Yoursites123, czyli to co zawsze

[TommyCash]

Witam
Do mojego systemu zakradł się ostatnio paskudny malware, którego nie ma na liście programów w panelu sterowania.
Proszę pilnie o pomoc.

Shortcut.txt

Addition.txt

FRST.txt

[picasso]

Są tu liczne problemy, a nie tylko tytułowy hijacker:

- Infekcja serwerów DNS, ustawione adresy izraelskie 199.203.131.145 - 82.163.143.167.

- Więcej śladów adware. Metody nabycia tych śmieci: KLIK.

- Okropnie stare antywirusy, Avira z 2007 i McAfee z 2009! To pozory zabezpieczeń. Należy zainstalować nowoczesnego antywirusa.

- Dodatkowo, jest tu uszkodzenie Winsock sieciowego wynikające z brutalnego usunięcia pliku Avira z dysku.

 

 

---

Akcje do przeprowadzenia:

 

1. Panel sterowania > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

 

2. Przez Dodaj/Usuń programy odinstaluj stare wersje:

 

Acrobat.com, Adobe Acrobat 5.0, Adobe AIR , Adobe Shockwave Player 11.5, Akamai NetSession Interface, Avira AntiVir PersonalEdition Premium, Java 7 Update 51, Java™ 6 Update 24, McAfee Agent, McAfee VirusScan Enterprise, Shockwave, Skaner on-line mks_vir

 

Poza tym, wejdź do folderu C:\Program Files\DivX i sprawdź czy jest tam jakiś plik deinstalacyjny typu uninstall.exe / uninst.exe. Jeśli jest, uruchom go.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Documents and Settings\radeczek\Dane aplikacji\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
S4 Silly Shoulder; C:\Program Files\Silly Shoulder\Silly Shoulder.exe [8016171 2015-07-13] () [brak podpisu cyfrowego] 
R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\vWdMv\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
R1 StarOpen; C:\WINDOWS\system32\Drivers\StarOpen.sys [5632 2009-03-22] () [brak podpisu cyfrowego]
S3 XDva104; \??\C:\WINDOWS\system32\XDva104.sys [X]
S3 XDva110; \??\C:\WINDOWS\system32\XDva110.sys [X]
S3 XDva115; \??\C:\WINDOWS\system32\XDva115.sys [X]
S3 XDva120; \??\C:\WINDOWS\system32\XDva120.sys [X]
S3 XDva123; \??\C:\WINDOWS\system32\XDva123.sys [X]
S3 XDva129; \??\C:\WINDOWS\system32\XDva129.sys [X]
S3 XDva136; \??\C:\WINDOWS\system32\XDva136.sys [X]
S3 XDva143; \??\C:\WINDOWS\system32\XDva143.sys [X]
S3 XDva145; \??\C:\WINDOWS\system32\XDva145.sys [X]
S3 XDva152; \??\C:\WINDOWS\system32\XDva152.sys [X]
S3 XDva166; \??\C:\WINDOWS\system32\XDva166.sys [X]
S3 XDva168; \??\C:\WINDOWS\system32\XDva168.sys [X]
S3 XDva170; \??\C:\WINDOWS\system32\XDva170.sys [X]
S3 XDva176; \??\C:\WINDOWS\system32\XDva176.sys [X]
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox\Mozilla Firefox (Safe Mode).lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686
ShortcutWithArgument: C:\Documents and Settings\radeczek\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686
ShortcutWithArgument: C:\Documents and Settings\radeczek\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686
ShortcutWithArgument: C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686
Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task.job => C:\Documents and Settings\All Users\Dane aplikacji\{5df37a25-3bc0-96cc-5df3-37a253bce894}\LoveROMs_Pokemon - Leaf Green Version (U) (V1.1).zip.exe 
Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task[8da6].job => c:\documents and settings\all users\dane aplikacji\{01c71119-85f6-8fd7-01c7-7111985f4466}\hqghumeaylnlf.exe 
Task: C:\WINDOWS\Tasks\FileBlanket.job => c:\documents and settings\all users\dane aplikacji\{fb603cff-d076-486f-fb60-03cffd07f3ff}\8874022286382164022b.exe
Task: C:\WINDOWS\Tasks\Superclean.job => c:\documents and settings\all users\dane aplikacji\{b59ef7de-c76e-d052-b59e-ef7dec76df7b}\hqghumeaylnlf.exe
Task: C:\WINDOWS\Tasks\TowerPower.job => c:\documents and settings\all users\dane aplikacji\{b366fa38-6b1f-f840-b366-6fa386b1e8e1}\1896763150135686502b.exe
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR HKU\S-1-5-19\SOFTWARE\Policies\Google: Ograniczenia 
CHR HKU\S-1-5-20\SOFTWARE\Policies\Google: Ograniczenia 
CHR HKU\S-1-5-21-1547161642-1078081533-725345543-1004\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-1547161642-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686
HKU\S-1-5-21-1547161642-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686
HKU\S-1-5-21-1547161642-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686
FF Plugin: @alawar.com/npapi -> C:\WINDOWS\npapi.dll [2014-01-29] (Alawar)
FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation)
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\m87xbv78.default\extensions\sweetsearch@gmail.com => nie znaleziono
FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\osa6yaax.default-1431643867046\extensions\defsearchp@gmail.com => nie znaleziono
FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\osa6yaax.default-1431643867046\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\kcmad8jp.default-1441148422546\extensions\default_newtabff@gmail.com => nie znaleziono
FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\kcmad8jp.default-1441148422546\extensions\yahooprotected@gmail.com => nie znaleziono
StartMenuInternet: firefox.exe - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\yoursites123Software
AlternateDataStreams: C:\WINDOWS\system32\main.cpl:SummaryInformation
AlternateDataStreams: C:\WINDOWS\system32\main.cpl:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\WINDOWS\system32\svchost.exe:SummaryInformation
AlternateDataStreams: C:\WINDOWS\system32\svchost.exe:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Documents and Settings\All Users\Dane aplikacji\{03e1adb2-10c8-0}
C:\Documents and Settings\All Users\Dane aplikacji\{0a6815b4-60c8-1}
C:\Documents and Settings\All Users\Dane aplikacji\{0eae874a-7064-1}
C:\Documents and Settings\All Users\Dane aplikacji\{11ddef97-2064-0}
C:\Documents and Settings\All Users\Dane aplikacji\2298308877529526562
C:\Documents and Settings\All Users\Dane aplikacji\d517df3c00001fdc
C:\Documents and Settings\All Users\Dane aplikacji\JWdMJ
C:\Documents and Settings\All Users\Dane aplikacji\pWdsManProp
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\Dane aplikacji\vWdMv
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{B966F6EA-D5B3-4B0C-B818-EA6371E8540E}
C:\Documents and Settings\All Users\Menu Start\Programy\DivX
C:\Documents and Settings\All Users\Menu Start\Programy\Realtek Sound Manager
C:\Documents and Settings\radeczek\Dane aplikacji\InkjetPrinter
C:\Documents and Settings\radeczek\Dane aplikacji\temp9538.txt
C:\Documents and Settings\radeczek\Dane aplikacji\ud_soundmanager.ini
C:\Documents and Settings\radeczek\Dane aplikacji\Opera Software
C:\Documents and Settings\radeczek\Dane aplikacji\TSv
C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (2).lnk
C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (3).lnk
C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK
C:\Documents and Settings\radeczek\Menu Start\Programy\Governor of Poker 2\Download More Free Full Games from FoxyGames.Info.lnk
C:\Documents and Settings\radeczek\Menu Start\Programy\MumboJumbo\Luxor
C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Akamai
C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Opera Software
C:\Documents and Settings\Gość\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK
C:\Program Files\prefs.js
C:\Program Files\DivX
C:\Program Files\mozilla firefox\plugins
C:\Program Files\SFK
C:\Program Files\Silly Shoulder
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\system32\Drivers\StarOpen.sys
CMD: ipconfig /flushdns
CMD: netsh firewall reset
CMD: netsh winsock reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

5. Zainstaluj Internet Explorer 8, gdyż wersja IE6 jest dziurawa: KLIK. Nie ma znaczenia, że nie korzystasz z IE.

 

6. Zrób nowe logi: FRST z opcji Skanuj (Scan) - ponownie z Addition, ale bez Shortcut - oraz zaległy GMER. Dołącz też plik fixlog.txt.

[TommyCash]

Dziękuje za poświęcony czas i pomoc w ogarnięciu śmietnika. Pozwolę jeszcze zapytać, czy uszkodzony winsock wymaga mojej ingerencji/naprawy?

Addition.txt

Fixlog.txt

FRST.txt

GMER.txt

[picasso]

Naprawa Winsock została już wykonana specjalną komendą załączoną w skrypcie FRST.

 

Druga sprawa: skrypty FRST są jednorazowego użytku, nie przetworzą ponownie tego samego. Co się działo podczas wykonywania skryptu FRST? Został uruchomiony aż dwa razy, przy czym podany tu log nie dość, że pokazuje iż nic nie znaleziono (skoro już wykonano w pierwszym podejściu), to na dodatek jest urwany. Poproszę o Fixlog z pierwszego podejścia. Wejdź do katalogu C:\FRST\Logs i sprawdź ile jest plików Fixlog_data_czas.txt. Interesuje mnie ten najstarszy.

 

Po trzecie, komputer ma obecnie złą datę, cofnęła się kilka lat wstecz i logi zostały "przedatowane". Popraw datę komputera.

 

Uruchomiony przez radeczek (administrator) RADEK2 (11-12-2013 01:06:54)

[TommyCash]

Tych plików dawno już nie ma (ajjj) i prawdopodobnie pomieszałem je w trakcie przesyłania (ajjj x2), sporo tego było nie powiem.
Ewentualnie mógłbym przesłać nowe logi, to jedyna opcja.

[picasso]

Czy "dawno już nie ma" oznacza, że usunąłeś folder C:\FRST\Logs z archiwum? Nie, nowe logi nie są tu potrzebne, ja chcę się dowiedzieć jak się wykonało pierwsze usuwanie. Efekty częściowe widzę w głównych skanach FRST.txt + Addition.txt, ale nie wszystko co zadałam do usuwania było widoczne na tym poziomie. I nie odpowiedziałeś na pytanie dlaczego Fix FRST był uruchamiany dwa razy.

[TommyCash]

FRST był uruchamiany dwa razy z powodu mojego roztrzepania, nie przejmuj się tym.
Naturalnie folderu nie usuwałem, znalazłem fixlog.
 

Fixlog_11-12-2015_00-39-51.txt

[picasso]

Teraz mam jasny obraz sytuacji. Fix FRST w pierwszym podejściu wszystko wykonał. Możemy się zająć poprawkami:

 

1. Otwórz Notatnik i wklej w nim:

 

Tcpip\Parameters: [NameServer] 199.203.131.145 82.163.143.167
HKU\S-1-5-21-1547161642-1078081533-725345543-1004\...\Run: [Akamai NetSession Interface] => "C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe"
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\npDeployJava1.dll [brak pliku]
S2 AntiVirMailService; "C:\Program Files\AntiVir PersonalEdition Premium\avmailc.exe" [X]
S2 AntiVirScheduler; "C:\Program Files\AntiVir PersonalEdition Premium\sched.exe" [X]
S2 AntiVirService; "C:\Program Files\AntiVir PersonalEdition Premium\avguard.exe" [X]
S2 AVEService; "C:\Program Files\AntiVir PersonalEdition Premium\avesvc.exe" [X]
R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [43584 2007-03-20] (Avira GmbH)
R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28352 2007-03-01] (Avira GmbH)
S1 avgio; \??\C:\Program Files\AntiVir PersonalEdition Premium\avgio.sys [X]
S3 avgntflt; \??\C:\Program Files\AntiVir PersonalEdition Premium\avgntflt.sys [X]
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:^Documents and Settings^radeczek^Menu Start^Programy^Autostart^LoveROMs_Pokemon - Leaf Green Version (U) (V1.1).zip.lnk
C:\Documents and Settings\All Users\Dane aplikacji\{01c71119-85f6-8fd7-01c7-7111985f4466}
C:\Documents and Settings\All Users\Dane aplikacji\{5df37a25-3bc0-96cc-5df3-37a253bce894}
C:\Documents and Settings\All Users\Dane aplikacji\{b366fa38-6b1f-f840-b366-6fa386b1e8e1}
C:\Documents and Settings\All Users\Dane aplikacji\{b59ef7de-c76e-d052-b59e-ef7dec76df7b}
C:\Documents and Settings\All Users\Dane aplikacji\{fb603cff-d076-486f-fb60-03cffd07f3ff}
C:\Documents and Settings\All Users\Dane aplikacji\744145b50000185d
C:\Documents and Settings\All Users\Dane aplikacji\9634555400007072
C:\Documents and Settings\All Users\Dane aplikacji\Block The Ads
C:\Documents and Settings\All Users\Dane aplikacji\McAfee
C:\Documents and Settings\All Users\Dane aplikacji\update
C:\Documents and Settings\All Users\Menu Start\Programy\ff42i15r14e33f26o83x.lnk
C:\Documents and Settings\radeczek\Dane aplikacji\Shortcut
C:\Documents and Settings\radeczek\Dane aplikacji\sweet-page
C:\Documents and Settings\radeczek\Dane aplikacji\yiffalicious
C:\Documents and Settings\radeczek\Ustawienia lokalne\Temp-log.txt
C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Yandex
C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Yiffalicious crew
C:\Program Files\Java
C:\Program Files\McAfee
C:\Program Files\Opera
C:\Program Files\SkanerOnline
C:\WINDOWS\pss\LoveROMs_Pokemon - Leaf Green Version (U) (V1.1).zip.lnkStartup
C:\WINDOWS\system32\pl.html
C:\WINDOWS\System32\DRIVERS\avipbb.sys
C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt.

 

2. Deinstalacja Avira nie była zbyt "czysta". Popraw jeszcze narzędziem Avira Registry Cleaner.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Przypominam, by poprawić datę komputera, by logi powstały w poprawnym kontekście czasowym.

[TommyCash]

Done.

Edit: okazuje się że pozostałości z aviry są bardziej problematyczne niż podejrzewałem, nie udało się usunąć wszystkiego nawet w trybie awaryjnym.

FRST.txt

Fixlog.txt

[picasso]

Edit: okazuje się że pozostałości z aviry są bardziej problematyczne niż podejrzewałem, nie udało się usunąć wszystkiego nawet w trybie awaryjnym.

Tzn. o których pozostałościach mowa? Przedstaw co masz na myśli, bo w raporcie FRST nic już nie widać od Aviry.

 

 

Ostatni Fix FRST wykonany. Teraz jeszcze:

 

1. Skoryguj jeden z wyleczonych skrótów, by odpowiadał pierwotnej funkcji przed infekcją. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox

 

Prawoklik na zlokalizowany tam skrót Mozilla Firefox (Safe Mode) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Mozilla Firefox\firefox.exe" dopisz spację i -safe-mode

 

2. Uruchom Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[TommyCash]

Przy instalacji nowego antywirusa wyświetla się opis: Wykryto ślady innego programu antywirusowego (avira antivir)

AdwCleanerS1.txt

[picasso]

Prawdopodobnie chodzi o rejestrację WMI w Centrum zabezpieczeń (jakoś umknęło mi to w FRST Addition):

 

==================== Centrum zabezpieczeń ========================
 

AV: Avira AntiVir PersonalEdition (Disabled - Out of date) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

 

Widzę, że były próby z instalacjami Avast + Comodo i ich szczątki też będziemy usuwać, przy czym wypięcie Comodo z Dziennika zdarzeń wymaga tymczasowego wyłączenia Dziennika, czyli aż dwóch skryptów. Poprawki:

 

1. Uruchom AdwCleaner ponownie, tym razem wybierz kombinację opcji Skanuj + Usuń. Gdy program ukończy czyszczenie:

 

2. Otwórz Notatnik i wklej w nim:

 

AV: Avira AntiVir PersonalEdition (Disabled - Out of date) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X]
S3 xspirit; \??\C:\WINDOWS\xspirit.sys [X]
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Comodo
RemoveDirectory: C:\Documents and Settings\Administrator\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Comodo
RemoveDirectory: C:\Program Files\Comodo
CMD: sc config Eventlog start= disabled
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przekopiuj gdzieś indziej wynikowy fixlog.txt.

 

3. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\config\COMODO I.evt


CMD: sc config Eventlog start= auto

Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Również nastąpi restart. Powstanie kolejny fixlog.txt. Dostarcz oba pliki fixlog.txt.

[TommyCash]

Raporty:

Fixlog2.txt

Fixlog1.txt

[picasso]

Wszystko zrobione.

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Spróbuj ponowić instalację wybranego antywirusa.