Wirusy zainstalowane przez fałszywe przyciski "Pobierz"

[588490]

Dziewczyna pobrała jakieś wirusy/malware klikając w zielone przyciski 'pobierz' na różnych stronach i otwierała je (prawdopodobnie pliki .exe). Próbowała podjąć dezynfekcję na własną rękę. Odinstalowała toolbary z przeglądarek, chciała przeskanować Malwarebytes Anti-Malware, ale nie da się go zainstalować. Podczas instalacji kilka razy wyskakuje błąd 'Wewnętrzny błąd: Expression error 'Runtime error (at 79:177) External exception E06D7363'. Potwierdzając błąd program zainstaluje się, natomiast nie da się go uruchomić. Klikając w ikonę nie włącza się.

Inne objawy to (były, teraz już nie pokazują się) wyskakujące okienka i samoczynna instalacja niechcianych plików, gier, czyściciele przeglądarek i systemu, porywacze przeglądarek (instaluje inne przeglądarki), zmienia strony startowe. Usunęła 'Search protect', skasowała (chyba) tajemniczy folder 3590F75ABA9E485486C100C1A9D4FF06Z.ZZ.ZZ..ZZZ...Z, dalej jest zainstalowane Torntv V9.0, włączał się iStartSurf. Korzystała jedynie z Norton Internet Security, po czym program wyczyścił szkodliwe pliki, resztę pozostawił w kwarantannie.

 

Dołączam wymagane logi:

 

FRST: 

Additon http://wklej.to/kJCBX

Shortcut http://wklej.to/WqTCE

FRST http://wklej.to/zMC1u

 

OTL:

OTL http://wklej.to/wAU8g

Extras http://wklej.to/QihMR

 

Gmer: http://wklej.to/WMJyY

[picasso]

W systemie jest multum odpadków adware, a także niepełnie odinstalowany McAfee SecurityCenter (część komponentów nadal uruchomiona). Pod tym kątem akcja:

 

1. Zastosuj specjalne narzędzie firmowe McAfee Consumer Product Removal Tool.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {16d667ee-6782-4b21-81df-8ded8ebc3868}w; C:\windows\System32\drivers\{16d667ee-6782-4b21-81df-8ded8ebc3868}w.sys [43192 2014-09-24] (StdLib)
R1 {bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw; C:\windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw.sys [43152 2014-09-24] (StdLib)
S2 PennyBee; C:\Program Files\PennyBee\PennyBee.exe [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 MBAMSwissArmy; \??\C:\windows\system32\drivers\MBAMSwissArmy.sys [X]
S3 moufiltr; system32\DRIVERS\moufiltr.sys [X]
S1 ssnfd; system32\drivers\ssnfd.sys [X]
S1 ttnfd; system32\drivers\ttnfd.sys [X]
S3 vhidmini; system32\DRIVERS\walvhid.sys [X]
Task: {080092C0-DCE4-4B29-A61B-C8691843F72E} - System32\Tasks\WOT WW2 => Iexplore.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {1DBE8C8E-EBA6-442D-920E-E697C772BEAE} - System32\Tasks\WOT WFRI1 => Iexplore.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {26E6F248-A0A0-4DFE-BC0C-828A46461CD5} - System32\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-4 => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-4.exe 
Task: {2827EF93-FE38-45ED-A885-D497A6FF0B14} - System32\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-5_user => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-5.exe 
Task: {28C1DEA8-F6A8-428A-AFC1-51F32A0C45A7} - System32\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-11 => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-11.exe 
Task: {296BF308-1EBB-496D-B27B-78DF06D31D15} - System32\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-2 => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-2.exe 
Task: {328822A1-DA20-49AB-891B-55AB9B19AF1D} - System32\Tasks\WOT W2 => Iexplore.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {33422F3D-D592-41E8-AE51-B0AFC8AA8D43} - System32\Tasks\McQcTask => c:\PROGRA~1\mcafee\mqc\QcConsol.exe
Task: {3C30DF6D-3BE9-4971-A540-C54640696077} - System32\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-7 => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-7.exe 
Task: {4F84B4CD-918A-4B29-BC2D-82D1625D1231} - System32\Tasks\Run RoboForm TaskBar Icon => C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
Task: {517136F8-3753-4917-9312-3A7E5C3DA6B2} - System32\Tasks\{F31943E1-55D2-4391-8936-20D238040298} => C:\Users\magiera\Desktop\Portable\Adobe Illustrator CS3\Illustrator.exe
Task: {58591A23-BB78-4287-B025-7FBEAC3E8113} - System32\Tasks\5b1a2fe4-15ac-45b7-8624-44b33fa646e7 => C:\Program Files\TheTorntv V10\5b1a2fe4-15ac-45b7-8624-44b33fa646e7.exe 
Task: {61474A23-0224-4925-BAE4-BAC150C6332E} - System32\Tasks\PennyBee => C:\Users\magiera\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE 
Task: {69E578C4-703B-4B80-B7A0-F94524F3604D} - System32\Tasks\{5440501D-B4B4-4A67-A208-8DB83437ABDD} => Chrome.exe http://ui.skype.com/ui/0/6.10.0.104/pl/abandoninstall?page=tsMain
Task: {7A4997C3-81DC-4240-8CC8-007B0FCCEC27} - System32\Tasks\WOT WMON1 => Iexplore.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {84A6396E-E272-4EAD-9C04-559311883A74} - System32\Tasks\WOT WTUE1 => Iexplore.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {8AF96902-619A-4D83-9525-C9ACB940534F} - System32\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-1 => C:\Program Files\TheTorntv V10\TheTorntv V10-codedownloader.exe 
Task: {8BA0F7D4-7827-4CFB-A094-78575D3A8679} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\windows\TEMP\{8B6FCAC0-F86E-444C-BE4A-8BA3C4A5340C}.exe
Task: {8DD4C098-465B-429D-9383-927301E2AEA3} - System32\Tasks\WOT WWED1 => Iexplore.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {8ED6A1A5-5AE4-49A8-BEA7-F9AFC9309FF2} - System32\Tasks\295fad15-d07e-4879-8306-8e4bbd572e57 => C:\Program Files\TheTorntv V10\295fad15-d07e-4879-8306-8e4bbd572e57.exe 
Task: {9001C295-F2DC-4CD9-AE7C-25EE8B491AA0} - System32\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-3 => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-3.exe 
Task: {9D39B3A5-AA5A-45D0-86FD-31E1AAF5321B} - System32\Tasks\{99D80622-0B8B-46C5-85CC-BB9AB908BA08} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain
Task: {A6166E5D-145B-45F6-8B97-F8AF339FD89B} - System32\Tasks\{98D18371-01C9-4E57-8531-47AD9417D0DF} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.5.0.117&LastError=404
Task: {A649F02A-EC53-4A76-A2A5-8812E9D96B62} - System32\Tasks\McDefragTask => c:\PROGRA~1\mcafee\mqc\QcConsol.exe
Task: {AD7DCC7F-FC7D-402E-88EE-13EA7AF2AE04} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: {BB633110-A6E3-4AB6-ACAA-E32E9E72983D} - System32\Tasks\WOT WW1 => Iexplore.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {C0C8A932-9348-4424-AF5B-0809DE45C38F} - System32\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-5 => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-5.exe 
Task: {C0CC9B48-25BA-4921-8E43-54F3C1D3F1F3} - System32\Tasks\WOT WTHUR1 => Iexplore.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {C482C884-BE8C-4C34-B959-E84231AC6EEB} - System32\Tasks\Funmoods => C:\Users\magiera\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE 
Task: {EE9CAF23-E1E6-4756-A7C9-7FEB3E602046} - System32\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-6 => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-6.exe 
Task: {EFEC6891-4BF0-4671-BD88-6C99DB2B5BEE} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: {F506369F-E728-4D59-B8A8-8FDD782C59EB} - System32\Tasks\RegOrganizerQuickLaunch => C:\Program Files\Reg Organizer\RegOrganizer.exe
Task: C:\windows\Tasks\295fad15-d07e-4879-8306-8e4bbd572e57.job => C:\Program Files\TheTorntv V10\295fad15-d07e-4879-8306-8e4bbd572e57.exe 
Task: C:\windows\Tasks\5b1a2fe4-15ac-45b7-8624-44b33fa646e7.job => C:\Program Files\TheTorntv V10\5b1a2fe4-15ac-45b7-8624-44b33fa646e7.exe 
Task: C:\windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\windows\TEMP\{8B6FCAC0-F86E-444C-BE4A-8BA3C4A5340C}.exe
Task: C:\windows\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-1.job => C:\Program Files\TheTorntv V10\TheTorntv V10-codedownloader.exe 
Task: C:\windows\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-11.job => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-11.exe 
Task: C:\windows\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-2.job => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-2.exe 
Task: C:\windows\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-3.job => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-3.exe 
Task: C:\windows\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-4.job => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-4.exe 
Task: C:\windows\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-5.job => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-5.exe 
Task: C:\windows\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-5_user.job => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-5.exe 
Task: C:\windows\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-6.job => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-6.exe 
Task: C:\windows\Tasks\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-7.job => C:\Program Files\TheTorntv V10\db19f653-b8f0-41dd-b9cd-1dcc2d8669e5-7.exe 
Task: C:\windows\Tasks\McDefragTask.job => C:\windows\system32\defrag.exe
Task: C:\windows\Tasks\McQcTask.job => c:\PROGRA~1\mcafee\mqc\QcConsol.exe
Task: C:\windows\Tasks\PennyBee.job => C:\Users\magiera\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE 
HKLM\...\Run: [fst_pl_206] => [X]
HKU\S-1-5-21-4201573279-4145372760-1579041073-1000\...\Run: [AdobeBridge] => [X]
ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140925
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Before = http://isearch.babylon.com/?affID=115131&tl=gkn488688&tt=4012_2&babsrc=HP_iclro&mntrId=a4205951000000000000000000000000
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140925
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01
SearchScopes: HKLM - DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411563284&from=ild&uid=SAMSUNGXHM321HI_S26VJ9FZ424685&q={searchTerms}
SearchScopes: HKLM - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKLM - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2y&ir=iron2y&cd=2XzuyEtN2Y1L1QzuyDzztB0CzztDtCtAzytByCtAyDzyyDtCtN0D0Tzu0CtAyDzytN1L2XzutBtFtBtFtCtFyEtDyB&cr=522552557
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD21} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=393&systemid=1&apn_dtid=IME001&apn_ptnrs=AGE&o=APN10653&apn_uid=7524036045624705&q={searchTerms}
SearchScopes: HKLM - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.just-browse.info/?l=1&q={searchTerms}
SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
SearchScopes: HKCU - DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {49E77BB6-0273-47DB-BE3A-226BE6ED9D3D} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2830765
SearchScopes: HKCU - {5EBDF4C9-847B-9D04-4C75-675EED774618} URL =
SearchScopes: HKCU - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://isearch.avg.com/search?cid={8691EB36-E369-419B-8952-B9C31BAF1D37}&mid=81894343506c44acb4c276d366cd3cee-ff75451d47043b15c9bddef60dd7a11662e605e2&lang=pl&ds=ax011&pr=&d=2012-10-12 20:09:19&v=12.2.5.34&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD21} URL =
SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL =
SearchScopes: HKCU - {E4E012DC-1925-48E9-8010-2D195574642A} URL =
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL =
BHO: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File
Toolbar: HKLM - No Name - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No File
Toolbar: HKLM - No Name - {E4E012DC-1925-48E9-8010-2D195574642A} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HKLM\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\magiera\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx [2012-10-07]
CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\magiera\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-09-24]
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
C:\NPE
C:\Program Files\*.exe
C:\Program Files\Enigma Software Group
C:\Program Files\globalUpdate
C:\Program Files\PennyBee
C:\Program Files\predm
C:\Program Files\SupTab
C:\ProgramData\SMRResults430.dat
C:\ProgramData\2308189059
C:\ProgramData\AVAST Software
C:\ProgramData\Norton
C:\ProgramData\Temp
C:\ProgramData\WindowsMangerProtect
C:\Users\magiera\*.exe
C:\Users\magiera\AppData\Local\*.tmp
C:\Users\magiera\AppData\Local\ICSharpCode.net
C:\Users\magiera\AppData\Local\globalUpdate
C:\Users\magiera\AppData\Local\NPE
C:\Users\Default\AppData\Roaming\TuneUp Software
C:\Users\magiera\AppData\Roaming\aps.uninstall.scan.results
C:\Users\magiera\AppData\Roaming\ap_logs
C:\Users\magiera\AppData\Roaming\Babylon
C:\Users\magiera\AppData\Roaming\Funmoods
C:\Users\magiera\AppData\Roaming\Media Finder
C:\Users\magiera\AppData\Roaming\Mipony
C:\Users\magiera\AppData\Roaming\MiponyDownloadManagerPackages
C:\Users\magiera\AppData\Roaming\Mozilla
C:\Users\magiera\AppData\Roaming\OpenCandy
C:\Users\magiera\AppData\Roaming\PDFCreatorPackages
C:\Users\magiera\AppData\Roaming\PennyBee
C:\Users\magiera\AppData\Roaming\RHEng
C:\Users\magiera\AppData\Roaming\Systweak
C:\Users\magiera\AppData\Roaming\Thinstall
C:\Users\magiera\AppData\Roaming\TuneUp Software
C:\Users\magiera\Downloads\*_(www_dodane_pl).*
C:\windows\455F074C814E4520B69B5584BD90400C.TMP
C:\windows\System32\custmon32i.dll
C:\windows\System32\drivers\sfi.dat
C:\windows\System32\roboot.exe
C:\windows\System32\drivers\{16d667ee-6782-4b21-81df-8ded8ebc3868}w.sys
C:\windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw.sys
Folder: C:\Users\magiera\AppData\Roaming\Template
Folder: C:\Users\magiera\AppData\Roaming\TFP
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APISupport" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcagent_exe" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Ściągaj z Mipony" /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PDF Creator Packages" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Specjany skrót IE jest niepoprawny:

 

Shortcut: C:\Users\magiera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\magiera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rtozszerzenia zostaną wyłączone (potem ręcznie włączyć).
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[588490]

Po stworzeniu fixlist.txt i kliknięciu w FRST Fix program za pierwszym razem przestał działać i trzeba było ręcznie go zamknąć. Dopiero po drugiej próbie było tak jak być powinno.

W specjalnym skrócie IE po dopisaniu dwóch spacji i kliknięciu zastosuj zostaje tylko jedna spacja. 

 

Nowe logi:

FRST http://wklej.to/r8zpE/text

Fixlog.txt http://wklej.to/7DsGa/text

log z AdwCleaner[R0] http://wklej.to/W7VC9/text

log z AdwCleaner[s0] http://wklej.to/hvEc9/text

[picasso]

Po stworzeniu fixlist.txt i kliknięciu w FRST Fix program za pierwszym razem przestał działać i trzeba było ręcznie go zamknąć. Dopiero po drugiej próbie było tak jak być powinno.

Dostarcz pierwszy log z serii, wyciągnij starszy plik C:\FRST\Logs\Fixlog_data_czas.txt.

[588490]

Log:

 

http://wklej.to/Celf8/text

[picasso]

To jest ciągle ten sam Fixlog, uruchomienie numer dwa:

 

Ran by magiera at 2014-09-30 13:27:09 Run:2

 

Na pewno nie ma dwóch plików Fixlog w C:\FRST\Logs? Zostawmy to już. Zadania wyglądają na w większości wykonane. Od McAfee pozostał jeszcze jeden czynny sterownik. Przejdź do kolejnej porcji czynności.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 MPFP; C:\windows\System32\Drivers\Mpfp.sys [130424 2009-04-09] (McAfee, Inc.)
C:\windows\System32\Drivers\Mpfp.sys
C:\windows\system32\sqlite3.dll
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt.

 

2. Widzę, że pojawiły się komponenty MBAM na dysku. Jeśli program jest zainstalowany i nadal nie działa, odinstaluj i zastosuj specjalny usuwacz mbam-clean.exe.

 

3. Pobierz najnowszą wersję FRST. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[588490]

Był tylko jeden Fixlog z datą. Pewnie dlatego, że za pierwszym razem podczas skanowania program przestał działać i trzeba byłą wyłączyć.

 

Nowe logi:

FRST.txt http://wklej.to/lbkIs/text

Fixlog.txt http://wklej.to/XnwkB/text

[picasso]

Wszystko wykonane. Kolejne kroki:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Pobierz nowy instalator MBAM i spróbuj zainstalować program. Powiedz czy nadal zgłasza się błąd.

 

 

 

.

[588490]

Log z DelFix: http://wklej.to/Gcw56/text

 

MBAM zainstalował się poprawnie.

[picasso]

Skoro MBAM zainstalował się poprawnie, na wszelki wypadek wykonaj za jego pomocą pełny skan systemu. W przypadku wykrycia czegoś dostarcz wynikowy raport.

[588490]

MBAM wykrył kilka niby szkodników, ale były to pozostałości i pliki typu 'key'. Usunąłem, system trzeba było zrestartować i po drugim skanie już nic nie wykrył. 

[picasso]

Na koniec aktualizacje. Addition pokazywał następujące wersje:

 

==================== Installed Programs ======================
 

Adobe Reader 9.1 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A91000000001}) (Version: 9.1.0 - Adobe Systems Incorporated)

Java 7 Update 21 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217021FF}) (Version: 7.0.210 - Oracle)

[588490]

Czyli zaktualizować Adobe Reader i Jave i będzie już wszystko OK?

[picasso]

To stare wersje, więc należy je odinstalować przed instalacją najnowszych. Zresztą ten stary Adobe Reader chyba w ogóle tego wymaga (nie zaktualizuje nakładkowo linii 9.x do 11.x), a Java nie zastępuje starych wersji i się one rozmnażają na liście.

[588490]

W takim razie wielkie dzięki za pomoc. Zrobię ten update i myślę, że temat zakończony chyba, że jeszcze coś mam zrobić?

[picasso]

Oczywiście jeszcze dobierz jakieś oprogramowanie zabezpieczające, tu już zostawiam wolną rękę. Dodatkowy artykuł pod kątem tych rodzajów instalacji adware: KLIK.

 

To tyle z mojej strony. Temat rozwiązany. Zamykam.