Problem z uruchomieniem AVAST

[pavsz01]

Witam,

 

przez złośliwe opragramowanie, mam problem z wszelkimi operacjami na AVAST (odinstalowywanie, uruchamianie itd). Logi w załączeniu. Z góry bardzo dziękuję za pomoc

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Malware wprowadziło polityki oprogramowania blokujące programy zabezpieczające. Do wykonania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [tray_ico0] => [X]
HKLM\...\Run: [tray_ico] => [X]
HKLM\...\Run: [tray_ico1] => [X]
HKLM\...\Run: [tray_ico2] => [X]
HKLM\...\Run: [tray_ico3] => [X]
HKLM\...\Run: [tray_ico4] => [X]
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVAST Software 
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software 
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-860636357-3192807667-3840191364-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKU\S-1-5-21-860636357-3192807667-3840191364-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
Toolbar: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
CustomCLSID: HKU\S-1-5-21-860636357-3192807667-3840191364-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\pawelix\Downloads\non-stop-pol-5699217.exe No File
Task: {68DFD31E-5AC8-40D9-A90D-A5514A53BBC6} - System32\Tasks\{6CA1D13D-686E-4637-B49B-CA5189A6EBD0} => pcalua.exe -a "C:\Program Files\Real\RealPlayer\Update\r1puninst.exe" -c RealNetworks|RealPlayer|15.0
Task: {82140FDC-2890-4570-A7D4-EE6F5D61427E} - System32\Tasks\{B3DBDB4C-1236-4C7D-9FDB-428B5F70A9F5} => pcalua.exe -a C:\Users\pawelix\Desktop\PI\Xming-6-9-0-31-setup.exe -d C:\Users\pawelix\Desktop\PI
Task: {D846CFDB-E3BC-49F4-B138-14724BF797BE} - System32\Tasks\{12632EE4-CD25-49D0-BDC6-81E253008BB7} => pcalua.exe -a C:\Windows\system32\spool\drivers\w32x86\3\LXBLUN5C.EXE -c -dLexmark Z700-P700 Series
S3 catchme; \??\C:\Users\pawelix\AppData\Local\Temp\catchme.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gabedit
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\Program Files\PC-Optimizer
C:\ProgramData\F-Secure
C:\Users\pawelix\AppData\Local\F-Secure
C:\Users\pawelix\AppData\Local\Google
C:\Users\pawelix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2e9b73709efe5cec\MATLAB R2011a.lnk
C:\Users\pawelix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\openfm.lnk
C:\Users\pawelix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OriginLab
C:\Users\pawelix\Documents\OpenFM.lnk
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\pawelix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.