Runctf - prosze o pomoc

[Jarek1978]

Witam, jestem tu po raz 1. Miałem policyjnego wirusa i usnałem go zdognie z zaleceniem programem combofix. System działa i moge normalnie pracowac, lecz pojawia sie przy kazdym starcie okno "runctf". Prosze powiedziec co powieniem zrobic. Chetnie udostepnie wszytskie ionformacje. (logi- tylko prosze mi powiedziec jak jeodnelzc)

 

pozdrawiam

JD

[picasso]

Na temat używania ComboFix: KLIK. Przedstaw co robił dostarczając plik C:\ComboFix.txt. Zasady działu jakie logi tu są obowiązkowe: KLIK. Dołącz więc i te.

 

 

.

[Jarek1978]

Prosze, to jest chyba to o co Pan prosił

ComboFix.txt

[picasso]

Apropos "Pan" = jestem kobietą. I podałeś tylko raport z ComboFix, a miałeś dać też obowiązkowe w dziale logi z OTL. Wyjaśniają to zasady, są tam linki do opisów narzędzi.

 

 

.

[Jarek1978]

Przepraszam, juz Pani podaje.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\Jarosław Dudek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Jarosław Dudek\AppData\Roaming\Babylon
C:\Users\Jarosław Dudek\AppData\Roaming\YourFileDownloader
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
 
:OTL
IE - HKU\S-1-5-21-2206159693-3743171224-2777664310-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=vsl&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-2206159693-3743171224-2777664310-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=4712_8&babsrc=SP_ss&mntrId=2ae3bb31000000000000a639e5c29bbf"
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll File not found
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Błąd powinien ustąpić.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Przez Panel sterowania odinstaluj adware McAfee Security Scan Plus (sponsor paczek Adobe).

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Jarek1978]

Dzięki. Jestes WIELKA!

Dla pewnosci załaczam pliki.

 

PS. Mam pytanie, otóz co zrobic nastepnym razem jesli mi sie to przytrafi? Nie uzywac Combofixa? Jakie darmowe oprogramowanie radzisz aby uniknac ponownego zarazenia chroniace przed niechcianym oprogramowaniem oraz wirusami itd, a jesli nie darmowe to jakie w mare tanie polecisz... Jeszcze raz dziękuje i pozdrawiam.

OTL1.Txt

AdwCleanerS1.txt

[picasso]

Zadania pomyślnie wykonane, przechodzimy na koniec:

 

1. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Przez SHIFT+DEL skasuj wyliczone poniżej foldery/pliki:

 

C:\Users\Jarosław Dudek\Desktop\Stare dane programu Firefox

C:\Windows\erdnt

 

C:\Program Files (x86)\Common Files\PC Tools

C:\Program Files (x86)\PC Tools

C:\ProgramData\PC Tools

C:\Windows\system32\drivers\PCTSD64.sys

 

3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

"C:\Users\Jarosław Dudek\Downloads\ComboFix.exe" /uninstall

 

Następnie: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

4. Odinstaluj wszystkie pozycje Adobe / Java i zastąp najnowszymi, zaktualizuj Firefox / Office 2010 i Skype: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java™ 6 Update 22 (64-bit)
"{26A24AE4-039D-4CA4-87B4-2F86417009FF}" = Java 7 Update 9 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X MUI
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)
"Office14.Click2Run" = Moduł Szybka instalacja pakietu Microsoft Office 2010
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_135.dll ()

 

 

PS. Mam pytanie, otóz co zrobic nastepnym razem jesli mi sie to przytrafi? Nie uzywac Combofixa? Jakie darmowe oprogramowanie radzisz aby uniknac ponownego zarazenia chroniace przed niechcianym oprogramowaniem oraz wirusami itd, a jesli nie darmowe to jakie w mare tanie polecisz...

 

Jeśli (odpukać), to ComboFix postaraj się unikać i od razu Tryb awaryjny > robisz raporty z OTL > na forum się zgłaszasz. Co do zabezpieczeń:

- Istotne są aktualizacje oprogramowania, co adresuję już powyżej.

- Mam zdanie, że dowolny antywirus z puli popularnych spełni swoją rolę. Jeśli coś za darmo, to proponuję np. Avast. Jest dość rozbudowany.

- Uzupełniający dodatkowy rodzaj ochrony to środowiska wirtualne do bezpiecznego serfowania takie jak: SandBoxie (po 30 dniach dalej można korzystać, uprzykrzeniem jest nag), GeSWall Freeware

 

 

 

.

[Jarek1978]

Dzięki, ale zatrzymałem sie na pukncie 3im. Po wprowadzeniu komendy o wyskoczył mi komuinkat jak w załaczniku. (czy to pominac i robic dalej punkt 4-ty?

 

dzięki

[picasso]

A tu przepraszam, mój błąd. "Zjadło" mi literkę w Dudek. Popraw komendę i jedź dalej.

[Jarek1978]

To ja przepraszam, mogeł sie domyslic...

 

Tylko jak wciskam odinstaluj "AdwCleaner" to nic sie nie dzieje i nie mam pewnosci czy odinstalował czy nie. W przypadku odinstalowania Combofiz jest taka informacja na koniec i restart systemu, tu nie ma. jakies wskazówki?

 

 

dzieki

[picasso]

Co do AdwCleaner, jeśli brak reakcji, to po prostu:

 

1. Przez SHIFT+DEL skasuj plik AdwCleaner.exe oraz logi przez niego utworzone na dysku C (pliki o modelu nazwy AdwCleaner

• .txt).

   

  2. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz:

   

  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\AdwCleaner

   

  Ta procedura jest równoważna z deinstalacją narzędzia.

   

   

   

  .

[Jarek1978]

Chyba po usunieciu shift-delete zniknał, bo w edycji rejestru nie widze.

Co do pozostałych zalecen, to odinstalowałem wszytskie programy o ktorych pisałas i zainstalowałem najnowsze procz office 2010 starter bo nie wiem jak to zrobic.

Dla pewnosci powiedz mi co ci podełsac abys sprawdziła czy aby na pewno mam najnowsze wersje (adobe, javy, firefoxa) itd.

 

Co do oprogramowania antywirusowego to zaraz zamierzam cos zainstalowac z twoich propozycji

dzięki

[picasso]

procz office 2010 starter bo nie wiem jak to zrobic.

Chodzi o instalację pakietu SP1 dla Office 2010.

 

Dla pewnosci powiedz mi co ci podełsac abys sprawdziła czy aby na pewno mam najnowsze wersje (adobe, javy, firefoxa) itd.

Dla świętego spokoju możesz podać nowy log OTL, ale tylko plik Extras, bo to on trzyma spis programów.

 

 

 

.

[Jarek1978]

Co do offica 2010 to ok tylko ze SP1 dotyczy pełenej wersji a nie STARTERA (taka inf mi wyskoczyła przy probie instalacji)

Avasta zainstalowałem.

 

W załaczniku log Extras, zerknij prosze czy teraz jest wszystko juz ok.

 

ps.

1. czy na koniec po ponownym zaistalowaniu olt (celem wygenerowanie logu Extras mam ponownie uruchomic i wcisnac "sprzatanie"?) cos jeszcze zrobic?

2. czy ten avast jest tylko 30 dniowy? (taka inf. mi wyskoczyła) NIe darady bez limitu?

dzięki.

Extras1.Txt

[picasso]

OTL Extras = OK, aktualizacje wykonane.

 

 

1. czy na koniec po ponownym zaistalowaniu olt (celem wygenerowanie logu Extras mam ponownie uruchomic i wcisnac "sprzatanie"?) cos jeszcze zrobic?

Zastosuj po prostu Sprzątanie. To usuwa z rejestru klucz OTL + OTL z dysku, a także rekonfiguruje z powrotem opcje widoczności plików do poziomu domyślnego w Windows.

 

 

2. czy ten avast jest tylko 30 dniowy? (taka inf. mi wyskoczyła) NIe darady bez limitu?

Avast jest darmowy. Ten limit czasowy dotyczy pobierania aktualizacji. Trzeba mieć licencję. Darmową. Należy zarejestrować się, by zaktywować "dożywotnio" funkcję aktualizacji.

 

 

Co do offica 2010 to ok tylko ze SP1 dotyczy pełenej wersji a nie STARTERA (taka inf mi wyskoczyła przy probie instalacji)

Przeklej mi dokładnie jak ten komunikat był sformułowany, bo wg opisu SP1 dla Office 2010 edycja Starter się aplikuje: KB2460049.

 

"Informacje zawarte w tym artykule dotyczą:

 

Microsoft Office Professional Plus 2010

Microsoft Office Professional 2010

Microsoft Office Standard 2010

Microsoft Office Home and Business 2010

Microsoft Office Home and Student 2010

Microsoft Office Starter 2010"

 

 

 

.

[Jarek1978]

No dalej nie moge zasintalowac SP1 dla offica 2010 STARTER.

W załczniku komunikat.

 

dzieki

pzdr

[picasso]

A w jakim języku Ty pobrałeś pakiet SP1? Ten błąd jest też charakterystyczny dla złej wersji językowej. Jeśli pobierałeś pakiet PL, to może należy pobrać ENG.

[Jarek1978]

a tego to nie wiem, ja pobierałem z tej strony co mi podałas...to moze daj mi linka do sp1 pl jak masz...

 

dzieki

 

zreszta nierozumiem tego.

ja mam pakiet offica 2010 starter po polsku, a sciagałem z twojej strony sp1 (zanaczylem tez wersje polska) jak w zalacnziku i wyskoczyl mi ten komunikat co ci wysłąłem. Wiec wersja ejzykowa jest chyba zgodna.

 

Sprobuje pobrac wersje ang. moze wtedy pojdzie. Ale jesli było by ok to byłoby bezsensu. (bo wersja offica jest pol, a SP jest ang.

[picasso]

Niekoniecznie Office w języku polskim jest polski, za spolszczanie odpowiadają pakiety MUI. Są dwa rodzaje "polskości" wersja natywna lub wersja spolszczona przez MUI zewnętrzne. Dla przykładu: mój angielski Windows 7 jest w pełni po polsku (zainstalowane dodatkowe MUI), ale natywny język systemu jest angielski i mój system jest traktowany jako angielski.

 

EDIT: Ale zaraz, Ty pobierasz wersję 64-bit, a wg raportu OTL jako zainstalowany masz Office 32-bit. Masz pobrać pakiet SP1 w wersji 32-bit.

 

 

PS. I Jarek1978, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam.

 

 

 

.

[Jarek1978]

A to tego to ja nie wiedziałem. Juz miałem zainstalowany kiedy kupowałem komputer.

 

dzieki, zatem sciagam 32-botowy (moze nie jestem zbyt obeznany w te bajery ale jakim cudem 32-bitowy program moze chodzi na 64-bitowym systemie?

 

PS. A czy ta opcja kopii zapasowej to faktycznie dobra rzecz (przydatna, mam na mysli, ze przywraca wszystkie foldery, pliki,ustawienia, programy) czy tylko marketing?

[picasso]

dzieki, zatem sciagam 32-botowy (moze nie jestem zbyt obeznany w te bajery ale jakim cudem 32-bitowy program moze chodzi na 64-bitowym systemie?

 

Bez problemu 32-bit chodzi na 64-bit (system jest dostosowany, by przekierować aplikacje), to odwrotność jest niemożliwa. Wyjątkiem są sterowniki, one muszą być 64-bitowe. System 64-bitowy jest "podwójny" ma część natywnie 64-bitową oraz część 32-bitową. Dla przykładu:

 

C:\Windows\system32 = katalog 64-bitowy

C:\Windows\SysWOW64 = katalog 32-bitowy

 

Tak, te nazwy sugerują co innego tzn. odwrotność, ale jest właśnie tak jak mówię. Nie ma czegoś takiego jak system64, choć przeciętny użytkownik tego by się spodziewał.

 

C:\Program Files = katalog 64-bitowy, instalują się tu programy czysto 64-bitowe

C:\Program Files (x86) = katalog 32-bitowy, instalują się tu programy 32-bitowe i to jest większość Twoich programów

 

x86 = 32-bit.

 

 

 

.

[Jarek1978]

niestety, przy probie instalacji SP1 dla pakietu offica 2010 (tym razem 32bit) jest identyczny komunikat :-(

 

PS. jeszcze sporobuje 4 raz tym razem 32bit wer. ang.

wer. 32bit ang. to samo... ;-( ...szkoda

[picasso]

Jarek1978, dla świętego spokoju sprawdź jeszcze co widzi automatyczne Windows Update, czy zaproponuje jakieś łatki do Office. A jeśli nic, to zostawmy już ten temat.

[Jarek1978]

W update-cie tego nie ma.

 

Dzieki za pomoc.

 

 

pzdr