SYSTEM CARE ANTIVIRUS

[WILOS78]

Witam

 

Dopadł mnie wirus. Proszę o pomoc.

 

Przepraszam - jednak się wygenerował Extras. Poprzednio żle zaznaczyłem w opcjach.

 

Proszę o pomoc specjalistów.

OTL.Txt

Extras.Txt

[picasso]

Do uzupełniania wypowiedzi / poprawiania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Sklejam. Przechodząc do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1548668925-3012571637-3582695056-1001\..\SearchScopes\{804E825A-D376-42DE-A397-AC1670A8E955}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=92b3b551-dcc2-11e1-85d2-001b24418303&q={searchTerms}
O4 - HKU\S-1-5-21-1548668925-3012571637-3582695056-1001..\RunOnce: [74F331206A3F7941000074F2BC307C0F] C:\ProgramData\74F331206A3F7941000074F2BC307C0F\74F331206A3F7941000074F2BC307C0F.exe ()
O7 - HKU\S-1-5-21-1548668925-3012571637-3582695056-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O4 - HKU\S-1-5-21-1548668925-3012571637-3582695056-1001..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\nvlddmkm.sys -- (nvlddmkm)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\WILO\AppData\Local\Temp\RarSFX1\kerneld.wnt -- (EverestDriver)
 
:Files
C:\ProgramData\74F331206A3F7941000074F2BC307C0F
C:\Users\WILO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuś tryb awaryjny. Blokada zniknie.

 

2. Odinstaluj adware:

- Przez Panel sterowania odmontuj LiveVDO plugin 1.3. Tak, tu nie ma pomyłki. To ta wtyczka video, jest to program adware śmiecący system.

- Google Chrome: powtórz deinstalację powyższego w Rozszerzeniach. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy Web Search.

- Firefox jest też zabrudzony, ale nie opłaca się czyścić. To stara dziurawa wersja Firefox 3.6.13. Jeśli chcesz zachować zakładki + hasła (i nic więcej), to zrób kopię za pomocą MozBackup. Następnie odinstaluj Firefox, a przy pytaniu o usuwanie danych użytkownika potwierdź.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i Farbar Service Scanner. Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner.

 

 

 

.

[WILOS78]

Dziękuję za pomoc i oczywiście wspomogę forum dotacją. W załączeniu loga po usunięciu wirusa

 

@Picasso

Czy można się jakoś zabezpieczyć przed tym dziadostwem np. antywirus AVAST ?

FSS.txt

AdwCleanerS2.txt

OTL.Txt

[picasso]

Wszystko zrobione. Czynności końcowe:

1. Drobne poprawki kosmetyczne. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{E4C1333F-97EC-462F-A0F0-8647865208C2}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{E4C1333F-97EC-462F-A0F0-8647865208C2}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

:Files
C:\Program Files\Mozilla Firefox

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

3. Infekcja wyłączyła usługi Windows. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender też został wyłączony, ale go pomijam, gdyż jest przestarzały i jego znaczenie jeszcze bardziej ograniczy doinstalowany lepszy skaner zewnętrzny.

4. Wyczyść foldery Przywracania systemu: KLIK.

5. Odinstaluj stare wersje Adobe / Java i zastąp najnowszymi (o ile potrzebne), zaktualizuj Silverlight w Google Chrome, a opcjonalnie możesz zainstalować IE10: KLIK. Wg raportu siedzą tu wersje:

Internet Explorer (Version = 9.10.9200.16540)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 37
"{32A3A4F4-B792-11D6-A78A-00B0D0160230}" = Java™ SE Development Kit 6 Update 23
"{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}" = Skype™ 6.1
"{AC76BA86-7AD7-1033-7B44-AB0000000001}" = Adobe Reader XI (11.0.02)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox = już odinstalowany)

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll

Uwaga dodatkowa: Gadu-Gadu 10. Program nie nadaje się do użytku: jest już stary, wiele zintegrowanych w nim serwisów nie działa, nie wspominając o straszym interfejsie i reklamach oraz obciążeniu systemu. Do wglądu temat: KLIK. Popatrz na opis GG11 (jest nieco lepsze) oraz alternatyw (zwłaszcza polecany WTW, Kadu, Miranda, AQQ).

 

@Picasso

Czy można się jakoś zabezpieczyć przed tym dziadostwem np. antywirus AVAST ?

 
1. Po pierwsze, aktualizacje oprogramowania, by zamknąć typowe luki (a najlepiej to w ogóle nie posiadać Java).

2. Po drugie, program z funkcją reakcji przed instalacją infekcji np. komercyjna wersja Malwarebytes Anti-Malware z czynną osłoną rezydentną. Darmowa nie, bo działa jako skaner na żądanie po fakcie. Cytuję z KLIK:
 

How would the full version of Malwarebytes Anti-Malware help protect me?

As you can see below the full version of Malwarebytes Anti-Malware would have protected you against the System Care Antivirus rogue. It would have warned you before the rogue could install itself, giving you a chance to stop it before it became too late.
 
http://static-cdn.malwarebytes.org/pub_images/SystemCare/protection1.png

full version of Malwarebytes Anti-Malware could have protected your computer against this threat.
We use different ways of protecting your computer(s):

Dynamically Blocks Malware Sites & Servers
Malware Execution Prevention

Save yourself the hassle and get protected.

 
Avast swoją drogą, MBAM działa inną techniką i nie jest to wymienne z takim tworem jak Avast. Avast i MBAM mogą być zainstalowane równolegle. Z FAQ: KLIK.
 
3. Po trzecie, możesz też zainteresować się zupełnie innym typem ochrony, czyli wirtualną piaskownicą typu SandBoxie. Program nie jest darmowy, aczkolwiek (choć to niezgodne z licencją) po 30 dniach dalej można korzystać, tylko zgłasza się uprzykrzający nag screen przypominający o zakupie.
 
 
.

[WILOS78]

Dziękuję jeszcze raz za pomoc