ask.com na miejsce (siedzi w folderze kwarantanny C:\_OTL) i odinstaluj Ask Toolbar naturalną drogą poprzez Panel sterowania. Jeżeli wpis będzie tam niewidoczny, podam jak go uwidocznić.

 

 

Proszę o sprawdzenie czy w systemie coś jeszcze zostało i nie ma jakiegoś spustoszenia. Ogólnie to teraz poprawiła się sytuacja z wyszukiwaniem.

Mogę zainstalować i uruchomić antywirusa. Jednak chyba nie chce się pojawić flaga od centrum akcji na pasku zadań.

 

Rozumiem, że wykonywałeś rekonstrukcyjne instrukcje tu z forum (?), czyli odtwarzanie usług Zapory (KLIK), gdyż w OTL Extras były błędy skasowanej usługi BFE, ale aktualny log z Farbar Service Scanner nie wykazuje naruszeń, ani usług Zapory, ani usługi Centrum. Mówisz o "fladze na pasku", dokładnie zweryfikuj czy usterka ma miejsce, bo nie ma tu już znaków defektu na poziomie serwisów. Ikona Centrum na pasku a działanie Centrum to dwie różne rzeczy. Czy w Panelu sterowania Centrum akcji zgłasza jakieś problemy?

 

Co do resztek infekcji po wszystkich działaniach:

 

1. Skasuj jeszcze z dysku ten ukryty folder:

 

[2012-02-19 11:49:48 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA%

 

2. Pozostał odnośnik do usługi ZeroAccess w wartości NetSvcs. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

 

Dwuklik na netsvcs i z listy tam widzianej usuń wpis wlidsvc. Nie narusz innych wpisów.

 

 

 

.

Odnośnik do komentarza

Skrypt podrzucony z innego forum.

1) Co do ask.com przywróciłem pliki, ale nie mam opcji w usuń programy, proszę o instrukcję jak usunąć.

2) Nic nie robiłem z rekonstrukcji. Tylko to co podałem w pierwszym poście i po tym zapora oraz centrum akcji działają. Problem z centrum akcji jest taki, że ikona nie pokazuje się na pasku zadań (wcześniej po 1-2 minutach od włączenia komputera się tam znajdowała). Teraz nie pojawia się nigdy. Jednak centrum akcji samo w sobie wygląda, że działa ok. Także w panelu sterowania centrum nic nie zgłasza, ale nie mam ikony (flagi) na pasku.

3) katalog %appdata% skasowany.

4) Wpis wlidsvc usunięty.

 

Także to co zostało to ask.com (odinstalowanie) oraz ikona centrum akcji.

Odnośnik do komentarza
1) Co do ask.com przywróciłem pliki, ale nie mam opcji w usuń programy, proszę o instrukcję jak usunąć.

 

Wyeksportuj klucz do wglądu. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, za to w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE} /S

 

Klik w Skanuj. Przedstaw wynikowy log.

 

 

Problem z centrum akcji jest taki, że ikona nie pokazuje się na pasku zadań (wcześniej po 1-2 minutach od włączenia komputera się tam znajdowała). Teraz nie pojawia się nigdy. Jednak centrum akcji samo w sobie wygląda, że działa ok. Także w panelu sterowania centrum nic nie zgłasza, ale nie mam ikony (flagi) na pasku.

 

Ja rozumiem co mówisz, insynuuję tu niedopatrzenie w opcjach. Prawoklik na pasek zadań > Właściwości > w sekcji "Obszar powiadomień" Dostosuj > Włączanie i wyłączanie ikon systemowych > jaki status ma Centrum akcji.

 

 

 

.

Odnośnik do komentarza
1) log z otl

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

Dwuklik na NoRepair i zamień aktualne 1 na 0. Sprawdź czy wpis Ask Toolbar uwidocznił się na liście deinstalacji.

 

2. Jeżeli wpis się nie uwidoczni, spróbuj klawisz z flagą Windows + R i w Uruchom wklej komendę:

 

MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

 

2) we właściwościach paska 'centrum akcji' ma status: WYŁĄCZONE. Dropdown jest nieaktywny.

 

Zastosuj ten oto automat Fix-it: KB945011. Narzędzie zresetuje Obszar powiadomień.

 

 

 

.

Odnośnik do komentarza

1. klucz zmieniłem. W liście usuń programy nadal go nie było, również po resecie kompa. Msiexec również nie pomógł 'Instalacja paska została anulowana, w systemie wykryto zainstalowany pasek pobrany z ask.com', niezależnie jaką opcję (modyfikuj, napraw) wybiorę.

W tym miejscu mam pytanie, bo używam windows 7 manager smart uninstaller i jest tam możliwość usuniecia tych plików z dysku oraz wpisów z rejestru, zrobić to czy to nic nie da? screen tak wygląda:

 

screen.jpg

 

2. fix-it nic nie pomógł, nadal opcja wyłączone jest nieaktywna, ikona się nie pojawia.

Odnośnik do komentarza
W tym miejscu mam pytanie, bo używam windows 7 manager smart uninstaller i jest tam możliwość usuniecia tych plików z dysku oraz wpisów z rejestru, zrobić to czy to nic nie da?

 

To posłuż się Smart Uninstaller. Widzi Ask Toolbar jako zainstalowany i z tego co prezentuje ekran wygląda to na prawidłową detekcję składników. Jak widać po fragmentach rejestru, procedura obszerniejsza niż wywalanie na łebka dwóch wpisów Ask z IE.

 

 

2. fix-it nic nie pomógł, nadal opcja wyłączone jest nieaktywna, ikona się nie pojawia.

 

Przeprowadź proces ręcznie.

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > w kluczu:

 

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify

 

Skasuj wartości IconStreams + PastIconsStream.

 

2. Przeładuj explorer.exe w menedżerze zadań.

 

 

 

.

Odnośnik do komentarza

ask się pozbyłem, dzięki :)

a co do drugiego, to usunąć mam tylko zawartość wpisów iconstreams i pasticonstream czy całe te wpisy? próbowałem i tak i tak, ale efekt nadal ten sam, że we właściwościach ikona centrum akcji jest nieaktywna, no i ogólnie sie nie pojawia.

Potem odpaliłem jeszcze raz fix-it, ale też bez efektu. Próbowałem z resetem explorer.exe oraz ponownym uruchomieniem komputera.

Odnośnik do komentarza
a co do drugiego, to usunąć mam tylko zawartość wpisów iconstreams i pasticonstream czy całe te wpisy?

 

Całe wartości jako takie, bez edycji punktowej.

 

 

efekt nadal ten sam, że we właściwościach ikona centrum akcji jest nieaktywna, no i ogólnie sie nie pojawia.

 

Wprawdzie log z OTL dostarczony w poście nr 1 żadnych relatywnych polis (HideSCAHealth) nie pokazuje, ale zrób skan rejestru pod tym kątem. Uruchom OTL, wszystko ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /S
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /S

 

 

 

.

Odnośnik do komentarza

Zgodnie z tym co mówił wcześniej log z OTL, nie ma blokad tego rodzaju. Coś mi się tu nie zgadza. Kolejne próby:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wpisz komendę korekty Repozytorium:

 

winmgmt /salvagerepository

 

Zresetuj system. Przy braku skutków:

 

2. Pokaż skan na klucze Centrum jako takiego. Uruchom OTL, wszystko ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc /S
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Action Center /S

 

 

 

.

Odnośnik do komentarza

1. Anomalia, którą widzę, to brak podklucza Security usługi Centrum. Zaimportuj brakujący wpis. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security]
"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
  00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
  00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\
  00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\
  7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\
  00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

Zresetuj system.

 

2. Przy braku skutków w/w akcji, spróbujmy z innej strony, czyli wymuszenie obecności ikony przez politykę:

 

Start > w polu szukania wpisz gpedit.msc > z prawokliku Uruchom jako Administrator. Przejdź do: Konfiguracja użytkownika > Szablony administracyjne > Menu Start i pasek zadań > dwuklik na opcję "Usuń ikonę Centrum akcji" i zaznacz "Wyłączone". Po zatwierdzeniu zmian zresetuj system.

 

 

 

.

Odnośnik do komentarza

Szczerze mówiąc nie widzę powodu dla którego ikona jest nieaktywna: Centrum działa, usługa skorygowana, brak polis HideSCAHealth, zresetowany obszar TrayNotify na bazie dwóch sposobów, repozytorium jakoby spójne.

 

Wygeneruj kopię rejestru za pomocą RegBak, wszystko zapakuj do ZIP, shostuj gdzieś i podeślij tu link. Przejrzenie tego będzie czasochłonne i nie za szybko to zrobię.

 

 

.

Odnośnik do komentarza
  • 1 miesiąc temu...
  • 8 miesięcy temu...
  • 1 miesiąc temu...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...