Trojan "Policja", brak sieci, nie działa klawiatura / touchpad

[majka98]

Laptop  MacBookPro System  Windows XP Home Edition 2002 SP2 i drugi system MAC OS.

Uyzwajac systemu XP wdarl sie wirus typu  ransomware.

Postepowalam wg krokow ze strony Cert   www.cert.pl/news/5707 

Uzylam tez Malwarebytes ale nic nie pomoglo. Przywracanie systemu takze- obecnie nie mam juz punktu przywracania.

System XP laduje sie (bez wchodzenia w tryb awaryjny) z rozdzielczoscia jakby byl w trybie awaryjnym , nie dziala klawiatura , touchpad, i siec.

Drugi system MAC OS nie zostal zainfekowany tam wszytsko dziala.

 

Nie wiem jak przywrocic XP do normalnego dzialania, bardzo prosze o pomoc , reinstalacja nie moge wykonac mam wazne dane.

Zalaczam logi w trybie awaryjnym administratora.

 

 

 

Dodatkowa inforamcja: wirus na koncie nadal istnieje , zablokowany zostaje ekran i wyswietla sie strona polizja.

Odrazu po zalogowaniu pojawia sie komunkat not found module  i wymieniony plik :hredodigginnsnlrcby/bfg

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Dodatkowa inforamcja: wirus na koncie nadal istnieje , zablokowany zostaje ekran i wyswietla sie strona polizja.

Logi zrobione z poziomu nieprawidłowego konta, czyli wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: NETSTELL-POLAND | User Name: Administrator | Logged in as Administrator.

 

Dlatego są bezużyteczne pod kątem usuwania infekcji. Musisz mi zrobić logi z poziomu zainfekowanego konta:

- Przenieś OTL ze ścieżki związanej z kontem C:\Documents and Settings\Administrator\Desktop\OTL.exe do ścieżki neutralnej C:\OTL.exe.

- Zastartuj do Trybu awaryjnego z wierszem polecenia, wklep komendę C:\OTL.exe i ENTER. Zrób nowe logi.

 

 

stem XP laduje sie (bez wchodzenia w tryb awaryjny) z rozdzielczoscia jakby byl w trybie awaryjnym , nie dziala klawiatura , touchpad, i siec.

To wygląda na inny problem. Wg raportu OTL tu dostarczonego coś się stało i wszystkie usługi / sterowniki niedomyślne są w stanie Disabled (wyłączone):

 

 

 

========== Services (SafeList) ==========

 

SRV - [2013-07-08 13:09:10 | 004,153,184 | ---- | M] (TeamViewer GmbH) [Disabled | Stopped] -- C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe -- (TeamViewer8)

SRV - [2013-06-11 21:17:47 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)

SRV - [2013-05-16 23:22:05 | 000,117,144 | ---- | M] (Mozilla Foundation) [Disabled | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)

SRV - [2012-07-22 23:27:52 | 001,044,816 | ---- | M] (Flexera Software, Inc.) [Disabled | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)

SRV - [2011-11-02 21:29:20 | 001,479,488 | ---- | M] (TuneUp Software) [Disabled | Stopped] -- C:\Program Files\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc)

SRV - [2010-11-11 20:00:58 | 000,193,848 | ---- | M] () [Disabled | Stopped] -- C:\WINDOWS\system32\AppleOSSMgr.exe -- (AppleOSSMgr)

SRV - [2010-03-23 07:53:32 | 000,099,640 | ---- | M] (Apple Inc.) [Disabled | Stopped] -- C:\WINDOWS\system32\AppleTimeSrv.exe -- (AppleTimeSrv)

SRV - [2009-01-13 12:28:46 | 001,528,608 | ---- | M] (Cisco Systems, Inc.) [Disabled | Stopped] -- C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)

SRV - [2008-12-02 16:10:30 | 000,176,128 | ---- | M] () [Disabled | Stopped] -- c:\Program Files\VpnProxy\Proxy.exe -- (VpnProxyServer)

SRV - [2008-11-09 22:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) [Disabled | Stopped] -- C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe -- (YahooAUService)

SRV - [2008-06-20 12:08:08 | 000,065,536 | ---- | M] (France Telecom SA) [Disabled | Stopped] -- C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe -- (FTRTSVC)

SRV - [2004-09-29 13:14:36 | 000,069,632 | ---- | M] (HP) [Disabled | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)

 

 

========== Driver Services (SafeList) ==========

 

DRV - [2012-03-08 15:21:08 | 000,089,728 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\TPLINKUDSMBus.sys -- (TPLINKUDSMBus)

DRV - [2012-03-08 15:20:18 | 000,146,304 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\TPLINKUDSTcpBus.sys -- (TPLINKUDSTcpBus)

DRV - [2011-10-31 16:00:20 | 000,010,064 | ---- | M] (TuneUp Software) [Kernel | Disabled | Stopped] -- C:\Program Files\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)

DRV - [2011-04-30 14:00:18 | 000,039,064 | ---- | M] (Logitech, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt)

DRV - [2011-04-30 14:00:06 | 000,041,240 | ---- | M] (Logitech, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt)

DRV - [2011-04-30 13:59:56 | 000,012,184 | ---- | M] (Logitech, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\LBeepKE.sys -- (LBeepKE)

DRV - [2010-11-11 20:00:58 | 000,049,280 | ---- | M] (Apple Inc.) [File_System | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\AppleHFS.sys -- (AppleHFS)

DRV - [2010-11-11 20:00:58 | 000,006,784 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\AppleMNT.sys -- (AppleMNT)

DRV - [2010-11-11 20:00:58 | 000,006,528 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\KeyAgent.sys -- (KeyAgent)

DRV - [2010-10-14 23:57:05 | 000,029,824 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\applemtp.sys -- (applemtp)

DRV - [2010-10-14 23:57:05 | 000,010,880 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\applemtm.sys -- (applemtm)

DRV - [2010-05-05 13:49:59 | 000,030,208 | ---- | M] (Cirrus Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\clhdaud.sys -- (HdAudAddService)

DRV - [2010-03-23 07:46:40 | 000,018,944 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\nvsmu.sys -- (nvsmu)

DRV - [2010-03-23 07:46:39 | 000,058,600 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA)

DRV - [2010-03-23 07:44:53 | 002,649,216 | ---- | M] (Broadcom Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\BCMWL5.SYS -- (BCM43XX)

DRV - [2010-03-23 07:44:47 | 000,209,960 | ---- | M] (Broadcom Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)

DRV - [2010-03-23 07:43:53 | 000,023,552 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\KeyMagic.sys -- (KeyMagic)

DRV - [2010-03-23 07:43:50 | 000,012,928 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\MacHALDriver.sys -- (MacHALDriver)

DRV - [2010-03-18 11:02:32 | 000,028,624 | ---- | M] (Logitech, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\LUsbFilt.sys -- (LUsbFilt)

DRV - [2010-01-28 08:54:39 | 000,018,432 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\AppleBtBc.sys -- (AppleBtBc)

DRV - [2009-10-16 07:39:30 | 000,016,512 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\IRFilter.sys -- (IRRemoteFlt)

DRV - [2009-01-13 12:27:38 | 000,306,811 | ---- | M] (Cisco Systems, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)

DRV - [2008-08-28 18:17:38 | 000,131,856 | ---- | M] (Deterministic Networks, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)

DRV - [2007-01-18 20:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)

DRV - [2006-03-01 19:53:54 | 000,032,128 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\pcandis5.sys -- (PCANDIS5)

DRV - [2003-09-23 11:38:34 | 000,034,688 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\pcampr5.sys -- (PCAMPR5)

DRV - [2001-08-17 22:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir)

 

 

 

 

Widzę, że używałeś Autoruns, to jest bardzo prawdopodobne, że zaszkodziłeś sobie właśnie tym programem wyłączając w ciemno jak leci. Zajmę się tym, ale najpierw leczenie infekcji.

 

 

 

.

[majka98]

Bardzo dziekuje za odpowiedz.

Zalaczam z zainfekowanego konta, udalo mi sie do niego dostac .w trybie awaryjnym(bez dostepu do sieci i sciezki -tam nie moglam przywrocic) udalo mi sie przywrocic do poprzedniego stanu z konta administratorai teraz w normalnym trybie laduje sie juz  z dobra rozdzielczoscia, dziala klawiatura i touchpad. ale wirus nadal jest.

 

W tej chwili:

Po zalogowaniu dokladnie otrzymuje taki komunikat

C:\DOCUME~\ALLUSE~1\APPLIC~1\hredodigginnsnlrcby/bfg

The specyfied module could not be found.

 

po OK, widze tylko pulpit bez menu dostepu do skrotow programow itd,  strona polizja sie nie laduje .

konto zainfekowane OTL.Txt

konto zainfekowane Extras.Txt

konto zainfekowane gmer.txt

[picasso]

W tych logach widać infekcję. Przechodzimy do usuwania:

 

1. Na zainfekowanym koncie uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\SearchScopes\F50329843EC140E08BC85B8A9C709574: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=D8BF5C5948CF3C87&affID=119357&tsp=4976
FF - HKCU\Software\MozillaPlugins\@Skype Limited.com/Facebook Video Calling Plugin: C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Video\Skype\npFacebookVideoCalling.dll File not found
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.24.5\bh\delta.dll File not found
O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.24.5\deltaTlbr.dll File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\Toolbar\WebBrowser: (no name) - {10134636-E7AF-4AC5-A1DC-C7C44BB97D81} - No CLSID value found.
O3 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O3 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\Toolbar\WebBrowser: (no name) - {F2CF5485-4E02-4F68-819C-B92DE9277049} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKU\S-1-5-21-1960408961-682003330-839522115-1004..\Run: [NTRedirect] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Krzysztof\Application Data\BabSolution\Shared\EnhancedNT.dll",Run File not found
O4 - HKU\S-1-5-21-1960408961-682003330-839522115-1004..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun File not found
O4 - Startup: C:\Documents and Settings\Krzysztof\Start Menu\Programs\Startup\IMVU.lnk = File not found
O4 - Startup: C:\Documents and Settings\Krzysztof\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = File not found
O7 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: =
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Krzysztof\Start Menu\Programs\IMVU\Run IMVU.lnk File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll File not found
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\applic~1\browserdefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\browserdefender.dll) - File not found
O20 - HKLM Winlogon: Shell - (C:\DOCUME~1\ALLUSE~1\APPLIC~1\ybcrlnsnniggidoderh.bat) - C:\Documents and Settings\All Users\Application Data\ybcrlnsnniggidoderh.bat ()
SRV - File not found [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service)
SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Application Data\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe -- (BrowserDefendert)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\NSNDIS5.SYS -- (NSNDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
[2013-08-22 10:31:05 | 000,000,252 | ---- | M] () -- C:\Documents and Settings\All Users\Desktop\Your Software Deals.url
[2013-08-21 00:02:12 | 000,000,840 | ---- | M] () -- C:\Documents and Settings\Krzysztof\Start Menu\Programs\Startup\ybcrlnsnniggidoderh.lnk
[2013-08-21 00:02:10 | 000,000,185 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\ybcrlnsnniggidoderh.reg
[2013-08-16 10:59:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Krzysztof\Local Settings\Application Data\avgchrome
[2013-08-16 10:52:57 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com
[2012-06-26 20:15:26 | 000,001,456 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\WebSearchober45219093.xml
[2012-06-26 21:35:42 | 000,001,456 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\WebSearchober50035140.xml
[2010-10-06 22:46:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Alwil Software
[2012-07-10 17:57:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Ask
[2013-03-11 20:20:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon
[2001-01-01 03:45:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\boost_interprocess
[2011-07-13 18:44:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\RegCure
[2013-08-20 10:24:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2010-12-30 17:01:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\tmp
[2011-10-07 18:20:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Krzysztof\Application Data\GoD
[2011-12-20 02:14:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Krzysztof\Application Data\quickclick
[2012-05-30 12:46:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Krzysztof\Application Data\Toolbar4
[2011-11-16 14:50:22 | 000,000,007 | ---- | C] () -- C:\WINDOWS\System32\mkghj.dll
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Secondary_Page_URL"=-
"Secondary Start Pages"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. System powinien zostać odblokowany, zaloguj się w Trybie normalnym, by przeprowadzić kolejne działania:

 

2. Odinstaluj adware:

- Przez Panel sterowania odinstaluj: BrowserDefender, Delta toolbar, Delta Chrome Toolbar, Yahoo! Search Protection, Yahoo! Software Update. Usuń też skaner SpyHunter (wątpliwa reputacja).

- W Google Chrome w Rozszerzeniach odinstaluj SweetIM for Facebook.

- Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia będą musiały zostać przeinstalowane.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner.

 

 

 

.

[majka98]

Jestes Aniolem:)   Bardzo ci dziekuje.

Wszystko pomyslnie oprocz watpliwego SpyHunter  - This action is only valid for products that are currently instaled.

nie mozna odinstalowac.

 

Mam nadzieje ze juz infekcja zazegnana.Zalaczam wszystkie o ktore prosilas.

 

OTL.Txt

08222013_172433.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Wszystko zrobione. Poprawki:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"SearchMigratedDefaultName"=-
"SearchMigratedDefaultURL"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\F50329843EC140E08BC85B8A9C709574]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-
 
:Files
C:\sh4ldr
C:\Program Files\Enigma Software Group
C:\Documents and Settings\Krzysztof\Start Menu\Programs\SpyHunter
C:\WINDOWS\System32\ESGScanner.sys
C:\WINDOWS\System32\drivers\EsgScanner.sys
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. W katalogu C:\_OTL powstanie kolejny log z wynikami usuwania.

 

2. Do oceny wystarczy tylko log z wynikami usuwania.

 

 

.

[majka98]

Zalaczam

08222013_222330.txt

[picasso]

Przejdź do kolejnych działań:

 

1. Przez SHIFT+DEL skasuj foldery:

 

C:\AdwCleaner

C:\Documents and Settings\Krzysztof\Desktop\Stare dane programu Firefox

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zrób skan za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

[majka98]

Wykryl cos

MBAM-log-2013-08-22 (21-08-44).txt

[picasso]

MBAM wykrył resztki adware. Usuń. Na zakończenie zaktualizuj system i wyliczone poniżej aplikacje: KLIK.

 

Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 33

"{3248F0A8-6813-11D6-A77B-00B0D0150120}" = J2SE Runtime Environment 5.0 Update 12

"{32A3A4F4-B792-11D6-A78A-00B0D0150120}" = J2SE Development Kit 5.0 Update 12

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE

"{FA4C2D53-205F-4245-9717-F3761154824D}" = Safari

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"Mozilla Firefox 17.0 (x86 pl)" = Mozilla Firefox 17.0 (x86 pl)

"Opera 12.15.1748" = Opera 12.15
 

========== HKEY_USERS Uninstall List ==========
 

[HKEY_USERS\S-1-5-21-1960408961-682003330-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"FileZilla Client" = FileZilla Client 3.5.3

"Google Chrome" = Google Chrome

 

 

.

[majka98]

Zastosuje sie.

Serdecznie dziekuje i Pozdrawiam