Wirus ukash oraz reklamy

[dirgon]

Mój komputer ostatnio przeżył wiele. Od malware jak Ukash z Komorowskim po rosyjskie reklamy (z napisami po Rosyjsku) na niemal każdej stronie. Wykonałem przyracanie systemu do określonej daty  i użyłem kilku programów:
Ccleaner - do rejestru
SPYHUNTER - niestety dopiero teraz odnalazłem te forum i wiem że to był błąd
Hitman pro

oraz ADW Cleaner.

Ogólnie przynajmniej na razie nic się nie pokazuje ale ze względu na mój niezbyt wysoki poziom znajomości rozwiązywania tego typu problemów prosiłbym o sprawdzenie czy przypadkiem jakieś malware nie zostało na moim komputerze.
Dodam jeszcze że adwcleaner ciągle wykrywa jakieś wirusy tylko ze one są w folderze "drivers" a nie chciałbym pozbyć się jakiegokolwiek sterownika. Przesyłam Logi z adw.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

AdwCleanerR15.txt

[picasso]

Dodam jeszcze że adwcleaner ciągle wykrywa jakieś wirusy tylko ze one są w folderze "drivers" a nie chciałbym pozbyć się jakiegokolwiek sterownika.

Diagnoza AdwCleaner poprawna, on wykrywa sterownik adware grupy Sambreel/Yontoo, prezentowany w FRST w następujący sposób:

 

R1 {7012eec1-4f37-42d4-a2cd-26727494d248}Gw64; C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys [48792 2014-10-17] (StdLib)

 

To jest szkodliwy element, który powoduje problemy z funkcjonowaniem sieci i inne. Ale nie używaj AdwCleaner już, bo on wykrywa inną poprawną rzecz, czyli klucz komponentów (0FF2AEFF45EEA0A48A4B33C1973B6094), jego usunięcie może odpalić jakieś błędy Instalatora Windows. Zamiennie przeprowadź ręczne operacje podane poniżej.

 

 

Niewiele tu zostało do czyszczenia. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {7012eec1-4f37-42d4-a2cd-26727494d248}Gw64; C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys [48792 2014-10-17] (StdLib)
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
Task: {7A43B03D-BDC1-4636-B59C-B2055CB83084} - \AutoKMS No Task File 
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3451067720-2788103086-828839546-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141011
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141011
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141011
SearchScopes: HKU\S-1-5-21-3451067720-2788103086-828839546-1002 -> DefaultScope {FB36B692-51DD-4A1F-AD43-783AF1E6F206} URL =
SearchScopes: HKU\S-1-5-21-3451067720-2788103086-828839546-1002 -> {045D75F0-107B-4FCB-AD94-7460795E53D9} URL =
SearchScopes: HKU\S-1-5-21-3451067720-2788103086-828839546-1002 -> {FB36B692-51DD-4A1F-AD43-783AF1E6F206} URL =
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation)
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
C:\Program Files (x86)\mozilla firefox\plugins
C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys
Reg: reg delete "HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{FB36B692-51DD-4A1F-AD43-783AF1E6F206}" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{045D75F0-107B-4FCB-AD94-7460795E53D9}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[dirgon]

Proszę Czy wszystko jest już ok ?

Fixlog.txt

FRST.txt

[picasso]

Nie został wykonany ten punkt:

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.

Zrób to, następnie dostarcz nowy log FRST z opcji Scan (bez Addition i Shortcut).

 

 

 

.

[dirgon]

zapomniałem tego zrobić, już się poprawiam

FRST.txt

[picasso]

Fixlog ponownie nie potrzebny, usuwam ten plik, bo już go podałeś. Reset Firefox wreszcie wykonany, więc możemy kończyć:

 

1. Usuń ręcznie poniższe foldery i plik GMER:

 

C:\Users\Łukasz\Desktop\Stare dane programu Firefox

C:\Users\Łukasz\Downloads\FRST-OlderVersion

C:\Users\Łukasz\Downloads\ls781xod.exe

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj starsze wersje Adobe i Java, zastąp najnowszymi: KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.167 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated) -----> wtyczka dla FF

Adobe Reader X (10.1.12) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated)

Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.670 - Oracle)