Złośliwa Java i możliwe inne problemy

[igor1]

Komputer z systemem Windows Vista 32 bit.

Mam problem z pojawianiem się "złośliwej Jawy", komunikatu "twoja wersja programu Java jest przestarzała i może powodować problemy" i okna z opcją przekierowania do jakiejś strony gdzie można pobrać jakieś bliżej nieznane programy. Tego okna nie da się zamknąć, trzeba przejśc do innej strony, gdzie za chwilę też pojawia się to okno. To jest komputer mojej żony, służy jej do pracy. Zacząłem go skanować programami anti-malware (spy hunter, malwarebytes) i okazało się, że jest całkiem dużo śmieci. Komputer działa wolno, zamula się.

Czy moglibyście mi pomóc w oczyszczeniu komputera i wygenerować odpowiedni skrypt do FRST, ewentualnie zasugerować inne kroki.

Miałem problem ze skanowaniem programem GMER, ciągle się wywalał z błędem stop, w końcu raz poszedł w trybie awaryjnym.

Załączam logi. Tutaj wklejam Security Check:

 

 Results of screen317's Security Check version 0.99.89  

 Windows Vista Service Pack 1 x86 (UAC is enabled)  

 Out of date service pack!!

 

 

 Internet Explorer 8 Out of date!

 Internet Explorer 8  

``````````````Antivirus/Firewall Check:``````````````

Microsoft Security Essentials   

 Antivirus up to date!  

`````````Anti-malware/Other Utilities Check:`````````

 CCleaner     

 Adobe Flash Player     15.0.0.189  

 Mozilla Firefox (33.0.3)

 Mozilla Thunderbird (2.0.0 Thunderbird out of Date!  

 Google Chrome 38.0.2125.104  

 Google Chrome 38.0.2125.111  

 Google Chrome update.dll..  

````````Process Check: objlist.exe by Laurent````````  

 Microsoft Security Essentials MSMpEng.exe

 Microsoft Security Essentials msseces.exe

 Malwarebytes Anti-Malware mbamservice.exe  

 Malwarebytes Anti-Malware mbam.exe  

 Malwarebytes Anti-Malware mbamscheduler.exe   

`````````````````System Health check`````````````````

 Total Fragmentation on Drive C:  %

````````````````````End of Log``````````````````````

gmer.txt

FRST.txt

Addition.txt

Shortcut.txt

OTL.Txt

Extras.Txt

[picasso]

Na początek o używanych programach:

- SpyHunter to niepożądany wątpliwy program, który stosuje naciski reklamodawcze, by go zainstalować, po czym się okazuje, że nici z usuwania bez opłat. Z daleka od niego.

- AdwCleaner nie został pobrany ze strony domowej tylko z pokątnego serwisu - skutki to pobranie wycofanej z użytku wersji z bugami: adwcleaner_4.002_www.INSTALKI.pl.exe. Proszę nie pobieraj takich programów z portali, które nie mają pozwolenia na hosting i nie nadążają za aktualizacjami. AdwCleaner ma swoją stronę domową gdzie zawsze jest najnowsza wersja, link w przyklejonym: KLIK.

 

 

W Firefox jest adware easytoshop, ponadto przeglądarka Google Chrome została przekonwertowana przez adware do typu "development". W systemie są też inne śmieci. Przeprowadź następujące działania:

 

1. Przez Panel sterowania odinstaluj AVG Security Toolbar, Google Chrome, Winamp Toolbar. Usuwanie AVG Security Toolbar może zwrócić błąd, niestety wygląda na to, że była tu zła kolejność (najpierw AdwCleaneer zamiast poprawnej deinstalacji). Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, a resztę dokasuje punkt 2.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Task: {14D2B892-88B0-4AB2-9548-6FFE26E4EB81} - System32\Tasks\{DC3DBF1C-8AE9-47B3-BBF2-41161E14A24D} => C:\Program Files\Skype\Phone\Skype.exe
Task: {1BF5E031-4433-4672-B35F-17FA0E9D9915} - \1c4a65ae-d51e-4630-92af-803b13515a45-1 No Task File 
Task: {27A30AB0-53FE-452B-9CB0-E8018E93B82D} - \globalUpdateUpdateTaskMachineUA No Task File 
Task: {3E770B73-6CC7-4549-ADD2-3D8BD205F401} - \1c4a65ae-d51e-4630-92af-803b13515a45-4 No Task File 
Task: {502924F9-EA64-4348-BA63-781CEEBF3E0A} - \1c4a65ae-d51e-4630-92af-803b13515a45-2 No Task File 
Task: {5F21142F-7ECC-42FB-82E0-8E894346CCFC} - System32\Tasks\Registration Trigger IBM Lotus Symphony Task => C:\Program Files\IBM\Lotus\Symphony\framework\rcp\rcplauncher.exe
Task: {6AF669B9-0E78-4F73-AE1B-D6F028EE8EDB} - \1c4a65ae-d51e-4630-92af-803b13515a45-5_user No Task File 
Task: {6BAD32B9-A9F9-4187-815A-5791F926BCBA} - \1c4a65ae-d51e-4630-92af-803b13515a45-7 No Task File 
Task: {89A25111-7886-4259-BE6F-8D3E7405B218} - \1c4a65ae-d51e-4630-92af-803b13515a45-6 No Task File 
Task: {A74D61EC-82DB-400F-9313-C77F5125C511} - \globalUpdateUpdateTaskMachineCore No Task File 
Task: {C8BC0BCE-5515-4555-9365-C8B7C25E02DC} - \1c4a65ae-d51e-4630-92af-803b13515a45-11 No Task File 
Task: {FBE663AB-601A-478E-8E5F-88108CBCA15C} - \1c4a65ae-d51e-4630-92af-803b13515a45-5 No Task File 
S2 Update EnterDigital; "C:\Program Files\EnterDigital\updateEnterDigital.exe" [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S1 MpKsl4f5e237f; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E8AECBA2-57A7-4ACF-908E-D0E25DA5E810}\MpKsl4f5e237f.sys [X]
HKU\S-1-5-21-1579964985-3426180906-2269987189-1000\Software\Classes\.exe: exefile => 
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141107
URLSearchHook: HKCU - (No Name) - {c2db4fe6-8409-45ce-8010-189a7b5cce86} - No File
SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://isearch.avg.com/search?cid={7B39E381-AF5D-4251-9093-EDED203DC7C1}&mid=547ed8b60b5e47d09317d1569676c6ce-cd057674818d3d359bd7fb4b61be906e948a228e&lang=pl&ds=xn011&pr=sa&d=2012-10-13 19:29:17&v=13.0.0.7&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
Toolbar: HKCU - No Name - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No File
Toolbar: HKCU - No Name - {C2DB4FE6-8409-45CE-8010-189A7B5CCE86} - No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\13.0.0.7
C:\Program Files\dealpeak
C:\Program Files\Enigma Software Group
C:\Program Files\globalUpdate
C:\Program Files\Google
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\Program Files\MyFree Codec
C:\Program Files\Yawtix
C:\ProgramData\af605e765fe8a99d
C:\ProgramData\dfed7653-07f4-44f2-abaa-a70c946c17c3
C:\ProgramData\AVG Secure Search
C:\Users\BB1\AppData\Local\Google
C:\Users\BB1\AppData\Roaming\systweak
C:\Users\BB1\Desktop\Continue Firefox installation.lnk
C:\Users\BB1\Desktop\Continue XviD installation.lnk
C:\Users\BB1\Downloads\SpyHunter-installer.exe
C:\Windows\455F074C814E4520B69B5584BD90400C.TMP
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\BB1\AppData\Local
CMD: dir /a C:\Users\BB1\AppData\LocalLow
CMD: dir /a C:\Users\BB1\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ae używane rozszerzenie trzea będzie przeinstalować (Adblock Plus, FEBE, LastPass).

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner.

 

 

 

.

[igor1]

Jesteś Boska. Tempo w jakim działasz powala. Jak tylko skończę gmeranie (GMER to adekwatne nazwa programu) w tym komputerze, wyślę Wam jakąś dotację.

Co do Twojego posta:

1. Przeprowadziłem wszystkie kroki. W załączeniu logi z FRST i AdwCleaner wykonane po tych wszystkich operacjach. W AdwCleaner nie uruchamiałem opcji czyszczenia - nie dostałem takiego polecenia, tylko fix w FRST według Twojego skryptu.

2. Nie instalowałem jeszcze utraconych add-ons do Firefoxa - jak je najlepiej zainstalować? Pobrać ze strony add-ons Mozilli czy jak? Dotąd tego nie robłem - prawdopodobnie od razu instalowałem Firefoxa z dodatkami (tu i tak odinstalowałem go i zainstalowałem ponownie przedwczoraj, jeszcze przed kontaktem z Tobą)

 

W komputerze zainstalowałem żonie MBAM, ma ona także zaporę Windows. Kiedyś miała Comodo i szwagier jej odinstalował, bo ciągle o coś pytał i szwagrowi to przeszkadzało. Może powinienem jej zainstalować jakiś antywirus i zaporę - Comodo, AVG czy coś jeszcze, Nie jestem fachowcem, ale wolałbym żeby komputer jej działał bez moich częstych ingerencji - mam niewiele wolnego czasu, a ona nie potrafi nic zrobić. Nawet dysk muszę jej od czasu do czasu czyścić ze zbędnych plików.

A, co do GMER-a któy mi się wywalał - jestem leniwy i zastosowałem wyjście z defoggerem do unieczynnienia ewentualnych wirtualnych napędów. Odznaczyłem też wszzystkie progarmy w autostarcie. Ku mojemu zdziwieniu nadal się wywalał i poszedł dopiero w trybie awaryjnym. Ale kiedy go uruchamiałem normalnie, tajemnica się wyjaśniła. Na dole po prawej pojawiał się dymek, że są pliki oczekujące na zapisanie na CD-RW. Klikałem i poijawiały się te pliki, mimo, że napęd CD-RW był wyłączony. Okazało się, że program CD-Burner utworzył sobie folder emulujący ten napęd i jak się wchodziło w ikonę napędu, pokazywał te pliki. Teraz GMER poszedł bez problemu, ale log nie rózni się od tego, który dostałem w trybie awaryjnym. CD-Burnera na razie odinstalowałem, bo i tak napęd żonie padł, pliki dałem do kosza, więc odzyskała sporo miejsca na swoich zapchanych dyskach.

Sprawdź jeszcze, proszę czy wszystko jest OK - ewentualnie co jeszcze powinienem zrobić.

serdecznie pozdrawiam

Igor

AdwCleanerR3.txt

FRST.txt

[picasso]

Brakuje pliku fixlog.txt, który powstał podczas wykonywania skryptu FRST. Proszę uzupełnij.

 

 

2. Nie instalowałem jeszcze utraconych add-ons do Firefoxa - jak je najlepiej zainstalować? Pobrać ze strony add-ons Mozilli czy jak? Dotąd tego nie robłem - prawdopodobnie od razu instalowałem Firefoxa z dodatkami (tu i tak odinstalowałem go i zainstalowałem ponownie przedwczoraj, jeszcze przed kontaktem z Tobą)

Z oficjalnej strony Mozilla Add-ons: Adblock Plus, FEBE, LastPass.

 

 

 

.

[igor1]

Przepraszam - zapomniałem

Fixlog.txt

[picasso]

Wszystko wykonane i już kończymy:

 

1. Otwórz Notatnik i wklej w nim:

 

S1 MpKsl1a3e1540; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl1a3e1540.sys [X]
S1 MpKsl77fb44f3; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl77fb44f3.sys [X]
S1 MpKsl8075f527; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl8075f527.sys [X]
S1 MpKsl91df9533; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl91df9533.sys [X]
S1 MpKsla4caadeb; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsla4caadeb.sys [X]
S3 StarOpen; No ImagePath
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Users\BB1\Desktop\Stare dane programu Firefox
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Dopiero po jego przedstawieniu:

 

2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

3. Cały system do aktualizacji: KLIK. Stan obecny:

 

Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polski (Polska)

Internet Explorer Version 8

 

I podsuń do czytania materiał czego unikać, na co uważać: KLIK.

 

 

 

.

[igor1]

Witaj,

 

Dziękuję Ci bardzo. Zastosowałem otrzymany skrypt - fixlog w załączeniu. Czekam na odpowiedź przed krokami 2 i 3

 

Igor

Fixlog_15-11-2014_20-24-07.txt

[picasso]

Fix wykonany, możesz przejść dalej.

[igor1]

Witaj,

 

Delfix wykonałem, log w załączeniu. Zaktualizowałem Vistę do Service Pack 2 i IE do wersji 9. Myślę, że to już wszystko do zamknięcia tematu. W dziale dotacji pytałem o konto  - czy podane tam konto jest właściwe? Chciałbym Cię jakoś wesprzeć. Co do czytania o zagrożeniach - to w tym przypadku nic nie da. Powiedziałem tylko, żeby w mojej nieobecności nie klikać byle gdzie - ale czy będę wysłuchany? Czy warto zainstalować jeszcze jakieś narzędzia chroniące komputer w przypadku całkowicie nieświadomego (i niechętnego do słuchania ostrzeżeń) użytkownika jak moja żona?

 

serdeczne pozdrowienia

Igor

DelFix.txt

[picasso]

Potwierdzam wykonanie DelFix, skasuj z dysku log C:\DelFix.txt.

 

 

Co do czytania o zagrożeniach - to w tym przypadku nic nie da. Powiedziałem tylko, żeby w mojej nieobecności nie klikać byle gdzie - ale czy będę wysłuchany? Czy warto zainstalować jeszcze jakieś narzędzia chroniące komputer w przypadku całkowicie nieświadomego (i niechętnego do słuchania ostrzeżeń) użytkownika jak moja żona?

Cytuję z mojego artykułu:

 

Kroki ograniczające nabycie niepożądanych dodatków

 

(...) można posiłkować się dodatkowym programem do automatycznego "odznaczania" pół instalacji adware, lecz program nie zastąpi myślenia użytkownika:

 

Unchecky

 

 

.