Ściągnięcie niebezpiecznego programu

[madziola]

Dzień dobry!

 

Bardzo proszę o pomoc w sprawdzeniu, czy program który wczoraj zaintstałam  w przypływie obłędu nie wyrządził poważnych szkód na moim komputerze.

Potrzebowałam książki "Milczenie owiec" w wersji elektronicznej, a powiedziano mi, że można ją znaleźć w Internecie za darmo. Wpisałam więc w wyszukiwarce "milczenie owiec ebook" i pierwszy link w wyszukiwarce wyglądał tak:

 

hxxp://ebook4all.pl/tags/Harris+Thomas+-+Milczenie+owiec/

 

I faktycznie pojawiła się informacja, że plik jest za darmo. Pojawiła się też zakładka POBIERZ. Kilnęłam i dalej pojawiły się te linki kolejno.

 

hxxp://filefolder.pl/finish_free/

hxxp://filefolder.pl/download/Harris%2...20Milczenie%20owiec%20[Ebook%20PL]

hxxp://torpedo.com.pl/TorpedoSetup-exe

 

 

Wpisałam numer telefonu, a potem kod, który miał mi pozwolić na ściągnięcie tego ebooka. (już zablokowałam uruchomioną bezmyślnie opcję u operatora, ale zdążyli mnie naciągnąć, na szczęście na małą kwotę). Po wpisaniu kodu na stronie pojawiła się informacja, że trzeba zainstalować program. Zrobiłam to. Oprzytomniałam, gdy zainstalowany program zarządał kolejnej rejstracji. Nie zrobiłam tego. Usunęłam program (nazywa się Torpedo), ale proszę o pomoc w sprawdzeniu (i ewentualnym usunięciu) szkód, które mogły się już wydarzyć.

 

Serdecznie pozdrawiam!

Madziola

[picasso]

Proszę dostosuj się do zasad działu, przecież nie zostały dostarczone obowiązkowe raporty. Przedstaw logi z FRST.

[madziola]

Przepraszam,

właśnie przygotowałam wszystkie niezbędne logi, które dodaję w załączniku.

Zrobiłam analizę FRST i GMER, ale GMER dwa razy przewrócił system, dopiero za trzecim razem przeprowadził skanowanie do końca.

Bardzo proszę o analizę tych logów i z góry ogromnie dziękuję za pomoc.

Dodam tylko, że jestem kompletnym komputerowym analfabetą, więc proszę też o wyrozumiałość i instrukcję jak dla nowicjusza.

 

Pozdrawiam!

 

 

Addition.txt

FRST.txt

log gmer.txt

Shortcut.txt

[picasso]

Nie wszystko jest w porządku. W systemie nadal jest adware, więc należy to doczyścić. Przeprowadź następujące działania:

 

1. Na początek deinstalacje:

- Przez Panel sterowania odinstaluj starą niebezpieczną Java 6 Update 22.

- Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 MaintainerSvc4.07.4104264; C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be\maintainer.exe [123680 2014-11-11] ()
R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys [52928 2014-06-19] (StdLib)
R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys [52928 2014-06-23] (StdLib)
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
AppInit_DLLs: c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll => c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll File Not Found
Task: {2AC9DCD1-04DF-4B6F-87C8-F038D8DEB958} - System32\Tasks\{8E2AD033-553E-4C15-9C68-F860947658DB} => Firefox.exe http://ui.skype.com/ui/0/6.0.0.126/pl/abandoninstall?page=tsProgressBar
Task: {F34BC672-FA10-40E4-8260-B9C908A9203B} - System32\Tasks\{86976A0B-9403-4687-8BB6-E512C68DF19F} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/go/help.faq.installer?LastError=1604
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140620
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
BHO: Jump Flip -> {b630c560-975d-41a3-9a95-cbc23ad991e4} -> C:\Program Files\Jump Flip\JumpFlipBHO.dll (Jump Flip)
Toolbar: HKLM - No Name - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - No File
FF Plugin: @VideoDownloadConverter_4z.com/Plugin -> C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll No File
FF Plugin: @VideoDownloadConverter_ScriptHelper.com/Plugin -> C:\Program Files\VideoDownloadConverter\npVDCPlugin.dll No File
FF HKLM\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files\RelevantKnowledge\firefox
C:\Program Files\Greener Web
C:\Program Files\Jump Flip
C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be
C:\Users\madziola\AppData\Local\Google\Chrome
C:\Users\madziola\AppData\Local\Torpedo
C:\Users\madziola\Downloads\*_Sciagnij.pl.exe
C:\Users\madziola\Downloads\TorpedoSetup.exe
C:\Users\madziola\Downloads\Torpedo
C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys
C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: for /d %f in (C:\Users\madziola\AppData\Local\{*}) do rd /s /q "%f"
CMD: dir /a "C:\Program Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\madziola\AppData\Local
CMD: dir /a C:\Users\madziola\AppData\LocalLow
CMD: dir /a C:\Users\madziola\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus i Ghostery) trzeba będzie potem przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

[madziola]

Serdeczne dzięki! Biorę się do roboty!

 

Wykonałam wszystkie polecenia. Dołączam wskazane logi. I jeszcze raz proszę o ich analizę.

 

P.S. Dziękuję też za uwzględnienie prośby o instrukcji napisanej jak dla ofermy.

 

Pozdrawiam,

madziola

 

 

FRST.txt

Fixlog.txt

[picasso]

madziola, źle wkleiłaś do Notatnika treść z posta, przekleiłaś również tagi formatujące forum, dlatego pierwsza komenda zabijania procesów si nie wykonała, ale rszta się upiekła i została przetworzona. I jeszcze drobne poprawki:

 

1. Otwórz Notatnik i wklwj w nim:

 

BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
C:\Program Files\Mobogenie
C:\Program Files\Temp
C:\Program Files\VideoDownloadConverter
C:\ProgramData\Malwarebytes
C:\ProgramData\McAfee
C:\ProgramData\Sun
C:\Users\madziola\AppData\Local\genienext
C:\Users\madziola\AppData\Local\Mobogenie
C:\Users\madziola\AppData\Local\Pay-By-Ads
C:\Users\madziola\AppData\LocalLow\Sun
C:\Users\madziola\AppData\Roaming\Malwarebytes
C:\Users\madziola\AppData\Roaming\newnext.me

 

W Notatniku ma być wklejone tylko to co widać na szarym tle. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz logi z folderu C:\AdwCleaner.

 

 

[madziola]

Mam nadzieję, że tym razem zrobiłam to jak trzeba. Wydawało mi się, że za pierwszym razem też zaznaczyłam tylko to, co na szarym tle...

 

Załączam kolejne logi.

 

Czy w związku z poprzednim błędem powinnam coś powtórzyć?

 

Dziękuję!

 

 

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

[picasso]

Nie, nic nie powtarzaj, ja już wszystko uwzględniłam. I kolejne poprawki. Otwórz Notatnik i wklej w nim:

 

Reg: reg load HKLM\Temp C:\FRST\Hives\SOFTWARE
Reg: reg query HKLM\Temp\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s
Reg: reg unload HKLM\Temp
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

W Notatniku ma być wklejone tylko to co widać na szarym tle. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

[madziola]

Zrobione!

 

Fixlog.txt

[picasso]

Już prawie kończymy. Ostatnia poprawka. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /f
Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 6EF366F60DE3FBA418C64447F4A7ACAB /t REG_SZ /d C?\Windows\system32\msvcr71.dll /f
Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 81DFCA9778DAB084880EFC47DDB9AB36 /t REG_SZ /d C?\Windows\system32\msvcr71.dll /f
Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v BE08307221881E2428983507D08B042D /t REG_SZ /d C?\Windows\system32\msvcr71.dll /f
Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

[madziola]

A zatem kolejne wyniki.

 

Fixlog.txt

[picasso]

Zrobione. Kończymy. Ręcznie usuń folder C:\temp skąd uruchamiany był FRST, następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

[madziola]

Wykonałam ostatnie zadanie.

 

To już wszystko? Komputer posprzątany i mogę już spokojnie wejść na przykład na swoje konto w banku?

 

Bardzo serdecznie dziękuję. Bardzo!

 

madziola

 

 

P.S. Taki komunikat otrzymałam po zastosowaniu delfix. Usunąć go?

 

# DelFix v10.8 - Logfile created 13/11/2014 at 15:30:45
# Updated 29/07/2014 by Xplode
# Username : madziola - MADZIOLA-VAIO
# Operating System : Windows 7 Home Premium Service Pack 1 (32 bits)

~ Removing disinfection tools ...

Deleted : C:\FRST
Deleted : C:\Users\madziola\Desktop\OTL.exe
Deleted : C:\Users\madziola\Downloads\esetsmartinstaller_plk.exe
Deleted : HKLM\SOFTWARE\OldTimer Tools
Deleted : HKLM\SOFTWARE\AdwCleaner

########## - EOF - ##########

 

[picasso]

DelFix wykonał zadanie, możesz skasować plik C:\DelFix.txt. Tak, sądzę że możesz logować się do banku. Tu resztą nie było w systemie trojanów tylko adware reklamodawcze.

[madziola]

Jeszcze raz bardzo dziękuję za pomoc i serdecznie pozdrawiam!

 

madziola