System Antivirus Care powoduje zawieszenie systemu

[Krzyzowa]

Witam

 

System Antivirus Care tworzy mi skróty na pulpicie i nie pozwala na włączenie jakiegokolwiek programu, cały system się wiesza, przy czym ten złośliwiec zasypuje mnie komunikatami o rzekomych trojanach. Comodo i ESET NOD32 nie zareagowały. Przed całkowitym zblokowaniem systemu próbowałam go usunąć z dysku lecz system znajduje go tylko na pulpicie.

 

Dopiero jak zalogowałam się w Win XP jako inny użytkownik, byłam w stanie uruchomić programy do logów. Kiedy loguję się normalnie to znowu wyskakuje ten program i wszystko blokuje.

 

Bardzo proszę o pomoc

 

Załączyłam logi OTL i GMER

Extras.Txt

OTL.Txt

GMER.txt

[picasso]

Dopiero jak zalogowałam się w Win XP jako inny użytkownik, byłam w stanie uruchomić programy do logów. Kiedy loguję się normalnie to znowu wyskakuje ten program i wszystko blokuje.

Logi zrobione z poziomu innego użytkownika nie pokazują wpisów zainfekowanego konta (czyli i wpisu uruchamiającego System Care). Wejdź w Tryb awaryjny Windows (w tym stadium fałszywy skaner się nie uruchamia), zaloguj się na zainfekowane konto i zrób nowe raporty OTL.

 

 

.

[Krzyzowa]

Próbowałam uruchomić w trybie awaryjnym, lecz pojawia się jedynie czarny ekran z migającym "_"

Jeszcze przed logami wysłanymi tutak jak starałam się wykonać  instrukcje stąd -> http://www.youtube.com/watch?v=iB_Nn6HJWuo podczas włączania trybu awaryjnego pojawiał się napis "Press ESC to cancel loading SPTD.sys" czy coś takiego i też po wyskakiwał chwili czarny ekran, jedyne co było to te migające "_". Teraz próbowałam włączyć tryb awaryjny po odinstalowaniu sptd i usunięciu jego wpisu z rejestru.

 

Dodaję logi z OTL, zrobiłam jeszcze drugie po podłączeniu komputera do internetu (jeśli to coś może pomóc). Uruchomiłam swój profil normalnie, nie wiem, czy wciśnięty klawisz Shift podczas uruchamiania zastopował System antivirus care, czy sam z siebie przestał się włączać. (?)

OTLdrugi.Txt

Extrasdrugi.Txt

OTLpo podlaczeniu internetu.Txt

[picasso]

Może rzeczywiście wpis startowy został usunięty, w nowych logach go nadal nie widzę. Ale jest folder infekcji i należy też doczyścić wpisy szczątkowe oraz podjąć inne działania.

 

1. Jest tu zainstalowany strasznie stary i scrackowany ESET. Odinstaluj ESET NOD32 Antivirus, NOD32 v3.0.642 FiX1.2 by TemDono, a przy okazji także przestarzały Spybot - Search & Destroy oraz zbędny McAfee Security Scan Plus.

 

2. Plik HOSTS jest silnie zmodyfikowany przez Spybot Search & Destroy, a to może mieć skutki uboczne (wolniejsza sieć / system). Zastosuj narzędzie Fix-it resetujące plik do postaci domyślnej: KLIK.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\135a3498fe3022564d1bebf59360bcd658fdd177
C:\Documents and Settings\All Users\Dane aplikacji\49B90DD5B1E13073000049B8C42437BD
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Temp
C:\Documents and Settings\karolina\Dane aplikacji\135a3498fe3022564d1bebf59360bcd658fdd177
C:\Documents and Settings\karolina\Dane aplikacji\OpenCandy
 
:OTL
O3 - HKU\S-1-5-21-606747145-764733703-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-606747145-764733703-1417001333-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-606747145-764733703-1417001333-1004\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O4 - HKU\S-1-5-21-606747145-764733703-1417001333-1004..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized File not found
O4 - HKU\S-1-5-21-606747145-764733703-1417001333-1004..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found
O4 - HKLM..\Run: [bDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Fas0xtm2b-)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\efavdrv.sys -- (efavdrv)
DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Krzyzowa]

Usunęłam wymienione pliki, użyłam fix it i wykonałam skrypt. Załączam to, co wyskoczyło po wykonaniu skryptu oraz skan z OTL. Co jeszcze należy zrobić? Rozumiem, że już lepiej nigdy więcej nie instalować Spybota? (internet i komputer rzeczywiście wolno działały)

07042013_154912 z OTL.txt

OTL.Txt

[picasso]

Wszystko zrobione. Zanim podam kroki końcowe ustosunkuję się do tego:

 

 

Rozumiem, że już lepiej nigdy więcej nie instalować Spybota? (internet i komputer rzeczywiście wolno działały)

1. Spybot to dziś program mało skuteczny i ma przestarzałą budowę, a zabezpieczanie za pomocą bardzo grubego pliku HOSTS to archaiczna metoda. Nie ma potrzeby go instalować. Jakiś nowoczesny antywirus (dowolny z popularnych) oraz skaner na żądanie Malwarebytes Anti-Malware (wersja darmowa) i OK.

 

2. Tu jest jeszcze jeden element, który może spowalniać system. Jest to rozszerzona wersja Microsoft Update:

 

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1236464902750 (MUCatalogWebControl Class)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1236464494140 (MUWebControl Class)

 

Wykonaj kroki z tego posta: KLIK. Po wszystkim zresetuj system i potwierdź mi, że Windows nie spowalnia w zauważalny sposób.

 

 

 

.

[Krzyzowa]

Tak!   System śmiga jak ta lala, już nie ma uciążliwego długotrwałego czekania aż łaskawie będzie można zacząć pracę.

Stokrotne dzięki, jesteś wielka! Myślałam, że te spowolnienia to przez COMODO albo namnożenie się plików w tempie czy po prostu komputer już nie wydala a tu proszę.

[picasso]

Kończymy:

 

1. Przez SHIFT+DEL dokasuj ten folder:

 

C:\Documents and Settings\All Users\Dane aplikacji\ESET

 

2. Usuń narzędzia: odinstaluj USBFix, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Odinstaluj wszystkie stare wersje Adobe / Java / Silverlight i zastąp najnowszymi (o ile potrzebne) oraz zaktualizuj wszystkie przeglądarki: KLIK. Wg raportu posiadasz wersje:

 

Internet Explorer (Version = 7.0.5730.13)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)

"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)

"Opera 11.00.1156" = Opera 11.00

"Opera 11.64.1403" = Opera 11.64
 

========== HKEY_USERS Uninstall List ==========
 

[HKEY_USERS\S-1-5-21-606747145-764733703-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome 26.0.1410.64
 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

 

 

.