BlockAndSurf i inne adaware/początkowo problemy z uruchomieniem stron

[Yavien]

Witam,

Córka zgłosiła problem "nie działa mi internet". Okazało się, że np. działa skype w trybie komunikatora, ale głosowo już nie. Strony się nie otwierały, przy próbie wejścia na np. google.pl firefox zgłaszał błąd, że połączenie ze stroną zostało przerwane/zresetowane (nie pamiętam dokładnego komunikatu). Antywirus (Avira) nie uaktualniał się od kilku dni.

Czynności, które wykonałam:

Wśród ostatnio zainstalowanych programów zauważyłam BlockAndSurf, uruchomiłam więc skan Avira z opcjami domyślnymmi oraz usunęłam BlockAndSurf poprzez "Dodaj i usuń programy". Zrestartowałam komputer.

 

Pobrałam i uruchomiłam AdwCleaner, znalazł infekcję (The file 'C:\Users\User\AppData\Local\Temp\nsr7A76.tmp' contained a virus or unwanted program 'Adware/InstallCor.osw.3') i ją usunął

Strony zaczęły się wyświetlać, chyba sytuacja została jako tako opanowana. Ale oczywiście pewności nie mam, więc proszę o weryfikację.

 

Zabrałam się za generowanie niezbędnych do diagnostyki logów, przy okazji Avira w pobranych zgłosiła niedawno ściągnięty przez córkę instalator "Gimp'a" jako zainfekowany, uruchomiłam więc skanowanie pełne, wszystkich dysków (wszystkie zdarzenia z Aviry w załączeniu) oraz ponownie AdwCleaner (logi w załączeniu)

 

OTL, FRST i Gmer nie miały problemów przy uruchomieniu, logi załączam.

 

i z góry dziękuję za pomoc

FRST.txt

Addition.txt

Shortcut.txt

Extras.Txt

OTL.Txt

gmer_full.txt

gmer_preskan.txt

Avira_Events.txt

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

[picasso]

przy okazji Avira w pobranych zgłosiła niedawno ściągnięty przez córkę instalator "Gimp'a" jako zainfekowany

To z pewnością nie był oryginalny instalator GIMP, lecz jakiś portalowy "downloader" go imitujący. Więcej na ten temat: KLIK.

 

 

Tylko drobne poprawki do wdrożenia:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [] => [X]
GroupPolicy: Group Policy on Chrome detected 
FF Plugin HKCU: @mail.ru/GameCenter - C:\Users\User\AppData\Local\Mail.Ru\GameCenter-EU\NPDetector.dll No File
FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
S3 L1C; system32\DRIVERS\L1C62x64.sys [X]
S3 vm331avs; System32\Drivers\vm331avs.sys [X]
C:\Users\User\AppData\Roaming\3909
C:\Users\User\AppData\Roaming\rmi
C:\Windows\SysWOW64\GroupPolicy\GPT.INI
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

 

 

 

.

[Yavien]

To z pewnością nie był oryginalny instalator GIMP, lecz jakiś portalowy "downloader" go imitujący. Więcej na ten temat: KLIK.

 

Tak, niestety, ściągnęła ze strony komputerswiat.pl Temat już w niedzielę wylądował u niej na liście pod linkiem "koniecznie przeczytaj!" i ma mieć link zawsze na podorędziu ;-)

 

Załączam fixlog. I uruchamiam TFC

Fixlog.txt