Infekcja wirusem Round World'a

[EsteNeste]

Witam. Przed stworzeniem tematu ściagnalem plik instalacyjny programu YAC, którego nie wykorzystałem bo instalacja się nie powiodła. Nastepnie zainstalowałem SPY HUNTER 4, którego nawet nie użyłem (przeczytałem tutaj żeby jak najszybciej usuwać ten program) i odinstalowałem. Na komputerze jest używana przeglądarka Mozilla Firefox (jedyna zainstalowana, oprócz systemowego IE). W przeglądarce pokazują sie reklamy widoczne w "dowod3.jpeg". Podczas przeglądania witryn, dochodzi do takiej sytuacji że otwiera się nowa karta a na niej pewna strona widoczna w "dowod1.jpeg", a strona która była otwarta zamienia się w witrynę widoczną w "dowod2.jpeg". W "dodawanie lub usuwanie programów" jest widoczna aplikacja "Round World"

 

Pliki FRST.txt, Shortcut.txt, Addition.txt i GMER, a także dowod1.jpg, dowod2,jpg ,dowod3.jpg w załącznikach

FRST.txt

Shortcut.txt

Addition.txt

gmer.txt

[picasso]

SpyHunter i YAC to wątpliwe programy. Do przeprowadzenia nastyępujące operacje:

 

1. Przez Panel sterowania odinstaluj adware Round World, Yahoo! Search oraz stare wersje i zbędniki Adobe Flash Player 16 NPAPI, java 7 Update 79, McAfee Security Scan Plus.

 

2. Wyczyść Firefox z adware:

• menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie QuickJava trzeba będzie przeinstalować.
• menu Historia > Wyczyść historię przeglądania

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {237a87b5-881c-4fd8-b80a-c3b471ff75d7}t; C:\WINDOWS\System32\drivers\{237a87b5-881c-4fd8-b80a-c3b471ff75d7}t.sys [55824 2015-03-26] () [File not signed]
R1 {3788502c-c1e8-40a8-8914-655def81ee5b}Gt; C:\WINDOWS\System32\drivers\{3788502c-c1e8-40a8-8914-655def81ee5b}Gt.sys [55824 2015-02-19] () [File not signed]
R1 {72502b1b-b916-4994-814e-c516f9f681b2}Gt; C:\WINDOWS\System32\drivers\{72502b1b-b916-4994-814e-c516f9f681b2}Gt.sys [55824 2015-02-28] () [File not signed]
R1 {8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt; C:\WINDOWS\System32\drivers\{8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt.sys [55824 2015-02-22] () [File not signed]
R1 {8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gt; C:\WINDOWS\System32\drivers\{8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gt.sys [55824 2015-03-08] () [File not signed]
R1 {97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gt; C:\WINDOWS\System32\drivers\{97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gt.sys [55824 2015-03-02] () [File not signed]
R1 {b4e11afe-4c35-4044-965f-6641cc18f62e}Gt; C:\WINDOWS\System32\drivers\{b4e11afe-4c35-4044-965f-6641cc18f62e}Gt.sys [55824 2015-02-19] () [File not signed]
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150219
HKU\S-1-5-21-1801674531-1647877149-1606980848-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://q.search-simple.com/?m=tab&affID=na" 
SearchScopes: HKU\S-1-5-21-1801674531-1647877149-1606980848-500 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=pr_378592e5-7eef-4407-b0be-e1db2e810c3d&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1801674531-1647877149-1606980848-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=pr_378592e5-7eef-4407-b0be-e1db2e810c3d&q={searchTerms}
C:\Program Files\Enigma Software Group
C:\Program Files\Pay-By-Ads
C:\Program Files\Round World
C:\WINDOWS\455F074C814E4520B69B5584BD90400C.TMP
C:\WINDOWS\System32\drivers\{237a87b5-881c-4fd8-b80a-c3b471ff75d7}t.sys
C:\WINDOWS\System32\drivers\{3788502c-c1e8-40a8-8914-655def81ee5b}Gt.sys
C:\WINDOWS\System32\drivers\{72502b1b-b916-4994-814e-c516f9f681b2}Gt.sys
C:\WINDOWS\System32\drivers\{8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt.sys
C:\WINDOWS\System32\drivers\{8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gt.sys
C:\WINDOWS\System32\drivers\{97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gt.sys
C:\WINDOWS\System32\drivers\{b4e11afe-4c35-4044-965f-6641cc18f62e}Gt.sys
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[EsteNeste]

Dzięki za pomoc, wygląda na to że wirus poszedł na kopach z kompa. Dołączam standardowo pliki...Pozostał jedynie problem z Comodo, który się zbuntował i nie chce pracować..

PS.
Pozostawiłem Jave 7 Update 79, gdyż tylko ta wersja jest optymalna dla komputera z którego piszę. Mam nadzieję że wybaczysz mi takie niesforne zachowanie : >

POZDRAWIAM

FRST.txt

Fixlog.txt