Przekierowywanie linków w przeglądarce na "abnow"

[sewo29]

Witam,

dotknął mnie częsty ostatnio problem z oprogramowaniem isecurity oraz przekierowywaniem linków do abnow.

Użyłem porad z Internetu, m.in. instalując Trojan Killer i Ad Aware - wczoraj.

 

Wydawało się że objawy przestały sie pojawiac po zastosowaniu powyzszych ale od dzisiaj rano przy każdej próbie uruchomienia systemu po wyborze profilu (rowniez w trybie awaryjnym) dostawałem Blue Scr.

 

Przywróciłem narzędziami systemowymi do stanu sprzed 2 dni i system ładuje się prawidłowo z problemami jak w tytule.

 

Załączam logi z prośbą o pomoc.

 

Seweryn

[Landuss]

Przekierowania na "abnow" to infekcja ZeroAccess. Widoczna w logu w stanie czynnym i działa w najlepsze. Tutaj jest system 64 bitowy a ta infekcja na takim systemie jest nieco mniej agresywna.

 

1. Zacznij od wejścia w tryb awaryjny i uruchom ComboFix

 

2. Z trybu normalnego pokazujesz nowo zrobione logi z OTL oraz z ComboFix.

[sewo29]

Tryb awaryjny kilka razy mi się zawiesił (normalny i w trybie obsł. siecii). Dopiero na trybie z obsługą wiersza się udało.

 

W załączeniu logi z ComboFix oraz OTL (nowe).

 

Czekam na kolejne instrukcje - dzięki.

[Landuss]

ComboFix dobrze poradził sobie i usunął infekcje. Teraz dalsze czynności do wykonania.

 

1. Wklej do notatnika ten tekst:

 

File::
C:\Windows\muzuki.exc
C:\Users\Dom\AppData\Local\Temp*.html
 
Folder::
C:\windows\system32\%APPDATA%
C:\users\Dom\AppData\Local\368471d6
 
NetSvc::
hpzid412
dlaudf_m
avgio
dladresm
oracleorahomehttpserver
dns4meclient
ibmpmsvc
Xponaut_WBD
emu10k1
emAudio
atkkeyboardservice
ASFWHide
wfxsvc

 

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

 

 

2. Z panelu usuwania programów odinstaluj zbędnik AOL Toolbar

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=5d1bd7e1-296e-11e1-9eaf-00269e83fd91"
IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{C0B42EB9-444E-44DF-8552-329FE22E4E21}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=5d1bd7e1-296e-11e1-9eaf-00269e83fd91&q={searchTerms}"
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=5d1bd7e1-296e-11e1-9eaf-00269e83fd91&q="
[2010-03-13 15:46:42 | 000,002,055 | ---- | M] () -- C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\lw5rjhch.default\searchplugins\daemon-search.xml
[2012-02-11 13:41:40 | 000,000,792 | ---- | M] () -- C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\lw5rjhch.default\searchplugins\startsear.xml
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, ComboFix oraz z AdwCleaner z opcji Search.

[sewo29]

Wszystkie kroki wykonane.

 

Załączam wskazane logi.

[Landuss]

Zrobiłeś błąd. W OTL po wklejeniu skryptu dajesz w Wykonaj skrypt a nie w Skanuj(!) SKan robisz po wykonaniu skryptu i restarcie komputera. Trzeba to poprawić.

 

1. Użyj AdwCleaner z opcji Delete.

 

2. Skrypt do OTL o takiej zawartości:

 

:Files
C:\Windows\SysNative\%APPDATA%
C:\Users\Dom\AppData\Local\Temp*.html
 
:OTL
NetSvcs: hpzid412 - File not found
NetSvcs: dlaudf_m - File not found
NetSvcs: avgio - File not found
NetSvcs: dladresm - File not found
NetSvcs: oracleorahomehttpserver - File not found
NetSvcs: dns4meclient - File not found
NetSvcs: ibmpmsvc - File not found
NetSvcs: Xponaut_WBD - File not found
NetSvcs: emu10k1 - File not found
NetSvcs: emAudio - File not found
NetSvcs: atkkeyboardservice - File not found
NetSvcs: ASFWHide - File not found
NetSvcs: wfxsvc - File not found
IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/...af-00269e83fd91
IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-se...q={searchTerms}
IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{C0B42EB9-444E-44DF-8552-329FE22E4E21}: "URL" = http://slirsredirect...hpcnnbie7-pl-pl
IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}: "URL" = http://startsear.ch/...q={searchTerms}
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=5d1bd7e1-296e-11e1-9eaf-00269e83fd91&q="
[2010-03-13 15:46:42 | 000,002,055 | ---- | M] () -- C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\lw5rjhch.default\searchplugins\daemon-search.xml
[2012-02-11 13:41:40 | 000,000,792 | ---- | M] () -- C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\lw5rjhch.default\searchplugins\startsear.xml
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
 
:Commands
[emptytemp]

 

Klikasz w Wykonaj skrypt.

 

3. Dajesz log z wynikami przetwarzania skryptu z punktu 2 oraz nowy z OTL ze skanu na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

netsvcs

 

Klik w Skanuj.

[sewo29]

Przepraszam za pomyłkę.

Poprawione dane.

[Landuss]

Wszystko wykonane i można już kończyć sprawę. Pozostałe rzeczy do wykonania:

 

1. Wciśnij kombinację klawisza z flagą Windows + R wpisz CMD a następnie wklej i wywołaj polecenie "C:\Users\Dom\Desktop\ComboFix.exe" /uninstall

 

2. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner

 

3. Zaktualizuj poniżej wymienione oprogramowanie do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 17

"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)

 

Szczegóły aktualizacyjne: KLIK

 

4. Opróżnij folder przywracania systemu: KLIK

 

5. Na wszelki wypadek pozmieniaj hasła logowania do serwisów.

[sewo29]

Wykonane. Wszystko działa poprawnie.

 

Ogromne dzięki za pomoc i szacun za wiedzę. Genialne forum dla potrzebujących wsparcia.

 

Pozdrawiam!