Problem z "Suspicious activity is detected"

[ganisz]

Ok, zastosowałem się do powyżej instrukcji. Czy jeszcze coś powinienem zrobić?

[picasso]

Jak mam usunąć BackUp4132664122.exe - w podanej lokalizacji już go nie ma oraz jak usunąć adware w Firefox?

Zaznaczałam, że pliku nie ma, ale pozostał wpis startowy malware, więc nie szukaj tego na dysku. Adware zaś więcej niż jeden obiekt:

 

FF Extension: Real Summer Sale - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\aa5nr8rp.default\Extensions\realsummersale1@realsummersale.com [2013-08-07]

FF Extension: SmileysWeLove: Smileys for use with Facebook, GMail, and more - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\aa5nr8rp.default\Extensions\jid1-vW9nopuIAJiRHw@jetpack.xpi [2014-01-29]

 

Czyli poprawki oraz korekta cześci błędów Usługi Protokół rozpoznawania nazw równorzędnych z Dziennika zdarzeń:

 

1. Odinstaluj przestarzałego i zbędnego Spybota. Sugeruję też pozbyć się starego preinstalowanego z systemem Norton Online Backup.

 

2. Konkretnie wyczyść Firefopx (proces likwiduje więcej niż może ujawnić to log z FRST):

• menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• menu Historia > Wyczyść historię przeglądania

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
HKU\S-1-5-21-1842668911-658831082-982835230-1001\...\Run: [backUp4132664122] => C:\Users\Ewa\AppData\Roaming\BackUp4132664122.exe
FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\new_plugin\npjp2.dll No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh advfirewall reset
C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.*
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart systemu i powstanie kolejny plik fixlog.txt.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[ganisz]

Po wejściu do wskazanego menu w FF brak przycisku "odśwież firefoxa"... W załączniku logi.

 

Po zrobieniu logów skasowałem sporo programów z komputera - czy w tej sytuacji zrobić nowe logi?

Fixlog.txt

FRST.txt

[picasso]

Po wejściu do wskazanego menu w FF brak przycisku "odśwież firefoxa"...

Nie zauważyłam, że masz archaiczną wersję Mozilla Firefox 12.0 (funkcja resetu jest od wersji 13). Firefox bardzo stary, więc w tej sytuacji zalecam całkowitą deinstalację (przy deinstalacji zaznacz usuwanie danych użytkownika), a po tym instalacja najnowszej wersji.

 

 

Po zrobieniu logów skasowałem sporo programów z komputera - czy w tej sytuacji zrobić nowe logi?

Tak, logi muszą odbijać aktualną sytuację. To samo dotyczy się w/w akcji z Firefox.

[ganisz]

Załączam nowe logi.

 

FRST.txt

[picasso]

Jeszcze usuń szczątki po odinstalowanych programach - zakładam, że Firefox jeszcze nie został zainstalowany (trzymam się tego co mówi ostatni podany log). Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
BootExecute: autocheck autochk * sdnclean64.exe
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox
RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2
RemoveDirectory: C:\ProgramData\Mozilla
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy
RemoveDirectory: C:\Users\Ewa\AppData\Local\Mozilla
RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Mozilla
RemoveDirectory: C:\Users\Ewa\AppData\Roaming\tor
RemoveDirectory: C:\windows\System32\Tasks\Safer-Networking
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
CMD: del /q C:\Users\Ewa\AppData\Roaming\icon.ico
CMD: del /q C:\windows\system32\CFG4132664122
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt.

[ganisz]

Problem niestety powrócił. Zdecydowałem się na ponowną instalację systemu. Komputer to Samsung r560 z partycją recovery - i tutaj pojawia się problem. Po wciśnięciu F4 na ekranie recovery nic sie nie dzieje (miga jedynie kursor w lewym górnym rogu) a po wejściu w tryb napraw komputer (F8) nie widzę, żadnej opcji pozwalające zainstalować system. Będę wdzięczny za pomoc i instrukcję jak ponownie zainstalować system.