Problem z wirusem "Hot deals"

[yoak]

Cześć, mam problem z ww. wirusem, jak widziałem na Waszym forum to już nie pierwszy taki przypadek. 

 

Potrzebuję pomocy jak usunąć to dziadostwo. Poniżej umieszczam wymagane logi.

 

Krótki opis historii:

 

Ściągnąłem program z dobreprogramy.pl i od razu pojawił mi się wirus hot deals. Próbowałem używać antywirusa i spybota ale niczego nie wykrywa

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Extras.Txt

OTL.Txt

[picasso]

Ściągnąłem program z dobreprogramy.pl i od razu pojawił mi się wirus hot deals. Próbowałem używać antywirusa i spybota ale niczego nie wykryw

Problemem było uruchomienie "Asystenta pobierania" dobrychprogramów zamiast poprawnego pliku instalacyjnego. Na przyszłość czego unikać: KLIK.

 

C:\Users\Anna\Downloads\VLC-media-player(13060) (1).exe

C:\Users\Anna\Downloads\VLC-media-player(13060).exe

 

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files\NetCrawl\updateNetCrawl.exe
() C:\Program Files\NetCrawl\bin\utilNetCrawl.exe
() C:\Program Files\NetCrawl\bin\NetCrawl.PurBrowse.exe
() C:\Program Files\NetCrawl\bin\NetCrawl.BrowserAdapter.exe
R2 Update NetCrawl; C:\Program Files\NetCrawl\updateNetCrawl.exe [318752 2014-07-08] ()
R2 Util NetCrawl; C:\Program Files\NetCrawl\bin\utilNetCrawl.exe [318752 2014-07-08] ()
R1 {57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw; C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw.sys [52920 2014-06-27] (StdLib)
R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys [52920 2014-06-30] (StdLib)
S3 catchme; \??\C:\Users\Anna\AppData\Local\Temp\catchme.sys [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1098640
HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://search.conduit.com?SearchSource=10&ctid=CT1098640
SearchScopes: HKLM - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640
SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640
SearchScopes: HKCU - 52CEC21281B14E3C84019E0DF275F84C URL = http://isearch.avg.com/search?cid={A12C2C89-6C21-48D2-88E9-C2728932D01B}&mid=6b24c764168340259783dc5db5e3700a-5033851896571a67869db10eb03c08313fe0a223&lang=pl&ds=ax011&pr=&d=2012-10-08 21:22:16&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {AB8E4D84-723F-4f6b-AD52-90974AF05AB3} URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A4067623346&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4067623346
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640
SearchScopes: HKCU - {EB4F995B-D625-465d-9E6C-39A6A7C43B37} URL = http://search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=STDVM
BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
BHO: NetCrawl - {769a91da-209f-47fe-88b9-b0321b0982c8} - C:\Program Files\NetCrawl\NetCrawlbho.dll (NetCrawl)
Toolbar: HKLM - Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
Task: {399B76DF-7D96-487C-9BE0-90CAFF0D655C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{E2FE45A5-6EE1-4A68-B9FC-67D0C4EA5D5B}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{E2FE45A5-6EE1-4A68-B9FC-67D0C4EA5D5B}.exe
C:\Users\Anna\Downloads\VLC-media-player(13060) (1).exe
C:\Users\Anna\Downloads\VLC-media-player(13060).exe
C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw.sys
C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys
Hosts:
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Conduit Engine, NetCrawl, zbędniki AVG Security Toolbar i Browser Configuration Utility oraz sfatygowany stary Spybot - Search & Destroy.

 

3. W Google Chrome:

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[yoak]

Dziękuje bardzo za szybką odpowiedź. Poniżej zamieszczam logi

AdwCleanerR1.txt

FRST.txt

[picasso]

Brakuje pliku fixlog.txt powstałego podcasz uruchamia skryptu FRST. Dołącz.

[yoak]

Picasso wybacz pytanie ale czy mam ponownie w FRST kliknac fixa, zeby otrzymac fixloga?

[Expert3222]

FRST tworzy fixlog.txt w tym samym folderze, z którego go uruchomiono. Nawet jeżeli go nie masz, to nie klikaj w fix ponownie.

[yoak]

No niestety po skanowaniu nie pojawia mi się fixlog.txt w każdym razie hot deals już się nie pojawia

 

W kwestii doprecyzowania to powinien być ten stary fixlog.txt, czy zupełnie nowy plik?

[picasso]

Chodzi o plik fixlog, który powstał podczas uruchamiania opcji Fix w FRST (opcja jednorazowa z konkretnym skryptem), plik nie jest generowany opcją Scan. Ten plik powinien być w katalogu skąd uruchamiałeś FRST: C:\Users\Anna\Desktop\Logi\FRST.

 

 

 

.