Pc defender plus

[kiko]

Witam. Zaatakowal mnie perfidny pc defender plus. system: windows 7 ultimate 64bit

Prosze o pomoc w usunieciu.

 

Zapomnialem dopisac ze usunalem defendera w awaryjnym, lecz z tego co wiem dalej jestem zainfekowany, a takze nie moge otwierac programow.

OTL.Txt

Extras.Txt

[picasso]

kiko, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast post pod postem. I nie wiadomo czy logi z OTL są sprzed usuwania czy już po. Odnoszę się do tego co widzę w logach.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{0DF56869-BA25-4E8E-82F9-AF48EA6BCC7E}: "URL" = "http://www.searchbrowsing.com/web.php?src=hmp&hl=en&camefrom=defaultsearch&q={searchTerms}"
IE - HKU\S-1-5-21-3334460322-3490530766-3254769838-1000\..\SearchScopes\{0DF56869-BA25-4E8E-82F9-AF48EA6BCC7E}: "URL" = "http://www.searchbrowsing.com/web.php?src=hmp&hl=en&camefrom=defaultsearch&q={searchTerms}"
O2 - BHO: (no name) - {ACC01A56-70E3-472E-9C4F-83B1DA817DD8} - No CLSID value found.
O4 - HKU\S-1-5-21-3334460322-3490530766-3254769838-1000..\Run: [gejuzqehykle] C:\Users\Lukas\gejuzqehykle.exe ()
O4 - HKU\S-1-5-21-3334460322-3490530766-3254769838-1000..\Run: [pcdfsvc] C:\ProgramData\pcdfdata\71C6.tmp /min File not found
O4 - HKU\S-1-5-21-3334460322-3490530766-3254769838-1000..\Run: [RMFon]  File not found
O7 - HKU\S-1-5-21-3334460322-3490530766-3254769838-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: RMFFM = C:\Users\Lukas\AppData\Roaming\9BD2A8\9BD2A8.exe ()
O37 - HKU\S-1-5-21-3334460322-3490530766-3254769838-1000\...exe [@ = 4g] -- Reg Error: Key error. File not found
 
:Files
C:\ProgramData\pcdfdata
C:\ProgramData\xdwphaegxlklzzi
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Defender Plus
C:\Users\Lukas\AppData\Roaming\9BD2A8
C:\Users\Public\Desktop\PC Defender Plus.lnk
C:\Windows\SysWow64\dtihyj.dll
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\pcdfdata]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware uTorrentBar Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz ten utworzony przez AdwCleaner.

 

 

 

.

[kiko]

I jeszcze takie pytanie: jak usunac ten utorrent toolbar? w panelu sterowania mam tylko utorrent.

AdwCleanerS1.txt

11272012_155703.txt

OTL.Txt

[picasso]

I jeszcze takie pytanie: jak usunac ten utorrent toolbar? w panelu sterowania mam tylko utorrent.

 

Teraz już za późno ... Przestawiłeś kolejność i użyłeś AdwCleaner, który miał być w zamiarze "poprawką", to on usunął to wejście i już nie możesz tego odinstalować normalną drogą. Na przyszłość: nie przestawiaj kolejności, ona jest ścisła.

 

 

Wszystko wykonane. Przejdź do tej porcji czynności:

 

1. Mała poprawka na domyślne wyszukiwarki po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla pewności zrób pełny skan w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie próbną). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[kiko]

chyba nic groznego

mbam-log-2012-11-27 (19-40-46).txt

[picasso]

Wyniki MBAM: ten z katalogu Thinstall to fałszywy alarm na zwirtualizowanych komponentach "Office portable", a za dwa pozostałe kwiatki crackujące głowy nie podłożę. Ogólnie te wyniki nie mają związku z naszą sprawą. Na zakończenie jeszcze wykonaj te operacje:

 

1. W Dzienniku zdarzeń masz błąd WMI numer 10. Narzędzie naprawcze: KB2545227.

 

2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_278.dll ()

 

W podsumowaniu: wszystkie wyliczone Adobe + Java odinstaluj i zastąp najnowszymi wersjami, a Firefox zaktualizuj.

 

 

Uwaga poboczna na temat zainstalowanej kombinacji Gadu-Gadu 7.7 + Tlen.pl. GG7 to przestarzały program nie obsługujący już w pełni własnej sieci, a Tlen porzucony i nie rozwijany. Obejrzyj alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.