Wirus aartemis

[pkoszi]

Witam

Mam problem z przegladarka opera. Za kazdym razem jak uruchomie przegladarke wczytuje sie portal aartemis. Czy moglby ktos mi pomoc jak sie tego pozbyc oraz jak wyczyscic komputer z innych smieci bo moj bratanek uzytkowal go przez pare miesiecy i nie wiem co jeszcze w nim siedzi. Nie wiem jak uruchamia sie otl

Pozdrawiam

[picasso]

Zasady działu: KLIK. Należy podać obowiązkowe raporty FRST / OTL.

[pkoszi]

Witam ponownie. W zalaczeniu przesylam raporty FRST/OTL. System posiadam 64-bit, procesor Intel® Core i5-3210M CPU @ 2.50 GHz; RAM 4 GB,  karta graficzna nvidia geforce GT 630M 2GB, system Windows 7 Home Premium; serwice pack 1. Oprocz problemu z aartemis podczas uruchamiania komputera wyswietla mi się komunikat „ Wystapil problem podczas uruchamiania pliku w8gjz8e.plz Nie można odnaleźć pliku". Tego komunikatu również nie wiem jak usunąć. Prosze o pomoc. pozdrawiam

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[picasso]

Komunikat z w8gjz8e.plz pochodzi od resztek infekcji trojanem "policyjnym". Infekcja nie została poprawnie usunięta, pozostał w starcie wpis próbujący uruchamiać nieistniejący już plik infekcji. Prócz Aartemisa jest większa ilość obiektów adware, adware dorobiło też katalogi kont które nie były uprzednio czynne. Widzę, że był używany AdwaCleaner, w ogóle nie sprawdzone co robił. Podejrzewam też, że zamiast deinstalować adware w poprawny sposób od razu uruchomiłeś AdwCleaner. Będę to sprawdzać.

 

Adresując wszystkie zgłoszone sprawy:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {5038C2AC-B74D-41CD-BCB8-08A517D219CC} - System32\Tasks\MetaCrawler => C:\Users\PAWE~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE
Task: C:\Windows\Tasks\MetaCrawler.job => C:\Users\PAWE~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE
HKCU\...\Policies\Explorer: []
Startup: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e8zjg8w.lnk
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1388083011&from=wpc&uid=HitachiXHTS545050A7E380_TA95123VG87XAXG87XAXX&q={searchTerms}
BHO: YoutubeAdblocker - {1D7F90DF-4BE5-0978-F3A4-4B8013C35F90} - C:\Program Files (x86)\YoutubeAdblocker\a.x64.dll ()
BHO: surf And keepa - {90CA0531-BD1E-ED0E-E1A7-2FAFA3B1AA5E} - C:\Program Files (x86)\surf And keepa\XVhgq.x64.dll ()
BHO-x32: YoutubeAdblocker - {1D7F90DF-4BE5-0978-F3A4-4B8013C35F90} - C:\Program Files (x86)\YoutubeAdblocker\a.dll ()
BHO-x32: surf And keepa - {90CA0531-BD1E-ED0E-E1A7-2FAFA3B1AA5E} - C:\Program Files (x86)\surf And keepa\XVhgq.dll ()
C:\Windows\system32\log
C:\Program Files (x86)\Optimizer Pro
C:\Program Files (x86)\surf And keepa
C:\Program Files (x86)\YoutubeAdblocker
C:\ProgramData\e8zjg8w.ctrl
C:\ProgramData\e8zjg8w.pff
C:\ProgramData\3cea804ea800994f
C:\ProgramData\surf And keepa
C:\ProgramData\YoutubeAdblocker
C:\ProgramData\WPM
C:\Users\Paweł\AppData\Local\Comodo
C:\Users\Paweł\AppData\Local\Google
C:\Users\Paweł\AppData\Local\Packages
C:\Users\Paweł\AppData\Local\Torch
C:\Users\Paweł\AppData\Roaming\eCyber
C:\Users\Paweł\AppData\Roaming\iSafe
C:\Users\Paweł\AppData\Roaming\MetaCrawler
C:\Users\Paweł\AppData\Roaming\Mozilla
C:\Users\Paweł\AppData\Roaming\systweak
C:\Users\Paweł\Documents\Optimizer Pro
C:\Users\UpdatusUser\AppData\Local\Comodo
C:\Users\UpdatusUser\AppData\Local\Google
C:\Users\UpdatusUser\AppData\Local\Torch
C:\Users\Administrator
C:\Users\Gość
C:\Users\HomeGroupUser$
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d c:\windows\syswow64\nvinit.dll /f
Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet\Opera\shell\open\command
Reg: reg query HKLM\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\Opera\shell\open\command
Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} /s
Reg: reg export HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall C:\Users\Paweł\Desktop\uninstall.reg

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj GS.Supporter 1.74.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Skasuj wszystkie skróty przeglądarek (mogą być zmodyfikowane = dopisana komenda otwierania aartemis) z Pulpitu / Menu Start / Paska zadań i utwórz nowe na czysto.

 

5. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstał też drugi log. Dołącz plik fixlog.txt oraz logi utworzone przez AdwCleaner (nie uruchamiaj narzędzia ponownie, logi są już nagrane w folderze C:\AdwCleaner). Wszystkie logi doczep jako załączniki posta. Natomiast na Pulpicie powstał plik uninstall.reg, shostuj go gdzieś na serwisie zewnętrznym i podaj link do tego.

 

 

 

.

[pkoszi]

podaje adres do pliku: http://sendfile.pl/123973/uninstall.reg

 

w katalogu adwcleaner nie mam zadnych logow (folder jest pusty)

mozliwe ze logow nie ma bo dzisiaj uruchomilem ccleaner

 

po zmianach ktore wykonalem zgodnie z poleceniem jak wyzej, na youtube nie moge ogladac filmow. Wyswietla sie komunikat ze nie ma zainstalowanej wtyczki adobe flash player. sprawdzilem i mam najnowsza wersje zainstalowana. Probowalem zaktualizowac wszystkie programy: opera, java, adobe air. EDIT: juz sobie poradzilem z flash playerem. odinstalowalem go i zainstalowalem na nowo. przesylam jeszcze raz raporty frst.

 

W chwili obecnej dlugo laduje sie system operacyjny, chcialbym rowniez odinstalowac zbedne programy ktore automatycznie instaluja sie w laptopie przez firme ASUS. Wczesniej prosilem o pomoc bo wyskakiwal mi komunikat o braku jakiegos pliku oraz w przegladarce opera automatycznie ladowala sie strona z aartemis ale zostalo to usuniete dzieki pomocy na forum. Prosze jeszcze o pomoc w usrawnieniu dzialania systemu i oczyszczeniu go ze smieci. zalaczam logi FRST/OTL

Fixlog.txt

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[picasso]

pkoszi, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Napisałeś 4 posty w serii jeden pod drugim. Podałeś też zbyt dużo logów FRST. Wszystko sklejone, zostawione najświeższe logi. Założyłeś nowy temat w dziale Windows, a tu jeszcze nie skończona sprawa.

 

Nie wiem co się stało z odtwarzaniem Youtube, ale ja nie ruszałam nic związanego z tą wtyczką ani z Operą (Opera nie jest nawet skanowana przez narzędzia logów). Przeinstalowałeś wtyczkę, więc OK. Zostały tu jeszcze poprawki. Widzę, że w międzyczasie dorobiłeś się kolejnych wpisów niepożądanych aplikacji (pojawiła się większa iość szczątków BonanzaDeals i Mobogenie).

 

1. Na liście zainstalowanych jest fałszywy wpis Google Update Helper. To nie jest program od Google, tylko od adware (opis "BonanzaDeals"). Wpis jest ukryty, nie widać go na liście zainstalowanych programów. Zastosuj to narzędzie: KLIK. Wybierz tryb nieautomatyczny i moduł deinstalacji, zaznacz wpis i usuń.

 

2. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKCU\...\Run: [NextLive] - C:\Windows\SysWOW64\rundll32.exe "C:\Users\Paweł\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
C:\Users\Paweł\.android
C:\Users\Paweł\daemonprocess.txt
C:\Users\Paweł\AppData\Local\Google
C:\Users\Paweł\AppData\Local\genienext
C:\Users\Paweł\AppData\Local\Mobogenie
C:\Users\Paweł\AppData\Roaming\MetaCrawler
C:\Users\Paweł\AppData\Roaming\Mozilla
C:\Users\Paweł\AppData\Roaming\newnext.me
C:\Users\Paweł\Documents\Mobogenie
C:\Program Files (x86)\BonanzaDeals
C:\Program Files (x86)\BonanzaDealsLive
C:\Program Files (x86)\Mobogenie
C:\ProgramData\InstallMate

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Uruchom Menedżer urządzeń i odinstaluj wadliwe urządzenie avast! Firewall NDIS Filter Miniport pozostałe po komercyjnej już odinstalowanej wersji Internet Security.

 

4. Zrób nowy skan FRST, zaznacz ponownie pole Addition. Dołącz plik fixlog.txt.

 

 

 

.

[pkoszi]

Logi:

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

W chwili obecnej dlugo laduje sie system operacyjny, chcialbym rowniez odinstalowac zbedne programy ktore automatycznie instaluja sie w laptopie przez firme ASUS.

1. W systemie jest niekompatybilny archaiczny sterownik:

 

System errors:

=============

Error: (12/31/2013 07:32:57 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi Kmm4xNT z powodu następującego błędu:

%%1275
 

Error: (12/31/2013 07:32:57 PM) (Source: Application Popup) (User: )

Description: Ładowanie sterownika \SystemRoot\SysWow64\Drivers\Kmm4xNT.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika.

 

Należy go usunąć. Od razu też martwy wpis AsusVibe w Harmonogramie. Otwórz Notatnik i wklej w nim:

 

Task: {82AA7025-1397-439F-82FA-B71637C230C3} - System32\Tasks\AsusVibeSchedule => C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exe
S2 Kmm4xNT; C:\Windows\SysWow64\Drivers\Kmm4xNT.sys [95484 2002-04-26] (DATOM Dariusz Cielebąk)
C:\Windows\SysWow64\Drivers\Kmm4xNT.sys

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

2. Jeśli chodzi o programy stricte ASUS, to tu nie ma za bardzo czego deinstalować... Zostały głównie aplikacje związane z obsługą klawiszy funkcyjnych i sterowników, tych nie należy ruszać. Te dwa ASUSowe możesz usunąć:

 

==================== Installed Programs ======================
 

Fast Boot (Version: 1.0.10 - ASUS) ----> menedżer startu, i tak sypie błędami w Dzienniku zdarzeń

SceneSwitch (x32 Version: 1.0.12 - ASUS) ----> http://www.shouldiremoveit.com/SceneSwitch-10217-program.aspx

 

Możesz się pozbyć i poniższej grupy pakietu "Windows Live" (to pewnie była integracja producenta), choć to nie przyniesie benefitów w poprawie szybkości:

 

==================== Installed Programs ======================
 

„Windows Live Essentials“ (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

„Windows Live Mail“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden

Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych (x32 Version: 15.4.5722.2 - Microsoft Corporation)

Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Pošta Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Communications Platform (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Essentials (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Essentials (x32 Version: 15.4.3538.0513 - Microsoft Corporation)

Windows Live ID Sign-in Assistant (Version: 7.250.4232.0 - Microsoft Corporation) Hidden

Windows Live Installer (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Language Selector (Version: 15.4.3538.0513 - Microsoft Corporation) Hidden

Windows Live Mail (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live MIME IFilter (Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Photo Common (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live PIMT Platform (x32 Version: 15.4.3508.1109 - Microsoft Corporation) Hidden

Windows Live Pošta (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live SOXE (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live SOXE Definitions (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live UX Platform (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live UX Platform Language Pack (x32 Version: 15.4.3508.1109 - Microsoft Corporation) Hidden

Windows Live Writer (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

Windows Live Writer Resources (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

 

W Panelu sterowania odinstaluj "Formant ActiveX..." + "Windows Live Essentials". Reszta wpisów jest ukryta, może zniknąć automatycznie po głównych deinstalacjach, a jeśli nie, to te wpisy odinstalujesz stosując podane już wcześniej narzędzie MS (KLIK). Wybierz ręczny tryb naprawy, a następnie deinstalację, wskaż do usuwania po kolei zakreślone pozycje.

 

 

3. Długie ładowanie: wyłącz wstępnie zbędne wpisy ze startu. Uruchom Autoruns i w karcie Logon odznacz:

 

HKLM\...\Run: [Autodesk Sync] - C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe [415680 2012-02-05] (Autodesk, Inc.)

HKLM-x32\...\Run: [ASUSPRP] - C:\Program Files (x86)\ASUS\APRP\aprp.exe [3331312 2012-02-24] (ASUSTek Computer Inc.)

HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)

HKCU\...\Run: [GG] - C:\Users\Paweł\AppData\Local\GG\Application\gghub.exe [4047424 2013-12-18] (GG Network S.A.)

HKCU\...\Run: [DAEMON Tools Lite] - C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe [3671904 2012-08-28] (DT Soft Ltd)

HKCU\...\Run: [iDMan] - C:\Program Files (x86)\Internet Download Manager\IDMan.exe [3595856 2013-06-15] (Tonec Inc.)

 

W karcie Services odznacz AdobeARMservice, Autodesk Content Service, KMService (crack Office), nvUpdatusService, SkypeUpdate, WinDefend. By widzieć WinDefend, należy w opcjach zaznaczyć pokazywanie wpisów Microsoftu.

 

Zresetuj system. Jeśli nie będzie poprawy, obawiam się, że długi start niestety jest związany z Avast. By się o tym przekonać, wykonaj testową deinstalację.

 

 

 

 

.

[pkoszi]

Przedstawiam fixlog przed rozpoczeciem pkt 2 i 3

Fixlog.txt

[picasso]

Pierwsza linia skryptu w ogóle nie przetworzona. Źle wkleiłeś wpis, obciąłeś pierwszą literę:

 

ask: {82AA7025-1397-439F-82FA-B71637C230C3} - System32\Tasks\AsusVibeSchedule => C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exe

 

zamiast:

 

Task: {82AA7025-1397-439F-82FA-B71637C230C3} - System32\Tasks\AsusVibeSchedule => C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exe

 

Zrób nowy plik fixlist.txt z tym wpisem i uruchom Fix w FRST.

 

PS. Edytuję już po raz kolejny Twoje posty. Proszę nie używaj opcji "Odpowiedz" przy postach, to cytuje cały post. Używaj na spodzie strony pola Szybkiej odpowiedzi > Napisz.

 

 

 

.

[pkoszi]

nowy fixlog

Fixlog.txt

[picasso]

Miałeś zrobić plik fixlist.txt tylko z tym jednym wpisem, przecież reszta wpisów już przetworzona przy pierwszym podejściu i FRST oczywiście nie powtórzy akcji. Wpis usunięty. Leć wg instrukcji dalej.

 

 

 

.

[pkoszi]

trjuz sie poprawilem. Trzeba miec niezla cierpliwosc do laikow takich jak ja. podziwiam a pewnie nie brakuje tu takich

Fixlog.txt

[picasso]

pkoszi, ta akcja to już była w ogóle bez sensu. Przecież powiedziałam "Wpis usunięty", a "Leć wg instrukcji dalej" miało oznaczać przejście do dalszych punktów... Ja tylko zaznaczyłam co było źle, że uruchomiłeś poprzedni skrypt mający więcej linii, które już się wykonały w pierwszym podejściu. A Ty powtarzasz ponownie to zachowanie uruchamiając skrypt próbujący usuwać coś co właśnie usunąłeś. Historia ze skryptem FRST jest już zupełnie nieaktualna, miałeś przejść do dalszych instrukcji...

 

 

 

.

[pkoszi]

instrukcje dalsze wykonane. 

[picasso]

Czyli co konkretnie i jakie są tego skutki w systemie?

[pkoszi]

aartemis zniknal,brak komunikatu w8.... (nie pamietam nazwy) system chyba szybciej sie laduje. Avasta mialem od zawsze i szybciej windows 7 sie uruchamial ale jak w przyszlosci przeinstaluje system to bedzie lepiej. na chwile obecna jestem zadowolony. nie wiem tylko jak odinstalowac pozycje z pkt 2 bo w panel sterowania- wusun programy nie widze windosa live i inne wyszczegolnione. no i czy nr konta w KB jest dalej aktualny?

 

przepraszam znalazlem windos live

 

znalazlem windows live ale tylko widzi ze jest tylko zainstalowana poczta

[picasso]

nie wiem tylko jak odinstalowac pozycje z pkt 2 bo w panel sterowania- wusun programy nie widze windosa live i inne wyszczegolnione

Ale ja powiedziałam:

 

W Panelu sterowania odinstaluj "Formant ActiveX..." + "Windows Live Essentials". Reszta wpisów jest ukryta, może zniknąć automatycznie po głównych deinstalacjach, a jeśli nie, to te wpisy odinstalujesz stosując podane już wcześniej narzędzie MS (KLIK). Wybierz ręczny tryb naprawy, a następnie deinstalację, wskaż do usuwania po kolei zakreślone pozycje.

I czy wykonałeś punkt 3, czyli operację w Autoruns?

 

 

no i czy nr konta w KB jest dalej aktualny?

Tak. Dzięki za zainteresowanie.

 

 

 

.

[pkoszi]

wykonalem wszystkie zalecenia dotyczace pkt 2 i pkt 3. Dziekuje za pomoc odwdziecze sie na pewno z dopiskiem "podziekowania pkoszi".

[picasso]

Na zakończenie:

 

1. Przez SHIFT+DEL skasuj foldery:

 

C:\AdwCleaner

C:\FRST

C:\MATS

 

W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj starą Java™ 6 Update 38 i zaktualizuj systemowy Internet Explorer 9 do najnowszej wersji 11.

 

 

 

.

[pkoszi]

poz 1 i 2 zrobilem. pozycji 3 jeszcze nie i raczej nie chce robic. uzywam programu xpertis firmy macrologic i on potrzebuje wersji Java™ 6 Update 38, na nowszych mi sie nie uruchamia. Tak mi powiedzieli informatycy z firmy dlatego mam 2 wersje java. Wykonujac operacje wyswietlil mi sie BZWBK a nie KB. Mam nadzieje ze jest ok.

[picasso]

pozycji 3 jeszcze nie i raczej nie chce robic. uzywam programu xpertis firmy macrologic i on potrzebuje wersji Java™ 6 Update 38, na nowszych mi sie nie uruchamia. Tak mi powiedzieli informatycy z firmy dlatego mam 2 wersje java.

W związku z tym, że ta Java jest używana przez inny program, poczytaj co należy zrobić w przeglądarce, bo jest to niebezpieczna wersja Java, dziurawa jak sito: KLIK.

 

 

Wykonujac operacje wyswietlil mi sie BZWBK a nie KB. Mam nadzieje ze jest ok.

Wszystko w porządku, była fuzja i KB jest teraz w innej grupie. Dziękuję.

 

 

.

[pkoszi]

jeszcze raz dziekuje za pomoc