System Progressive Protection

[F1raX]

Witam,

 

Proszę o pomoc, dokładnie wytłumaczenie jak mam to badziewo usunąć Posiadam Windows 7 x64

 

Z góry dziękuje

OTL.Txt

Extras.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10011&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = "http://www.startsearcher.com"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4"
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.startsearcher.com/?q={searchTerms}&src=IETB"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}"
IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10011&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}"
IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = "http://www.startsearcher.com"
IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.startsearcher.com/?q={searchTerms}&src=IE"
IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{6387D810-CEF3-4BE4-8F5E-6E5C272330FF}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=4762E85B-6769-41F1-A1DB-E718BAC976AE&apn_sauid=313FD4C1-58A8-44B4-80F1-C6CCFDE09626"
IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{73ccfd25-abe2-4bdf-ac5d-28a470a4d234}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=34bde06e0000000000000625d3d95916"
IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}"
IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=18&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}"
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: ""
[2012/09/18 22:58:17 | 000,003,997 | ---- | M] () -- C:\Users\Expert\AppData\Roaming\mozilla\firefox\profiles\e8xcuu2s.default-1346685455618\searchplugins\sweetim.xml
[2012/06/03 14:29:39 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2011/05/05 12:12:38 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
[2010/09/02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\iMeshWebSearch.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-3196234875-3623317491-312899507-1000..\RunOnce: [F29EECA7D607E06E0034F29EB7E9C0DC] C:\ProgramData\F29EECA7D607E06E0034F29EB7E9C0DC\F29EECA7D607E06E0034F29EB7E9C0DC.exe (Auslogics)
O7 - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
C:\Users\Expert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection
C:\ProgramData\F29EECA7D607E06E0034F29EB7E9C0DC
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-3196234875-3623317491-312899507-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Ask Toolbar / Ask Toolbar Updater / Facemoods Toolbar / free-downloads.net Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[F1raX]

niestety przy Internet Explorer Toolbar 4.6 by SweetPacks / Ask Toolbar wyświetla się następujący komunikat: "Nie można uzyskać dostępu do usługi instalatora windows. Może mieć to miejsce, jeśli instalator windows jest niepoprawnie zainstalowany. skontaktuj sie działem pomocy technicznej". Przy Ask Toolbar Updater: jest napisane że nie mam uprawnień.

OTL.Txt

[Landuss]

Deinstalacje należy przeprowadzać z trybu normalnego bo tylko tam działa usługa Instalator Windows. Spróbuj zatem to zrobić i daj znać czy dało radę.

[F1raX]

gdy uruchomiłem windows normalnie, wszystkie ' ask toolbar' znikneły , to znaczy że problem rozwiązany ? System działa poprawnie wszędzie mam dostęp, wirus znikł. Dziękuje za pomoc !!

[Landuss]

Zrób jeszcze czynności kończące.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 8.0.7601.17514)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.0.1 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[F1raX]

Witam, zaraz po tym jak pomogliście rozwiązac problem z 'system progressive protection' pojawił się nowy. Nie mogę włączyć 'centrum zabezpieczeń systemu windows'. Posiadam Windows 7 x64.

 

Z góry dziękuje za pomoc

[picasso]

Temat dołączam do poprzedniego. To jest kontynuacja i konsekwencja infekcji System Progressive Protection. Landuss usuwał w skrypcie politykę HideSCAHealth (ukrywa ikonę Centrum w obszarze powiadomień), ale nie sprawdził stanu usług, a infekcja System Progressive Protection wyłącza usługi i ukrywa ten fakt przez HideSCAHealth. By je włączyć:

 

Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie)

 

 

PS. Nowe logi z OTL zbędne (i tak sprawdziłam) i je usuwam. Ale Javy nie zaktualizowałeś ...

 

 

.