Avast wykrył Mindspark-A, Eorezo - CB, Evo - gen, Dropper - gen i inne.

[wieSmac]

Podczas poszukiwania instalki programu DriverNavigator zawirusowałem komputer. Po uruchomieniu Windows'a automatycznie wyskakuje program Reg Clean Pro i skanuje komputer. Avast wykrył wirusy jak w temacie, postaram się zamieścić screenshot z kwarantanny avasta. Szybkość pracy normalna. Proszę o poradę. 

FRST.txt

gmer.txt

Addition.txt

Extras.Txt

OTL.Txt

[picasso]

Brakuje pliku FRST Shortcut. Tak, dołącz widok kwarantanny Avast. Jedyne co z nazw na razie mogę wyciągnąć to Mindspark-A = niepożądany pasek Allin1Convert, który wg raportów nie został poprawnie odinstalowany lecz stratowany skanerem. Jak sądzę to wszystko to pokłosie tego co mówiłeś w poprzednim temacie (pobranie downloaderów). Ponadto, widzę że dysfunkcja WMI nadal ma miejsce i komenda aktualizacji repozytorium WMI nie zadziałała.

 

 

Przechodzimy do czyszczenia tego co widać w raportach:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 IePluginServices; C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe [715656 2014-09-21] (Cherished Technololgy LIMITED)
R2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe [528896 2014-09-21] (Fuyu LIMITED) [File not signed]
HKU\S-1-5-21-3258611155-3004601454-3534232741-1006\...\Run: [RDReminder] => C:\Program Files\RCP\RegCleanPro.exe [8078152 2014-08-29] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=^BBE^OSJ000^YY^PL&gct=hp&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=launcher.exe_0_24.0.1558.61&apn_uid=B7B81001-944F-47B3-A48A-A7492A087256&itbv=12.16.2.53&doi=2014-09-25&psv=&pt=tb
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1411308529&from=cor&uid=FUJITSUXMHV2080BHXPL_NW9ZT6729HY5&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1411308529&from=cor&uid=FUJITSUXMHV2080BHXPL_NW9ZT6729HY5&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
URLSearchHook: HKCU - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
URLSearchHook: HKCU - (No Name) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - C:\Program Files\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll No File
SearchScopes: HKLM - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^man000^YYA^&ptb=4DD23672-744C-499E-A903-FD938BD9A261&ind=2014092213&n=780c9bb5&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKCU - DefaultScope {3A5B682D-D4F1-477C-A829-DFEA54211D58} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=sb&itbv=12.16.2.53&apn_uid=B7B81001-944F-47B3-A48A-A7492A087256&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=launcher.exe_0_24.0.1558.61&doi=2014-09-25&trgb=IE&q={searchTerms}&psv=&pt=tb
SearchScopes: HKCU - {3A5B682D-D4F1-477C-A829-DFEA54211D58} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=sb&itbv=12.16.2.53&apn_uid=B7B81001-944F-47B3-A48A-A7492A087256&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=launcher.exe_0_24.0.1558.61&doi=2014-09-25&trgb=IE&q={searchTerms}&psv=&pt=tb
SearchScopes: HKCU - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^man000^YYA^&ptb=4DD23672-744C-499E-A903-FD938BD9A261&ind=2014092213&n=780c9bb5&psa=&st=sb&searchfor={searchTerms}
BHO: Rich Media Downloader -> {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Rich Media Player\BrowserExtensions\IE\RichMediaDownloader.dll No File
FF Plugin: @Allin1Convert_8h.com/Plugin -> C:\Program Files\Allin1Convert_8h\bar\1.bin\NP8hStub.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CustomCLSID: HKU\S-1-5-21-3258611155-3004601454-3534232741-1006_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Documents and Settings\admin\Dane aplikacji\Dropbox\bin\Dropbox.exe /autoplay No File
CustomCLSID: HKU\S-1-5-21-3258611155-3004601454-3534232741-1006_Classes\CLSID\{5bcf818d-78c8-41b8-ba89-65c5fdac4fc4}\InprocServer32 -> C:\Program Files\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll No File
CustomCLSID: HKU\S-1-5-21-3258611155-3004601454-3534232741-1006_Classes\CLSID\{E69341A3-E6D2-4175-B60C-C9D3D6FA40F6}\localserver32 -> C:\Documents and Settings\admin\Dane aplikacji\Dropbox\bin\Dropbox.exe /wiacallback No File
C:\Documents and Settings\admin\Dane aplikacji\PriceFountain
C:\Documents and Settings\admin\Dane aplikacji\SampleView
C:\Documents and Settings\admin\Dane aplikacji\sweet-page
C:\Documents and Settings\admin\Dane aplikacji\Systweak
C:\Documents and Settings\admin\Moje dokumenty\*.opdownload
C:\Documents and Settings\admin\Moje dokumenty\*_(www_dodane_pl).*
C:\Documents and Settings\admin\Moje dokumenty\driver*.*
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\PriceFountain
C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess
C:\Documents and Settings\All Users\Dane aplikacji\SP_FT_Logs
C:\Program Files\RCP
C:\Program Files\Mozilla Firefox
C:\WINDOWS\jumpshot.com
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\system32\roboot.exe
CMD: net stop winmgmt
C:\WINDOWS\system32\wbem\Repository

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj adware Allin1Convert Internet Explorer Toolbar, WindowsMangerProtect20.0.0.722, WinRAR 5.11 Packages oraz niebezpieczną starą Java w wersji J2SE Runtime Environment 5.0 Update 6.

 

Allin1Convert może zwrócić błąd, bo jak mówiłam jest uszkodzony skanerem, w takim przypadku zajmę się odpadkiem później. Jeśli stara Java stawi opór, zastosuj firmowy usuwacz do Java: Java Uninstall Tool.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut. Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[wieSmac]

Brakujący shortcut

i fixlog

Alin niestety nie dał się odinstalować

 

nowy addition i shortcut 1

i log z ADW

 

 

mam problem z zapisaniem  w formie txt wyników z kwarantanny ale zrobię zrzuty i spróbuję załączyć

Shortcut.txt

Fixlog.txt

Addition.txt

AdwCleanerS1.txt

[picasso]

Brakuje głównego skanu FRST (FRST.txt). Dostarczyłeś podwójny Shortcut (usuwam) oraz dwa zestawy logów AdwCleaner: stare z zeszłego roku (usuwam) oraz nowe. WMI zostało w końcu naprawione. Zdewastowany Allin1Convert został dokasowany przez AdwCleaner. I poprawki:

 

1. Specjalny skrót Internet Explorer nie jest poprawny:

 

Shortcut: C:\Documents and Settings\admin\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\admin\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
DeleteQuarantine:
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Dostarcz wynikowy fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[wieSmac]

Wykonałem. A co co z tą kwarantanną z avasta pokazać czy można sobie podarować w tej sytuacji?


A teraz jeszcze nowość podczas otwierania katalogu na pulpicie wyskakuje coś takiego jak na screenie ktorego nie mogę załączyć ale niebawem to uczynię.

Fixlog.txt

FRST.txt

[picasso]

Zadanie ze skryptem wykonane. W nowym logu nic podejrzanego. Tylko drobnostka do wykonania, czyli w Google Chrome:

 

Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

 

A co co z tą kwarantanną z avasta pokazać czy można sobie podarować w tej sytuacji?

To nadal aktualne. Tylko, że Ty zapisałeś zrzuty ekranu w postaci plików formatu BMP:

 

2014-09-25 16:22 - 2014-09-25 16:22 - 04561974 _____ () C:\Documents and Settings\admin\Pulpit\kwarantanna7.bmp

2014-09-25 16:22 - 2014-09-25 16:22 - 04561974 _____ () C:\Documents and Settings\admin\Pulpit\kwarantanna6.bmp

2014-09-25 16:21 - 2014-09-25 16:21 - 04561974 _____ () C:\Documents and Settings\admin\Pulpit\kwarantanna5.bmp

2014-09-25 16:20 - 2014-09-25 16:20 - 04561974 _____ () C:\Documents and Settings\admin\Pulpit\kwarantanna4.bmp

2014-09-25 16:20 - 2014-09-25 16:20 - 04561974 _____ () C:\Documents and Settings\admin\Pulpit\kwarantanna3.bmp

2014-09-25 16:20 - 2014-09-25 16:20 - 04561974 _____ () C:\Documents and Settings\admin\Pulpit\kwarantanna2.bmp

 

To rozszerzenie jest zabronione w załącznikach. BMP to stary nieskompresowany format tworzący gigantyczne pliki. Proszę zapisz obrazki w formacie PNG.

 

 

A teraz jeszcze nowość podczas otwierania katalogu na pulpicie wyskakuje coś takiego jak na screenie ktorego nie mogę załączyć ale niebawem to uczynię.

Dopóki nie dostarczysz obrazka, nie mogę się wypowiedzieć, bo nie wiem co widzisz.

 

 

 

.

[wieSmac]

Ciemnota i już.. Załączam pliki ten aa uruchamia się przy uruchamianiu każdego z katalogów na pulpicie

[picasso]

Wyniki Avast: głównie adware już zresztą wyczyszczone oraz kwarantanna AdwCleaner, a pozycje z System Volume Information i tak zostaną zaadresowane bardziej kompleksowo na końcu (czyszczenie folderów Przywracania systemu). Ale pozycje z D:\PRELOAD (firmowa partycja) to mi wyglądają na fałszywe alarmy.

 

Jeśli chodzi o ten komunikat Instalatora Windows namolnie się zgłaszający, on oznacza uszkodzone komponenty programu Hewlett-Packard. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście HP Smart Web Printing > Dalej.

 

 

 

.

[wieSmac]

Odinstalowałem. Jak posprzątać po tym bałaganie?
A może jeszcze jakiś przegląd po tych operacjach?

[picasso]

Wszystko wygląda na wykonane, więc kroki końcowe:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do aktualizacji produkty Adobe:

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.8.800.94 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.44 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera

Adobe Reader XI (11.0.08) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.08 - Adobe Systems Incorporated)

 

 

Odinstalowałem. Jak posprzątać po tym bałaganie?

Co masz na myśli? Do którego "bałaganu" pijesz?

 

 

 

.

[wieSmac]

Przepraszam najmocniej jak umiem, źle to zabrzmiało, oczywiście myślę o swoich nieudolnych umiejętnościach, "nie piję",  natomiast kolejny raz bardzo dziękuję za pomoc.