ESET melduje - prawdopodobnie Ponmocup.AA - nie można wyleczyć

[ksdl]

Witam

 

Kilka dni temu szukałem w sieci jakiegoś programu i na którymś z wyników otworzyła się pusta strona i coś się chyba niestety pobrało a co gorsza gdzieś zainstalowało.

 

Nastepnego dnia zauważylem że przy przeglądaniu wyników  google co któryś wynik przekierowuje za pierwszym razem nie wiadomo gdzie, te przekierowania są "do nikąd",

 

kolejne kliknięcie jest już "OK".

 

Po przeskanowaniu ESET-em wynik jak w tytule.

 

Po otwarciu Menadżera zadań Windows i zakończeniu rundll32.exe problem znika a i ESET nic nie pokazuje, niestety tylko do restartu komputera. 

 

Zgodnie z zaleceniami odinstalowane Daemon Tools, SPDT a nawet pakiet ESET. Folder pobierania mam na dysku E: próbowałem więc skanować GMER-em

 

z zaznaczonym C: i E: ale z tym sobie nie radzi, po skanie dziwny meldunek o braku zasobów i nie daje się zapisać uzyskanego logu więc log tylko z zaznaczonym C:.

 

Dołaczam logi z ESET i FRST. Odpalałem też Kaspersky Rescue Disc 10 ale nic nie znalazł.

ESET log.txt

OTL.Txt

Extras.Txt

GMER_C_log.txt

[picasso]

Albo OTL, albo FRST. Nadwyżkę logów usuwam. W systemie jest infekcja:

 

[2013-06-01 03:36:37 | 000,172,032 | RHS- | C] () -- C:\WINDOWS\System32\safrdmq.dll

[2013-06-01 03:36:37 | 000,000,308 | ---- | C] () -- C:\WINDOWS\tasks\eketkvtjax.job

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\safrdmq.dll
C:\WINDOWS\tasks\eketkvtjax.job
C:\Documents and Settings\OLA\Dane aplikacji\PriceGong
C:\Program Files\Enigma Software Group
 
:OTL
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
O4 - HKU\S-1-5-21-1343024091-2025429265-839522115-1004..\Run: [] File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoPropertiesMyComputer = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileAssociate = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFind = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogoff = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispCPL = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispSettingsPage = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab (Reg Error: Key error.)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\SearchProtect\bin\CltMngSvc.exe -- (CltMngSvc)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[ksdl]

Witam

 

Nie byłem pewny czy GMER sobie poradził i dołączyłem FRST, myślałem że może się do czegoś przydać.

 

Przesyłam logi po wykonaniu zaleceń.

 

Pozdrawiam

 

ksdl

OTL log bezpośrednio po czyszczeniu i restarcie.txt

AdwCleanerS2.txt

OTL log po czyszczeniu AdwCleaner.txt

[picasso]

Problem usunięty. Czynności końcowe:

 

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach. Przez SHIFT+DEL skasuj z dysku te foldery:

 

C:\Documents and Settings\OLA\Pulpit\Stare dane programu Firefox-2

C:\Documents and Settings\OLA\Pulpit\Stare dane programu Firefox-1

C:\Documents and Settings\OLA\Pulpit\Stare dane programu Firefox

C:\FRST

C:\Kaspersky Rescue Disk 10.0

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[ksdl]

Wielkie dzięki. Piszę już z naprawionego sprzętu.

Dołaczyłem ostatniego loga z OTL, Eset też juz nic nie wykazuje.

Nie zapomnę też o wsparciu dla dobrej roboty bo odpukać, nikt nie zna dnia ani godziny.

Pozdrawiam

ksdl

OTL ostateczny.txt

[picasso]

Akcje ze skryptem OTL wykonane. Temat rozwiązany. Zamykam.