Dużo wirusów, malware i zainfekowana przeglądarka

[szarak]

Mam problem w postaci ciągłego ataku malware na mój komputer. Często w przeglądarce wyskakuje mi informacja o aktualizacji javy ( oczywiście to malware, ponieważ po aktualizacji z oficjalnej strony komunikat ciągle się pojawiał ). Prosze o pomoc to mój pierwszy post więc jeśli czegoś nie dopisałem to prosze o poprawkę .

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

[picasso]

Adware przekonwertowało przeglądarkę Google Chrome z bezpieczniejszej wersji wersji stabilnej do nieszczelnej "development" i wymagana kompletna reinstalacja przeglądarki. Dodatkowy problem: mnóstwo usług / sterowników Windows jest oznaczonych jako niepodpisane cyfrowo, co oznacza uszkodzenie bazy Usług kryptograficznych.

 

Akcja:

 

1. Przez Panel sterowania odinstaluj zdefektowane Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki, a resztę dokończy mój skrypt poniżej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {F6B87845-9547-487B-A2CC-58612A44B1AA} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=55E4012F-A795-465B-BE01-DD344BFB784E&apn_sauid=D4FD2967-5691-4C1D-BEB7-2E311A5C3E58
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {FB2B751E-4CEE-4725-B4B4-9CDA1A263192} URL = http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=343
Toolbar: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
S3 clwvd; system32\DRIVERS\clwvd.sys [X]
S3 DKbFltr; system32\DRIVERS\DKbFltr.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
AlternateDataStreams: C:\WINDOWS\Temp:temp
C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
C:\Documents and Settings\All Users\Dane aplikacji\137f477d710f7352
C:\Documents and Settings\All Users\Dane aplikacji\AVG
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro
C:\Documents and Settings\All Users\Dane aplikacji\install_clap
C:\Documents and Settings\All Users\Dane aplikacji\Temp
C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect
C:\Documents and Settings\Fabisiak\ltvn.exe
C:\Documents and Settings\Fabisiak\Dane aplikacji\AVG
C:\Documents and Settings\Fabisiak\Dane aplikacji\DVDVideoSoft
C:\Documents and Settings\Fabisiak\Dane aplikacji\Mozilla
C:\Documents and Settings\Fabisiak\Dane aplikacji\omiga-plus
C:\Documents and Settings\Fabisiak\Dane aplikacji\Opera Software
C:\Documents and Settings\Fabisiak\Dane aplikacji\RHEng
C:\Documents and Settings\Fabisiak\Dane aplikacji\Sudeki
C:\Documents and Settings\Fabisiak\Dane aplikacji\Systweak
C:\Documents and Settings\Fabisiak\Menu Start\FoxTab FLV Player
C:\Documents and Settings\Fabisiak\Ustawienia lokalne\Dane aplikacji\Google
C:\Documents and Settings\LocalService\Dane aplikacji\AVG
C:\Program Files\Google
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\system32\roboot.exe
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSConfig" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Specjalny skrót IE jest uszkodzony:

 

Shortcut: C:\Documents and Settings\Fabisiak\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Fabisiak\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Uruchom narzędzie Fix It 50202 (zaznacz tryb agresywny): KLIK.

 

5. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

 

6. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + zaległy GMER (przed uruchomieniem należy odinstalować sterownik SPTD). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

 

 

 

.

[szarak]

Dodatkowy problem: mnóstwo usług / sterowników Windows jest oznaczonych jako niepodpisane cyfrowo, co oznacza uszkodzenie bazy Usług kryptograficznych.

Jakie ma to znaczenie dla mojego komputera? Przepraszam za pewnie śmieszne pytanie ale nie jestem za dobrym informatykiem

 

 

Dodaję logi

AdwCleanerR5.txt

FRST.txt

GMER.txt

[picasso]

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu FRST w folderze C:\Documents and Settings\Fabisiak\Moje dokumenty\Downloads. Dołącz go. Nie uruchamiaj przypadkiem ponownie opcji Fix, chodzi o log już nagrany na dysku. A log z GMER zrobiłeś w złym środowisku - nie odinstalowałeś sterownika SPTD, ale zostaw to już.

 

 

Jakie ma to znaczenie dla mojego komputera? Przepraszam za pewnie śmieszne pytanie ale nie jestem za dobrym informatykiem

Przy uszkodzeniu bazy Usług kryptograficznych dzieją się dziwne rzeczy, takie jak niemożność instalacji aktualizacji czy określonych sterowników / programów (błędy typu "oprogramowanie nie przeszło zgodności"). Problemu już jednak nie ma. Polecone narzędzie Fix It 50202 zresetowało bazę Usług kryptograficznych i obecnie log z FRST nie pokazuje już niepodpisanych cyfrowo elementów.

 

 

 

.