Hold page - problem z usunięciem

[arfi]

Witam.

Mam problem jak w temacie. Zaczęło się od tego, że nie mogłem zapisać nic na dysku. Wyskakuje komunikat 'nazwa pliku jest nieprawidłowa' lub jeśli próbuję ją zmienić 'brak dalszych plików'. Udaje się jedynie jeśli nadpisuję na już istniejącym pliku z danym rozszerzeniem. Usunąłem comodo i wszystko się poprawiło. Jednak ponownie je ściągnąłęm z dobrychprogramów i zaczął się mój problem z reklamami. Wyskakują na każdej otwieranej stronie. Ściągnąłem do przeskanowania kolejno: yac, potem Malwarebytes anti-Malware. Mimo znalezienia i usunięcia jakichś adsów nic się nie zmienia. Proszę o pomoc.

Loga z gmera nie przesyłam, gdyż nie mogę go zapisać z rozszerzeniem .txt. Doślę go zaraz po deinstalacji comodo. Chyba, że nie będę go mógł zapisać poprawnie. Zapisałem go z .odt, ale brak uprawnień do wysyłki tego typu plików. Ten problem też chciałbym rozwiązać bez rozstawania się z comodo na stałe.

Pozdrawiam, ac.

 

Edycja: Po odinstalowaniu comodo zapisanie loga gmer jako .txt nie było problemem.

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

gmer.txt

[picasso]

Brakuje trzeciego pliku FRST Shortcut.

 

Ściągnąłem do przeskanowania kolejno: yac, potem Malwarebytes anti-Malware. Mimo znalezienia i usunięcia jakichś adsów nic się nie zmienia.

YAC to podejrzany program, od którego należy trzymać się z daleka. Przeczytaj moją wypowiedź tutaj: KLIK.

 

 

Na czas wszystkich operacji wyłącz COMODO, gdyż może zablokować akcje (z pewnością nie pozwoli przetworzyć w całości skryptu FRST):

 

1. Przez Panel sterowania odinstaluj:

- Adware i wątpliwy skaner: LiveVDO, VshareComplete, RegClean Pro, YAC(Yet Another Cleaner!).

- Stare dziurawe wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.12) - Polish, Gadu-Gadu 10, Java 7 Update 25, OpenOffice.org 3.2 (ten ostatni nie umie korzystać z najnowszych Java i wymagana instalacja najnowszej wersji pakietu 4.x) oraz zbędnik COMODO GeekBuddy.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141223
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141223
HKU\S-1-5-21-3948689686-701338284-1942790856-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141223
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ${SEARCH_URL}{searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ${SEARCH_URL}{searchTerms}
SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?src=sp&aff=51&cf=2b2a1120-1f77-11e1-92ca-e0cb4e49e9d8&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> {6424EBC6-FF28-456C-B234-4F3B05A9C433} URL = http://startsear.ch/?aff=1&src=sp&cf=2b2a1120-1f77-11e1-92ca-e0cb4e49e9d8&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
BHO-x32: No Name -> {cbfb5c65-652c-3e10-9d9a-e586816d9342} -> No File
Toolbar: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Task: {669DCF2F-E074-4F10-B12E-2BA69EC45636} - \RegClean Pro No Task File 
Task: {BE6F370A-2822-4692-BA44-3246E748166C} - System32\Tasks\{05F53984-5AC4-42FD-BFF9-4BF874278055} => pcalua.exe -a "C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe"
HKU\S-1-5-21-3948689686-701338284-1942790856-1000\Software\Classes\.exe: => 
S3 ALSysIO; \??\C:\Users\user\AppData\Local\Temp\ALSysIO64.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
C:\Program Files (x86)\Elex-tech
C:\Program Files (x86)\LiveVDO plugin
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Users\user\AppData\Roaming\eCyber
C:\Users\user\AppData\Roaming\Elex-tech
C:\Users\user\Downloads\yet_another_cleaner_bbs.exe
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f
Reg: reg delete "HKLM\SOFTWARE\mozilla\Mozilla Firefox 3.6.8" /f
Reg: reg delete "HKLM\SOFTWARE\mozilla\Mozilla Firefox 18.0" /f
Reg: reg delete "HKLM\SOFTWARE\mozilla\Mozilla Firefox 33.0.1" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie Adblock Plus trzeba będzie przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt.

[arfi]

Witam.

Dzięki wielkie. Załączam wymagane logi.

FRST.txt

Shortcut.txt

Fixlog.txt

[picasso]

Poprawki, punkty 2+3 przy wyłączonym COMODO:

 

1. Nadal widzę zbędnik GeekBuddy od COMODO. Czy program był deinstalowany?

 

2. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla\Mozilla Firefox 3.6.8" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla\Mozilla Firefox 18.0" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla\Mozilla Firefox 33.0.1" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {FD2235AE-D34F-4CD2-B393-D763A569ACA3} /f
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\user\Downloads\FRST-OlderVersion

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

3. Uruchom AdwCleaner. Wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner.

[arfi]

Comodo mam odinstalowane.

GeekBuddy musiałem przeoczyć, już usunąłem.

 

Mam jeszcze pozostałości po ESET Nod32, których mimo dezinstalacji nie umiałem usunąć (wyświetla się komunikat o konieczności odnowienia licencji - trochę denerwujące)

 

Załączam logi.

Pozdrawiam.

AdwCleanerR0.txt

Fixlog.txt

[picasso]

1. Wyniki AdwCleaner: wszystkie wyniki z rejestru to fałszywe alarmy na obiektach Skype Click To Call (u Ciebie pod nazwą Skype Toolbars), folder C:\Program Files\AdTrustMedia to też fałszywy alarm (folder COMODO), ale w tym przypadku i tak będzie usuwany, gdyż COMODO się pozbyłeś. Nic nie usuwaj za pomocą AdwCleaner. Po prostu ręcznie skasuj te obiekty:

 

C:\Program Files\AdTrustMedia

C:\Windows\System32\log\iSafeKrnlCall.log

 

2. Jeśli chodzi o odpadki ESET, to zastosuj narzędzie ESET Uninstaller . Narzędzie musi być uruchomione z poziomu Trybu awaryjnego Windows.

[arfi]

Witam.

Zrobione.

Czy ponownie skanować? Czy też instalować usunięte wcześniej składniki? Instalować COMODO lub inny av?

Pozdrawiam.

[picasso]

Jeśli chodzi o czyszczenie systemu z adware, to już skończyliśmy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

Jeśli chodzi o przywrócenie programów zabezpieczających, to nie widzę przeszkód by przejść do tego etapu.

[arfi]

Witaj.

Zrobiłem chyba wszystko. I mam nadzieję poprawnie. Comodo już nic nie blokuje. Doinstalował się znowu GeekBuddy, ale wywaliłem.

Okazało się, że mam w domu jeszcze jednego zainfekowanego lapka, ale to już w osobnym wątku.

Dzięki wielkie i pozdrawiam.

DelFix.txt

[picasso]

Delfix wykonał zadanie. Skasuj plik raportu C:\Delfix.txt.

 

Temat rozwiązany. Zamykam.

[arfi]

Witam ponownie.

Dzięki pomocy picasso udało mi się wyczyścić lapka. Nie wiem jednak, czy to jakiś błąd podczas czynności kończących czy też ponowna instalacja CIS spowodowała nawrót jednego z problemów. Otóż przy próbie zapisu jakiegokolwiek pliku (przykładowo z maila z rozszerzeniem .doc, .docx, .pdf, ale pewnie z każdym innym) kończy się komunikatem 'nazwa pliku jest nieprawidłowa'. Nie próbowałem jeszcze odinstalować Comodo, gdyż nie wiem czy to on jest przyczyną. Ponownie proszę o pomoc.

Pozdrawiam, arfi.

Gmer doślę po deinstalacji CIS

Shortcut.txt

FRST.txt

Addition.txt

OTL.Txt

Extras.Txt

[picasso]

Tematy łączę razem. W raportach nic nie ma nowego / szkodliwego. COMODO jest jak najbardziej podejrzany.

[arfi]

Witam.

Odinstalowanie Comodo pomogło. Dla porządku dołączam log gmera.

Jeśli w innym komputerze znajdę instalkę wcześniejszej, działającej u mnie wersji Comodo, to czy mogę ją bezpiecznie pobrać i zainstalować? Czy też odpuścić sobie Comodo i wrzucić coś innego. Jeśli tak, to co? A może zupełnie odpuścić AV i dbać o czystość komputera w inny sposób.

Pozdrawiam, arfi.

gmer.txt