Google przekierowuje strony + Centrum bezpieczeństwa nie da się uruchomić

[Corrida]

Witam! pierwszy raz jestem na jakimkolwiek forum, w dodatku nie mam polskiej klawiatury wiec przepraszam za ewentualne bledy.

Moj problem polega mniej wiecej jak w temacie, mianowicie od kilkunastu dni przekierowuje mnie na niechciane strony typu porno i reklamy, co wiecej nie moge uruchomic centrum bezpieczenstwa Windows.Odinstalowalem Chrome i uzywam tylko IE i dalej to samo.Czytalem, probowalem i nic.Pomozcie Prosze

 

Z gory dziekuje za pomoc

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

[picasso]

  Cytat

Moj problem polega mniej wiecej jak w temacie, mianowicie od kilkunastu dni przekierowuje mnie na niechciane strony typu porno i reklamy, co wiecej nie moge uruchomic centrum bezpieczenstwa Windows.

 

Jest tu infekcja, w postaci tych dwóch plików:

 

[2012/03/25 14:13:42 | 000,126,976 | RHS- | C] () -- C:\Windows\SysWow64\normalizb.dll
[2012/03/25 14:13:42 | 000,000,312 | ---- | C] () -- C:\Windows\tasks\gxvz.job

 

Przy okazji, będę też usuwać śmieciarski pasek Mediabar od Imesha, który wygląda na nie w pełni odinstalowany (nie widzę pozycji Mediabar na liście zainstalowanych, ale dużo całkowitych wpisów i uruchomione procesy), oraz likwidować dodane na zasadzie sponsoringowej wyszukiwarki w Internet Explorer.

 

 

  Cytat

Odinstalowalem Chrome i uzywam tylko IE i dalej to samo.

 

Infekcja ma w poważaniu typ przeglądarki, działa poprzez Harmonogram Windows i przekierowania ujawniają się na dowolnej przeglądarce. Wprawdzie mówisz, że używasz tylko IE i Google Chrome odinstalowane, ale OTL wykrywa pełny katalog ustawień przeglądarki Google na dysku oraz klucze Firefox w rejestrze:

 

 

  Pokaż ukrytą zawartość

 

========== FireFox ==========

 

FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\Microsoft Office\Office14\NPAUTHZ.DLL (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=15.0.0.198: c:\program files (x86)\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)

FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=15.0.0.198: c:\program files (x86)\real\realplayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)

FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=15.0.0.198: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)

FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=15.0.0.198: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)

FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=15.0.0.198: c:\program files (x86)\real\realplayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011/12/04 13:38:05 | 000,000,000 | ---D | M]

 

 

========== Chrome ==========

 

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = "http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7"

CHR - default_search_provider: suggest_url =

CHR - plugin: Shockwave Flash (Disabled) = C:\Users\User\AppData\Local\Google\Chrome\User Data\PepperFlash\11.1.31.203\pepflashplayer.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Users\User\AppData\Local\Google\Chrome\Application\17.0.963.83\gcswf32.dll

CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Users\User\AppData\Local\Google\Chrome\Application\17.0.963.83\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Users\User\AppData\Local\Google\Chrome\Application\17.0.963.83\pdf.dll

CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll

CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL

CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL

CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll

CHR - plugin: Windows Live\u0099 Photo Gallery (Enabled) = C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll

CHR - plugin: RealNetworks™ Chrome Background Extension Plug-In (32-bit) (Enabled) = C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll

CHR - plugin: RealPlayer™ HTML5VideoShim Plug-In (32-bit) (Enabled) = C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll

CHR - plugin: RealPlayer™ G2 LiveConnect-Enabled Plug-In (32-bit) (Enabled) = c:\program files (x86)\real\realplayer\Netscape6\nppl3260.dll

CHR - plugin: RealPlayer Version Plugin (Enabled) = c:\program files (x86)\real\realplayer\Netscape6\nprpjplug.dll

CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll

CHR - plugin: RealJukebox NS Plugin (Enabled) = c:\program files (x86)\real\realplayer\Netscape6\nprjplug.dll

CHR - plugin: Default Plug-in (Enabled) = default_plugin

CHR - Extension: YouTube = C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\

CHR - Extension: B\u00FAsqueda de Google = C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\

CHR - Extension: RealPlayer HTML5Video Downloader Extension = C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfmjfhklogoienhpfnppmbcbjfjnkonk\1.5_0\

CHR - Extension: Skype Click to Call = C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\5.6.0.8442_0\

CHR - Extension: Gmail = C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\

 

 

 

Widzę, że system ma ustawione hiszpańskie locale, toteż OTL chyba widzisz po hiszpańsku? W instrukcjach podam polskie odpowiedniki opcji OTL oraz Windows, bo nie znam hiszpańskiego.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\SysWow64\normalizb.dll
C:\Windows\tasks\gxvz.job
 
:OTL
O2:64bit: - BHO: (UrlHelper Class) - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\IEBHO.dll (iMesh, Inc)
O2 - BHO: (UrlHelper Class) - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll (iMesh, Inc)
O4 - HKLM..\Run: [DATAMNGR] C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\DATAMN~1.EXE (iMesh, Inc)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\datamngr.dll) - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\datamngr.dll (iMesh, Inc)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\IEBHO.dll) - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\IEBHO.dll (iMesh, Inc)
O20 - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\datamngr.dll) - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\datamngr.dll (iMesh, Inc)
O20 - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll) - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll (iMesh, Inc)
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://search.imesh.com//web?src=ieb&appid=982&systemid=1&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://search.imesh.com//web?src=ieb&appid=982&systemid=1&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKU\S-1-5-21-806295760-645604311-1674677108-1000\..\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}: "URL" = "http://search.alot.com/web?q={searchTerms}&pr=prov&client_id=6697A45001CBE64F00428852&install_time=2011-03-19T16:05:08Z&src_id=12061&camp_id=2369&tb_version=2.5.18000.3"
IE - HKU\S-1-5-21-806295760-645604311-1674677108-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://search.imesh.com//web?src=ieb&appid=982&systemid=1&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-806295760-645604311-1674677108-1000\..\SearchScopes\{AEA9F479-71FB-464D-AD3F-CC0AEF38A897}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ATU2&o=14670&src=kw&q={searchTerms}&locale=&apn_ptnrs=T8&apn_dtid=YYYYYYYYES&apn_uid=e3163ed0-987d-48d7-912c-860b3b915621&apn_sauid=927F51C5-5087-402C-B514-69F5951720DD"
IE - HKU\S-1-5-21-806295760-645604311-1674677108-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-806295760-645604311-1674677108-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-806295760-645604311-1674677108-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-806295760-645604311-1674677108-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
 
:Commands
[emptytemp]

 

Rozpocznij przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

2. Aktywuj funkcje wyłączone przez infekcję:

• Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Dla usługi Microsoft Antimalware Service Typ uruchomienia ustaw na Automatyczny. Usługa Windows Defender też została zdeaktywowana, powinna mieć Automatycznie (opóźnione uruchomienie), ale przy obecności AV jest zbędna, MS Security Essentials i tak podejmuje antykolizyjną deaktywację.
  
• Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików"
  

3. Są tu zainstalowane równolegle dwa antywirusy: Avast oraz MS Security Essentials. Taki stan rzeczy nie może pozostać, zagrożenie spowolnienia systemu i konfliktów. Odinstaluj Avasta, to jest i tak przestarzała wersja. Po deinstalacji popraw narzędziem Avast Uninstall Utility uruchomionym z poziomu Trybu awaryjnego Windows.

 

4. Wygeneruj nowy log z OTL opcją Skanuj + AdwCleaner z opcji Search. Dołącz log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

.

[Corrida]

Nie pozwala mi odinstalowac avasta: Avast!A setiface error has occurred 536870929 try to reinstal or contactsuppott, please; co robic???; wszystko inne jak nalezy sie zrobilo

[picasso]

Od razu przejdź do użycia wymienianego Avast Uninstall Utility, uruchomionego z poziomu Trybu awaryjnego Windows.

[Corrida]

podaje logi nie wiem czy dobre bo troche sie pogubilem ale wszystko zdaje sie dzialac jak nalezy

Extras2.TxtPobieranie informacji ...

OTL2.TxtPobieranie informacji ...

[picasso]

Zapomniałeś dodać dwa logi:

 

  picasso napisał(a):

AdwCleaner z opcji Search. Dołącz log z wynikami usuwania pozyskany w punkcie 1.

[Corrida]

  W dniu 2.04.2012 o 15:32, picasso napisał(a):

Zapomniałeś dodać dwa logi:

 

ok teraz mam tylko ze maja rozszerzenie .log i nie pozwala mi ich dodac

[picasso]

Tylko log ze skryptu OTL ma format *.LOG, AdwCleaner tworzy pliki *.TXT. By ten pierwszy się dołączył, wystarczy zmienić nazwę pliku z LOG na TXT.

[Corrida]

bardzo mi przykro ale nie wiem jak mama to zrobic po zatym mam kilka tych logow i nie wiem ktory jest ktory, czy istnieje jakas inna mozliwosc zebym to zrobil na nowo... ;-(

[picasso]

Co do ilości logów: nie rozumiem o co Ci chodzi. Uruchom AdwCleaner, wybierz w nim opcję Search, wynikowy log dołącz .... Co do niedołączalnego raportu OTL z usuwania, włącz opcje pokazywania rozszerzeń (Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz "Ukrywaj rozszerzenia znanych typów"), a będziesz w stanie zmienić nazwę pliku OTL z usuwania z LOG na TXT.

Edytowane 7 Maja 2012 przez picasso
7.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso