Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

abnow blokuje google

roy3000

Przez roy3000
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

roy3000

roy3000

Opublikowano
Opublikowano

Witam.

 

Widzę że nie tylko ja mam problem z tym ustrojstwem. Jako iż nie można się podpiąć pod temat a każdy problem jest tu rozwiązywany indywidualnie (super sprawa) zakładam nowy temat ale do rzeczy. Od paru dni wszystkie wyniki w Google się nie otwierają za to w pasku adresu widnieje stronka "abnow.com......", raz na jakiś czas jakaś stronka się otwiera o rożnych treściach ale rzadko. Prócz tymi niedogodnościami nie zauważyłem innych objawów, bardzo proszę o pomoc bo wklejanie linków z wyszukiwarki nie jest czymś przyjemnym :)

 

 

Pozdrawiam Radek.

checkup.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Niestety, ale ComboFix nie dał rady, skasował tylko niektóre rzeczy, nie był zdolny wykryć naruszenia sterownika systemowego. Wg GMER rootkit jest czynny, działa jego urządzenie oraz jest zmodyfikowany systemowy NetBT:

 

---- Kernel code sections - GMER 1.0.15 ----
 
.INIT   C:\Windows\System32\DRIVERS\netbt.sys                                                                    entry point in ".INIT" section [0x8E7CE322]
 
---- Devices - GMER 1.0.15 ----
 
Device  \Driver\00000717 \GLOBAL??\ACPI#PNP0303#2&da1a3ff&0                                                      869C9B80

 

1. Przejdź w Tryb awaryjny Windows. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

2. Zresetuj system do Trybu normalnego i wykonaj nowy skan GMER. Dołącz oczywiście i log z filtrowania SFC z punktu 1.

 

 

 

.

Odnośnik do komentarza
roy3000

roy3000

Opublikowano
  • Autor
Opublikowano (edytowane)

proszę o to logi :D masakra w domu myślą że haker jestem bo ciągle coś się skanuje :P

 

 

Po wykonaniu wszystkich czynności zauważyłem że Google nie jest już blokowane, poczta na Interii też w końcu zagadała i co mnie najbardziej cieszy to zwiększenie się miejsca na dysku C:/, przed ingerencją miałem 3,25 GB wolnego miejsca a teraz prawie 10 GB, nie wiem jak Pani to robi ale powinni Panią ozłocić :D chyba zostanę tu na dłużej bo w końcu natrafiłem na porządne forum :)

gmer.txt

sfc.txt

Edytowane przez roy3000
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
i co mnie najbardziej cieszy to zwiększenie się miejsca na dysku C:/, przed ingerencją miałem 3,25 GB wolnego miejsca a teraz prawie 10 GB,

 

ComboFix przeprowadza m.in. czyszczenie lokalizacji tymczasowych i Kosza.

 

Narzędzie SFC pomyślnie wymieniło plik systemowy netbt.sys, w GMER ustały czynności rootkit. Możemy teraz przejść do reszty składników, odpadków ZeroAccess oraz śmieci adware i przejętych preferencji przeglądarek przez startsear.ch (wynik instalacji wątpliwych wtyczek vShare.tv / LiveVDO).

 

 

1. Odinstaluj Searchqu Toolbar, zarówno w menedżerze rozszerzeń Firefox jak i przez Panel sterowania Windows. Te vShare.tv / LiveVDO też polecam odinstalować....

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
NetSvcs: atmeltpm - File not found
[2012-03-26 14:42:22 | 000,000,000 | -HSD | C] -- C:\Users\Radzio\AppData\Local\d0d23472
[2012-03-30 03:22:55 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
[2012-03-30 03:22:55 | 000,002,519 | ---- | M] () -- C:\Users\Radzio\AppData\Roaming\Mozilla\Firefox\Profiles\zlsmz6yf.default\searchplugins\Search_Results.xml
[2012-02-11 21:39:49 | 000,000,792 | ---- | M] () -- C:\Users\Radzio\AppData\Roaming\Mozilla\Firefox\Profiles\zlsmz6yf.default\searchplugins\startsear.xml
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=282&systemid=406&sr=0&q="
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EC9FD220-1615-47B6-BF91-4E25A2B0E1E4}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

3. Wygeneruj nowe logi z OTL z opcji Skanuj oraz AdwCleaner z opcji Search. Dołącz też log z wynikami usuwania pozyskany w punkcie 2.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Ja mam takie pytanie czy jak znowu będzie mi się zapychał dysk C:/ jakimiś śmieciami to mogę go profilaktycznie go potraktować ComboFix'em ?

 

W żadnym wypadku! ComboFix, jak jest w przyklejonym opisie na forum podnoszone, to bardzo silne instrukcje modyfikacji Windows (z zagrożeniem niestartującego Windows), wywoływane tylko wtedy, gdy są ku temu podstawy i to operacje pod nadzorem eksperckim. Tu użyty nie bez powodu i w sposób uzasadniony: rootkit ZeroAccess to jest mocny zawodnik, muszą być zastosowane silne narzędzia zdolne zaatakować poziom rootkit. Ujmę to tak: używania ComboFix unika się jak tylko można i sięga po niego w podbramkowych sytuacjach infekcyjnych, to jest taki rodzaj narzędzia, a Ty chcesz sobie nim konserwacje prowadzić ...

 

1. Takie błahe rzeczy jak lokalizacje tymczasowe traktuje się zupełnie innym rodzajem narzędzi w ramach konserwacji prowadzonych systematycznie. Do czyszczenia regularnie tych miejsc służy dobry program TFC - Temp Cleaner.

 

2. Jest o wiele więcej miejsc na dysku, gdzie mogą się kamuflować żercy miejsca, a nie tylko to co adresują w/w. Do diagnostyki zajętego miejsca na dysku możesz stosować sobie darmowy program SpaceSniffer. Program na systemie Vista należy wywołać opcją "Uruchom jako Administrator" (by przeliczył m.in. zajętość katalogów "System Volume Information" Przywracania systemu). Przed uruchomieniem skanu z menu Edit > Configure > Show Unknown Space.

 

 

 

 

1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
:Files
C:\Program Files\Searchqu Toolbar

 

Klik w Wykonaj skrypt.

 

2. W AdwCleaner zastosuj Delete. Po tym użyj Uninstall.

 

3. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w Uruchom wklej komendę:

 

C:\Users\Radzio\Desktop\Pulpit\ComboFix.exe /uninstall

 

Gdy ukończy, zastosuj Sprzątanie w OTL usuwające z dysku program i jego kwarantannę.

 

4. Przeprowadź pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeśli coś zostanie wykryte, przedstaw raport.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...