I znów zainfekowany system...

[kliszka]

Witam ,jak zwykle tylko tym razem piszę z laptopa córki. Infekcja złapana bardzo podobnie jak na moim stacjonarku.. Przeglądanie You tube i facebooka oraz nieumiejętne obsługiwanie komputera zakończyło się infekcją po instalacji niby dodatku do przeglądarki internetowej. Choć studiuje biotechnologię to wcale nie oznacza ,że jest...dorosła

 

System na tym laptopie to Windows 8.1 64bit. Do wstępnego usunięcia niechcianych gości użyłem AdwCleaner-a.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Niewiele tu już zostało, ale jednak jest co czyścić - jest adware w Operze. Akcje do przeprowadzenia:

 

1. W Operze CTRL+SHIFT+E i na liście Rozszerzeń odinstaluj adware Cinemax, iWebar.

 

2. Przez Panel sterowania odinstaluj gpedt.msc 1.0. Działanie pozorowane, nie da się wstawić gpedit na edycjach tego nie obsługujących. Przeczytaj mój komentarz tutaj (a w podlinku jest szczegółowy opis): KLIK.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {045FE7F2-8CF9-4DF9-B824-8D379766DC39} - System32\Tasks\{3079D775-01E7-4D1A-A066-6C73EB729E8B} => pcalua.exe -a "C:\Users\daria1\Downloads\CDM v2.12.00 WHQL Certified.exe" -d C:\Users\daria1\Downloads
Task: {0B378213-A571-421F-8844-2AEA1AD894AC} - System32\Tasks\QDWVEM => C:\Users\daria1\AppData\Roaming\QDWVEM.exe 
Task: {41892EF8-896E-4F0F-AE9A-EE483B600B04} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 
Task: {4D7F08FF-BD02-465C-B851-D86CF52621A9} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\WSCStub.exe
Task: {54B16C43-7700-4CBA-BA07-760B631997F0} - System32\Tasks\Inst_Rep => C:\Users\daria1\AppData\Local\Installer\Install_7967\DCytdieamo_amodc_setup.exe [2015-01-26] ()
Task: {9F006367-734C-4969-A181-D0E4E1344908} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\SymErr.exe
Task: {AC3CCE51-E85F-46D8-A9B6-FE4F8E6C701C} - System32\Tasks\{01B2E54B-F654-4981-B799-7D6AB13C3EBE} => pcalua.exe -a "C:\Users\daria1\Downloads\CDM v2.12.00 WHQL Certified (1).exe" -d C:\Users\daria1\Downloads
Task: {C5EEA6B8-ED3C-49A4-9F68-AB3AD56D2C9C} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 
Task: {ED82E5F8-3ECE-40A2-9843-5ED1A76D1C48} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\SymErr.exe
Task: {EFB1E031-2818-4CAA-81B6-14705F5018F3} - \SPBIW_UpdateTask_Time_323635393433333037302d7837235a576c4a3241345041 No Task File 
Task: C:\WINDOWS\Tasks\QDWVEM.job => C:\Users\daria1\AppData\Roaming\QDWVEM.exe 
S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
BHO: Cinemax -> {11111111-1111-1111-1111-110711011101} -> C:\Program Files (x86)\Cinemax\Cinemax-bho64.dll No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-2870285692-4238083046-3277192755-1001\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-21-2870285692-4238083046-3277192755-1001\...\Policies\Explorer: [NofolderOptions] 0
C:\ProgramData\Temp
C:\Users\daria1\AppData\Local\CrashDumps
C:\Users\daria1\AppData\Roaming\QDWVEM
C:\Users\daria1\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage*
C:\Users\daria1\Desktop\dk\pcmscan.exe — skrót.lnk
C:\Users\Public\Documents\ShopperPro
C:\Windows\System32\Tasks\Norton Internet Security
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\daria1\AppData\Local
CMD: dir /a C:\Users\daria1\AppData\LocalLow
CMD: dir /a C:\Users\daria1\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (by było wiadome co nim usuwałeś wcześniej).

[kliszka]

Oto wymienione logi ,niestety wszystko związane z ADWCleaner-em ..już usunąłem..

Fixlog.txt

FRST.txt

[picasso]

Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

C:\Program Files\Common Files\System\SysMenu.dll
C:\Program Files\Common Files\System\SysMenu64.dll
C:\Program Files (x86)\BlueSprig
C:\Program Files (x86)\SymSilent
C:\Program Files (x86)\Temp
C:\ProgramData\AVAST Software
C:\ProgramData\DAEMON Tools Lite
C:\ProgramData\Logs
C:\ProgramData\Mozilla
C:\ProgramData\Norton
C:\ProgramData\NortonInstaller
C:\ProgramData\PopCap Games
C:\ProgramData\Returnil
CMD: dir /a C:\Users\daria1\AppData\Local
CMD: dir /a C:\Users\daria1\AppData\LocalLow
CMD: dir /a C:\Users\daria1\AppData\Roaming

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

[kliszka]

Proszę oto log:

Fixlog.txt

[picasso]

Ostatni skrypt do FRST - do Notatnika wklej:

 

C:\Users\daria1\AppData\Local\Installer
C:\Users\daria1\AppData\Local\Mozilla
C:\Users\daria1\AppData\LocalLow\Adblock Plus for IE
C:\Users\daria1\AppData\LocalLow\Temp
C:\Users\daria1\AppData\Roaming\BlueSprig
C:\Users\daria1\AppData\Roaming\DAEMON Tools Lite
C:\Users\daria1\AppData\Roaming\Returnil
C:\Users\daria1\AppData\Roaming\rmi
C:\Users\daria1\AppData\Roaming\WebApp

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

[kliszka]

Proszę ..

Fixlog.txt

[picasso]

Wszystko zrobione, toteż kończymy. Znajome kroki z zastosowaniem DelFix oraz czyszczeniem folderów Przywracania systemu: KLIK.