Pomoc z wirusem - komunikat Java

[bungar]

Witam kilka dni temu kupiłem laptopa. Wczoraj podpiąłem go do neta by pobrać firefoxa, directa, jave itp. Gdy poinstalowałem wszystko i zacząłem przeglądać neta, zaczęło mnie przekierowywać na inne strony, a najczęściej wyświetla się ten komunikat "Uwaga! Weraja twojego oprogramowania java jest przestarzała i stanowi zagrożenie dla bezpieczeństwa. Zaktualizuj juz teraz." po czym przekierowuje mnie na stronke żeby pobrać. Proszę o pomoc bo laptop nowy i juz jakiś wirus, wcześniej nie miałem doczynień z czymś podobnym więc proszę o wyrozumiałośc, załączam logi wedlug poradnika.

 

FRST  http://wklej.org/id/1515610/

 

ADDITION http://wklej.org/id/1515611/

 

SHORTCUT  http://wklej.org/id/1515617/

 

OTL http://wklej.org/id/1515633/

 

EXTRAS  http://wklej.org/id/1515635/

 

GMER (tu chyba cos nie tak poszlo bo jakies bledy wyskakiwały)  http://wklej.org/id/1515656/

 

 

 

 

[picasso]

To nie wirusy, to adware/PUP i to nabyte podczas instalacji programów własnoręcznie przez nieuwagę na jeden z tych sposobów: KLIK. Definitywnie widać na dysku, że conajmniej w obrotach był "Softonic Downloader".

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {75afa305-1b32-4464-a5e2-f606c80b73a4}Gw64; C:\Windows\System32\drivers\{75afa305-1b32-4464-a5e2-f606c80b73a4}Gw64.sys [48784 2014-11-09] (StdLib)
R2 70e6ca8c; c:\Program Files (x86)\Optimizer Pro\OptProCrash.dll [3113040 2014-11-09] ()
R2 Update BrowseStudio; C:\Program Files (x86)\BrowseStudio\updateBrowseStudio.exe [526064 2014-11-10] ()
R2 Util BrowseStudio; C:\Program Files (x86)\BrowseStudio\bin\utilBrowseStudio.exe [526064 2014-11-10] ()
HKU\S-1-5-21-743176339-2179438372-1338448093-1001\...\Run: [Optimizer Pro] => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [148048 2014-10-28] (PC Utilities Software Limited)
HKU\S-1-5-21-743176339-2179438372-1338448093-1001\...\MountPoints2: {61c30387-6419-11e4-8256-b0104163d09a} - "G:\setup.exe"
HKLM\...\Policies\Explorer: [NoControlPanel] 0
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
Task: {920593E3-BE79-4B20-B1A2-7D51A361976C} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe [2014-10-06] () 
Task: {ACB16352-6B97-4250-BC28-B4C6C104C46F} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe [2014-10-06] () 
Task: {E103A4F8-7D53-4457-AD5E-2DD025CDD484} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe [2014-10-06] () 
Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RCP\RegCleanPro.exe 
Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RCP\RegCleanPro.exe 
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141109
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141109
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141109
BHO: savernet -> {dbe6eeb8-4e75-456e-9244-98a91f84863f} -> C:\ProgramData\savernet\DqwNJivpzSZ5Co.x64.dll ()
BHO-x32: BrowseStudio -> {1e9e0e98-4ab7-40b0-a0ce-69105c1b7c92} -> C:\Program Files (x86)\BrowseStudio\BrowseStudiobho.dll (BrowseStudio)
BHO-x32: savernet -> {dbe6eeb8-4e75-456e-9244-98a91f84863f} -> C:\ProgramData\savernet\DqwNJivpzSZ5Co.dll ()
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro
C:\Users\bungar\AppData\Roaming\WebExtend
C:\Users\bungar\Downloads\DirectX*.exe
C:\Users\bungar\Downloads\SoftonicDownloader*.exe
C:\Windows\system32\roboot64.exe
C:\Windows\system32\Drivers\{75afa305-1b32-4464-a5e2-f606c80b73a4}Gw64.sys
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s
Folder: C:\Users\bungar\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\bungar\AppData\Roaming\Opera Software\Opera Stable\Preferences"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware BrowseStudio, CheapCoupon, Optimizer Pro v3.2, RegClean-Pro, savernet.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[bungar]

Zrobiłem wszyystko według wskazówe, załączam pliki.

Fixlog.txt

FRST.txt

[picasso]

Wszystko wykonane. Kolejne poprawki. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
C:\Program Files (x86)\BrowseStudio
C:\Program Files (x86)\savernet
C:\ProgramData\374311380
C:\ProgramData\45b2954f6a0b4fc3
C:\ProgramData\ddc24aa9-6c5d-44d0-8c40-9bed83bb2ab7
C:\ProgramData\CheapCoupon
C:\ProgramData\savernet
C:\Users\bungar\AppData\Roaming\Systweak
C:\Windows\msdownld.tmp
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\bungar\AppData\Local
CMD: dir /a C:\Users\bungar\AppData\LocalLow
CMD: dir /a C:\Users\bungar\AppData\Roaming
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt.

 

 

 

 

.

[bungar]

Zrobione, załączam plik

Fixlog.txt

[picasso]

Zadanie pomyślnie przetworzone. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz logi z folderu C:\AdwCleaner.

[bungar]

Zrobione, załaczam log, chyba o ten chodzi

AdwCleanerS0.txt

[picasso]

Ten log AdwCleaner jest urwany - to na pewno cały log który się zapisał?

[bungar]

Załączam reszte logów, teraz zrobilem czyszczenie jeszcze raz i teraz przebieglo pomyslnie, chyba, tylko nie wiem jak z tymi logami, wiec zalaczam wszystkie

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

[picasso]

Główny log z usuwania jest urwany. Nie istotne już, bo jest też podany log z opcji Szukaj pokazujący co było w niewidocznym fragmencie. Ostatni skrypt do FRST - otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
RemoveDirectory: C:\AdwCleaner
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[bungar]

Zrobione

Fixlog.txt

[picasso]

Kończymy. Zastosuj DelFix (GMER dokasuj ręcznie) i wyczyść foldery Przyracania systemu: KLIK.

[bungar]

Wszystko zrobione, to koniec ?

[picasso]

Tak, to już koniec działań. Temat rozwiązany. Zamykam.