Usunięty program Antivirus Security Pro - zapewne niezbyt udanie

[zielonywtemacie]

Dobry wieczór,

jestem osobą bardzo mizernie zorientowaną w temacie wirusów i całego bałaganu plączącego się w sieci. W dniu dzisiejszym przyplątał mi się tytułowy antywirus "zjadając" kilka godzin aktywności, którą można było poświęcić na sen. 

Jako że wszelkie znane mi sposoby aktywowania zalecanego oprogramowania nie działały sięgnąłem po broń w postaci Combofixa.
Zdaje sobie sprawę, że nie wiem zapewne co zrobiłem jednak już jestem po.

 

Niemniej chciałbym uniknąć takich sytuacji w przyszłości stąd moja wiadomość.

Pozwalam sobie dołączyć pliki z "logami" - mam nadzieję, że wg wskazań. Mam nadzieję, że znajdę tu pomoc.

 

Z góry i z dołu dziękuję.

 

 

log_combofix.txt

OTL.Txt

Extras.Txt

[picasso]

Wg danych ComboFix tu nie tylko "Antivirus Security Pro" rezydował, ale także rootkit ZeroAccess. Nie wszystko zostało usunięte. I proszę o zrealizowanie zasad działu, obowiązkowe raporty tutaj to także z narzędzia FRST. Dostarcz je.

 

 

.

[zielonywtemacie]

Dziękuję za szybką reakcję. Dołączyłem wskazane wyniki skanowania.

Addition.txt

FRST.txt

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

C:\Users\admin\AppData\Roaming\settings.ini
C:\Users\admin\AppData\Roaming\i.ini
C:\Users\admin\Desktop\Antivirus Security Pro support.url
C:\Users\admin\Desktop\Antivirus Security Pro.lnk
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Security Pro
BHO: Savensharee - {670BA3DF-57B2-1B12-10E5-BBCB35590E6B} - C:\ProgramData\Savensharee\9asrfx.dll ()
BootExecute: autocheck autochk /p \??\I:autocheck autochk *
R3 catchme; \??\C:\ComboFix\catchme.sys [x]
U3 mbr; \??\C:\Users\admin\AppData\Local\Temp\mbr.sys [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Savensharee.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[zielonywtemacie]

Wszystkie operacje wykonane wg zaleceń. W załączeniu pliki

FRST.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

[picasso]

Wszystko zrobione. Kolejne kroki:

 

1. Drobna poprawka. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - DefaultScope value is missing.
2013-09-17 16:59 - 2013-09-17 16:59 - 00000000 ____D C:\ProgramData\SummerSoft
2013-09-17 16:58 - 2013-09-17 17:00 - 00000000 ____D C:\ProgramData\InstallMate
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. A po tym:

 

2. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio uruchamiany ze ścieżki h:\wirusy\ComboFix.exe. Pobierz go ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\admin\Desktop\ComboFix.exe /uninstall

 

3. Usuń pozostałe narzędzia. Przez SHIFT+DEL skasuj foldery:

 

C:\FRST

C:\Windows\erdnt

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

4. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[zielonywtemacie]

w załączeniu Fixlog i raport z oprogramowani RegCleanPro - ilości błędów są zatrważające jak mniemam

Fixlog.txt

raport RegCleanPro.txt

[picasso]

Skrypt wykonany poprawnie, ale:

 

w załączeniu raport z oprogramowani RegCleanPro - ilości błędów są zatrważające jak mniemam

Pobrałeś zły i wątpliwy program! RegCleanPro to pewnie była zwodnicza reklama na stronie. Usuń go czym prędzej z systemu. Miałeś pobrać program Malwarebytes Anti-Malware i nim wykonać skan.

 

 

 

.

[zielonywtemacie]

mam nadzieję, że teraz użyłem poprawnego oprogramowania. Log w załączeniu - wykryto 3 obiekty.

MBAM-log-2013-10-04 (10-03-29).txt

[picasso]

1. MBAM wykrył dwa obiekty tego RegCleanPro (wynik w Koszu systemowym + roboot.exe) oraz podejrzany plik rzekomo AVI (prawdziwe rozszerzenie to EXE). Wszystko usuń za pomocą programu.

 

2. Po usunięciu wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj cały system (instalacja SP2 + IE9 + wszyskich innych łat). Usuń starsze produkty Adobe i Java na korzyść najnowszych, zaktualizuj Thunderbird i OpenOffice.org. Szczegóły aktualizacyjne: KLIK. Wg raportu posiadasz następujące wersje: KLIK.

 

Microsoft® Windows Vista™ Business Service Pack 1 (X86) OS Language: Polish

Internet Explorer Version 8
 

==================== Installed Programs ======================
 

Adobe Acrobat 9 Pro - English, Français, Deutsch (Version: 9.0.0)

Adobe Flash Player 11 ActiveX (Version: 11.1.102.55) ----> wtyczka dla IE

Adobe Reader X (10.1.1) (Version: 10.1.1)

Java™ 6 Update 22 (Version: 6.0.220)

Mozilla Thunderbird 17.0.8 (x86 pl) (Version: 17.0.8)

OpenOffice.org 3.3 (Version: 3.3.9567)

 

 

 

.

[zielonywtemacie]

Dziękuję - po wykonaniu tych operacji pozwolę sobie jeszcze napisać