Zaśmiecony laptop, problemy z infekcją z flash'a

[papski]

Witam. Zabrałem się za czyszczenie laptopa Taty po roku czasu, parę rzeczy wywaliłem po prostu je odinstalując, część nie chciała się wywalić. Był spokój przez parę dni dopóki Windows się "przywiesił" według Taty (problem z kablem HDMI i nie wyświetlaniem obrazu)  i dał mu "naprawę". Tak się naprawiło, że po wstaniu kaspersky prosił o reinstalację, no to zrobiłem. Po tym zacząć krzyczeć, że jest wirus w pliku : C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe o nazwie Trojan-PSW.Win32.FireThief.amx, no okej dałem żeby wyrzucił to wyrzucił, uruchamiam ponownie, znowu się pojawił, no to znowu usuwanie, restart i nic, wyłączyłem przywracanie systemu i dałem żeby wywalił i już po restarcie nic nie było. Po 30min znowu kaspersky pokazuje, że jest wirus. Chciałem przeskanować internetowymi skanerami plik, ku mojemu zdziwieniu po naciśnięciu chrome wywala, że aplikacja nie istnieje i czy chce wyrzucić ikonkę. To samo z IE i każdą inną rzeczą na laptopie, wszystko przestało się uruchamiać. Nawet restart/zamknięcie nie działało, tylko restart sprzętowy poprzez przycisk. Uruchomił się znowu i wszystko od tamtego czasu jest okej, przeskanowałem kasperskim i Malwarebytes i nic nie pokazały. Wolałbym się jednak upewnić czy wszystko zniknęło.

OTL.Txt

Extras.Txt

[picasso]

Nie widzę tu oznak infekcji. I mam szczere wątpliwości czy takowa tu w ogóle była... Doczyść tylko małe drobnostki po adware:

 

1. Odinstaluj GoforFiles. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2177055684-2218219459-4135017412-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119828&babsrc=SP_ss&mntrId=56bf00b800000000000046ec99148c1a
O4:64bit: - HKLM..\Run: [] File not found
 
:Files
C:\Users\pawelP\AppData\Roaming\Babylon
C:\Users\pawelP\AppData\Roaming\DriverCure
C:\Users\pawelP\AppData\Roaming\File Scout
C:\Users\pawelP\AppData\Roaming\GoforFiles
C:\Users\pawelP\AppData\Roaming\SpeedyPC Software
C:\Program Files (x86)\Mozilla Firefox
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

Tak się naprawiło, że po wstaniu kaspersky prosił o reinstalację, no to zrobiłem. Po tym zacząć krzyczeć, że jest wirus w pliku : C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe o nazwie Trojan-PSW.Win32.FireThief.amx, no okej dałem żeby wyrzucił to wyrzucił, uruchamiam ponownie, znowu się pojawił, no to znowu usuwanie, restart i nic, wyłączyłem przywracanie systemu i dałem żeby wywalił i już po restarcie nic nie było.

Ten plik wygląda na prawidłowy aktualizator Adobe (Flash Player Background Updater).

 

 

Chciałem przeskanować internetowymi skanerami plik, ku mojemu zdziwieniu po naciśnięciu chrome wywala, że aplikacja nie istnieje i czy chce wyrzucić ikonkę. To samo z IE i każdą inną rzeczą na laptopie, wszystko przestało się uruchamiać. Nawet restart/zamknięcie nie działało, tylko restart sprzętowy poprzez przycisk. Uruchomił się znowu i wszystko od tamtego czasu jest okej, przeskanowałem kasperskim i Malwarebytes i nic nie pokazały.

To mogły być skutki uboczne działania Kaspersky PURE.

 

 

 

.

[papski]

Proszę.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Akcje zrobione, zakończ sprawy:

 

1. Drobna poprawka na domyślne wyszukiwarki IE nadpisane AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{23E413D9-4C09-4363-A1F2-3F5D29D24008}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{23E413D9-4C09-4363-A1F2-3F5D29D24008}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{23E413D9-4C09-4363-A1F2-3F5D29D24008}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Usuń starszą Java 6 i Adobe Reader, resztę poniżej wyliczoną zaktualizuj: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 25

"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.7) MUI

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)

"Office14.Click2Run" = Microsoft Office Click-to-Run 2010

"Opera 12.01.1532" = Opera 12.01
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_224.dll ()

 

 

 

.

[papski]

Okej, wszystko już zrobione, bardzo dziękuję za pomoc