Tzw. wirus policyjny

[Kinch]

Witam!

Proszę o pomoc w zwalczeniu wirusa.

 

Oto logi:

OTL.Txt

Extras.Txt

[picasso]

Log z FRST usuwam, przecież to narzędzie jest uruchomione w złym środowisku, zgłoszony błąd:

 

ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.

 

To narzędzie nie służy do uruchamiania spod Windows, tylko spod WinRE. Opis: KLIK.

 

Następnie: log z OTL źle zrobiony, ustawione opcje Wszystko, a ma być Użyj filtrowania, tak jak w opisie: KLIK. Proszę zrobić nowe poprawne logi z OTL, podmienić załączniki w pierwszym poście i dać mi na PW znać o edycji.

 

 

EDIT: Logi poprawione, możemy przejść do rzeczy:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
C:\Users\Ngarrriralkpwina\AppData\Roaming\skype.dat
C:\Users\Ngarrriralkpwina\AppData\Roaming\skype.ini
 
:OTL
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.soft-quick.info/?l=1&q={searchTerms}"
IE - HKU\S-1-5-21-2681483982-3119142422-2879145904-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.soft-quick.info/?l=1&q={searchTerms}"
O4 - HKU\S-1-5-18..\RunOnce: []  File not found
O4 - HKU\S-1-5-19..\RunOnce: []  File not found
O4 - HKU\S-1-5-20..\RunOnce: []  File not found
O20 - AppInit_DLLs: (c:\progra~2\contin~1\sprote~1.dll) - c:\progra~2\contin~1\sprote~1.dll ()
O20 - AppInit_DLLs: (c:\progra~2\softqu~1\sprote~1.dll) - c:\progra~2\softqu~1\sprote~1.dll ()
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, system zostanie odblokowany.

 

2. Przez Panel sterowania odinstaluj adware ContinueToSave, ContinueToSave 1.74, Search Assistant SoftQuick 1.74.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Kinch]

Nie wiem, czy to ma znaczenie, ale podczas odinstalowania ContinueToSave 1.74 wystąpił błąd "nie może znaleźć określonego modułu...", ale dokończyło. Po zakończeniu nie było już ContinueToSave 1.74, ale nie było też ContinueToSave. Przy Search Assistant SoftQuick 1.74. ten sam błąd.

 

Wykonałem też czynności końcowe:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj stare wersje Adobe i Java, zaktualizuj resztę wyliczonych poniżej programów: KLIK.

 

Chyba poprawnie wszystko zrobiłem...

 

Jeśli to wszystko, to chciałbym serdecznie podziękować za pomoc. Miło jest wiedzieć, że są tacy ludzie, jak Wy. Dziękuję i życzę wszystkiego najlepszego.

PS Jako, że jestem studentem i kasy za bardzo nie mam, to zapraszam na piwo, jak będziesz w lublinie Pozdrawiam i jeszcze raz dzięki!

OTL.Txt

AdwCleanerS1.txt

[picasso]

Nie wiem, czy to ma znaczenie, ale podczas odinstalowania ContinueToSave 1.74 wystąpił błąd "nie może znaleźć określonego modułu...", ale dokończyło. Po zakończeniu nie było już ContinueToSave 1.74, ale nie było też ContinueToSave. Przy Search Assistant SoftQuick 1.74. ten sam błąd.

 

Czy Search Assistant SoftQuick 1.74, mimo błędu, zniknął z listy zainstalowanych?

 

Zadania wykonane. Poprawki (w tym usunięcie szczątków Google Chrome = nie wygląda na zainstalowane) i kończymy:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
 
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
 
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\ProgramData\CLSoft LTD
C:\Users\Ngarrriralkpwina\AppData\Local\Google
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google]
[-HKEY_CURRENT_USER\Software\Google]

 

Klik w Wykonaj skrypt.

 

4. W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj wyliczone poniżej foldery:

 

C:\FRST

C:\Users\Ngarrriralkpwina\Desktop\Stare dane programu Firefox

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

6. Odinstaluj starsze wersje Adobe | Java | Silverlight, zaktualizuj Skype: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wtyczka dla Firefox)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)

 

 

 

.

[Kinch]

Tak, Search Assistant SoftQuick 1.74 zniknął z listy zainstalowanych.

Czy jak odinstalowałem AdwCleanera wczoraj, to nie szkodzi, że nie zrobiłem tego w kroku 4.?

 

Pojawił się problem. Nie mogę zaimportować FIX.REG do rejestru. Pokazuje się błąd z Edytora rejestru o treści:

Nie można zaiportować C:\Users\Ngarrriralkpwina\Desktop\FIX.REG: Określony plik nie jest skryptem rejestru. Można importować tylko binarne pliki rejestru z wewnątrz Edytora rejestru.

Wszedłem do Edytora rejestru i z menu "plik" kliknąłem "Importuj...". Pojawił się błąd o treści:

Nie można zaiportować C:\Users\Ngarrriralkpwina\Desktop\FIX.REG: wybrany klucz jest nieprawidłowy.

[picasso]

Pojawił się problem. Nie mogę zaimportować FIX.REG do rejestru. Pokazuje się błąd z Edytora rejestru o treści

 

Zabrakło literki w nagłówku Windows Registry Editor Version 5.00. Już poprawione. Wklejaj ponownie do pliku i importuj.

 

 

Czy jak odinstalowałem AdwCleanera wczoraj, to nie szkodzi, że nie zrobiłem tego w kroku 4.?

 

W tym przypadku nie szkodzi.

 

 

 

.

[Kinch]

Jeszcze raz bardzo dziękuję i serdecznie pozdrawiam!