Przekierowania na abnow i problem z zaporą

[Damianox666]

Witam

Problem polega na tym ze po kliku w wynik wyszukiwania w google przekierowywuje mnie na abnow. Zapory nie moge wlaczyc bo wyskakuje taki blad:

Zapora systemu windows nie może zmienic niektorych ustawien. Kod bledu: 0x8007042c.

Jeszcze czasem mam tak ze jak wlacze kompa to myszka nie reaguje na ruch dopiero po wyciagnieciu i wlozeniu spowrotem wtyczki dziala.

Skanowalem kompa dr.web i malwarebytes anti-malware ponizej logi. Aha i podczas skanowania prog. Otl wyskoczyl mi taki blad:

W stacji nie ma dysku. Wloz dysk do stacji \Device\Harddisk4\DR4.

Kliknalem trzy razy ponow probe i skankwalo dalej.

Skoro na kompie wirusy to na pendrivach i kartach pamieci tez pewnie bede mial.

Jak sie tego pozbyc??

[Landuss]

Przekierowania na abnow to jest rootkit ZeroAccess i to nie jest wirus przenoszacy się przez pendrive. I gdzie są te logi? Bez tego nie ruszymy - OTL + Gmer obowiązkowo do pokazania

[Damianox666]

Przez telefon pisalem i nie wyslalo.

Loga z Dr.Web dolacze pozniej bo jedyny internet jaki mam to ten przez telefon a chwile zejdzie zanim wrzuci 5mb.

OTL.Txt

Extras.Txt

Gmer.txt

mbam-log-2012-03-06 (16-41-50).txt

[Landuss]

Log z Dr.Web nie jest tu tak istotny jak te, które pokazałeś teraz. Infekcja jest w stanie czynnym. Zacznij od użycia z trybu awaryjnego ComboFix i wklej wynikowy raport. Po tym działaniu wykonaj też nowe logi z OTL i załącz do posta.

[Damianox666]

Teraz zauwazylem ze zapora sie wlaczyla

ComboFix.txt

Extras.Txt

OTL.Txt

[Landuss]

ComboFix usunął w całości infekcję z systemu. Drobna poprawka.

 

1. Przejdź w panel usuwania programów i odinstaluj zbędny toolbar - WebScout FileBulldog Toolbar

 

2. Wklej do notatnika ten tekst:

 

Folder::
c:\windows\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP
c:\windows\8AAB4176A747493AA42CB63CFADFD8E3.TMP
 
NetSvc::
pnmsrv
 
Registry::
[HKEY_USERS\S-1-5-21-1396035045-3181242471-1236992741-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-21-1396035045-3181242471-1236992741-1000\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_USERS\S-1-5-21-1396035045-3181242471-1236992741-1000\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wisdom-soft AutoScreenRecorder 3.1 Free"=-

 

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

 

 

3. Prezentujesz nowy log z ComboFix oraz z AdwCleaner z opcji Search.

[Damianox666]

A ten CFScript i olg z combo ma byc z trybu awaryjnego czy normalnego??

[Landuss]

Oczywiście, ze z normalnego. Wcześniej był z awaryjnego po to bo infekcja była czynna i tak jest lepiej wtedy usuwać.

[Damianox666]

Chwile zeszlo.

ComboFix.txt

AdwCleanerR1.txt

[Landuss]

1. Popraw skrypt o tej zawartości:

 

NetSvc::
pnmsrv

 

Robisz tak jak poprzednio i dajesz nowy log.

 

2. Używasz AdwCleaner z opcji Delete i pokazujesz nowy log z opcji Search.

[Damianox666]

Daje tez loga S1 ktory pojawil sie po opcji delete

ComboFix.txt

AdwCleanerS1.txt

AdwCleanerR2.txt

[Landuss]

Można przejść do czynności końcowych.

 

1. Wklej do notatnika systemowego ten tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
  63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\
  00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\
  00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\
  00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\
  54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\
  00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
  69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
  00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\
  6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\
  00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\
  69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\
  00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\
  73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\
  00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\
  61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\
  00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\
  73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\
  00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\
  69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
  00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\
  44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\
  00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\
  64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\
  00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\
  6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\
  00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\
  69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\
  00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\
  00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\
  00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\
  00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\
  00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\
  74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\
  00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\
  70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal

 

2. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner.

 

3. Zaktualizuj system wgrywając Service Pack 1 oraz IE i Jave: KLIK

 

4. Opróżnij folder przywracania systemu: KLIK

[Damianox666]

I to juz wszystko?

Juz nie przekierowywuje na abnow.

Moze moglbys polecic mi jakiegos anty virusa aby na przyszlosc uniknac virusow.

[Landuss]

To wszystko. Temat uznaje za zakończony i go zamykam. Jeśli chodzi o antywirusa to już sam sobie musisz coś wybrać bo tu każdy radzi co innego.