SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Wolny komputer. Prośba o sprawdzenie skryptów OTL i FRST.
Pełna wersja: Wolny komputer. Prośba o sprawdzenie skryptów OTL i FRST.
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

Aruenne

01.05.2014, 11:13
Objawy zainfekowania:
Od pewnego czasu komputer się zawiesza, przeglądarka ( używam Chrome ) reaguje dość wolno, często wyskakują też reklamy pomimo zainstalowania w niej AdBlocka. Poza tym zainstalował mi się Optimizer Pro i nie do końca wiem, jak go skutecznie usunąć.

Wykonywane działania:
Mam zainstalowanego Avasta i to nim skanowałam komputer. Ze skanowania nigdy za wiele nie wynikało, za to często podczas pracy na komputerze wyskakują powiadomienia o blokowaniu programu/strony/pliku.

Logi:
OTL.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]


Pierwszy raz próbuję "oczyścić" komputer i bardzo proszę o pomoc Smile

tachion

01.05.2014, 12:24
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
(Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe
(Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe
(http://www.tinydm.com/) C:\Users\Ania\AppData\Local\DM\TinyDM.exe
(PC Utilities Software Limited) C:\Program Files (x86)\Optimizer Pro\OptProSmartScan.exe
(PC Utilities Software Limited) C:\Program Files (x86)\Optimizer Pro\OptProReminder.exe
HKLM-x32\...\Run: [freeSoftToday_widget] => C:\Program Files (x86)\fst_en_2\freeSoftToday_widget.exe
HKLM\...\Policies\Explorer\Run: [BtvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe [131712 2013-01-24] ( (Atheros Communications))
HKU\S-1-5-21-3017883403-1461830242-3419357051-1002\...\Run: [Tiny download manager] => C:\Users\Ania\AppData\Local\DM\TinyDM.exe [288728 2014-02-05] (http://www.tinydm.com/)
HKU\S-1-5-21-3017883403-1461830242-3419357051-1002\...\Run: [Optimizer Pro] => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [135128 2014-04-22] (PC Utilities Software Limited)
AppInit_DLLs:C:\PROGRA~2\OPTIMI~1\OPTPRO~3.DLL => C:\Program Files (x86)\Optimizer Pro\OptProCrash_x64.dll [2721072 2014-04-27] ()
AppInit_DLLs-x32:c:\progra~2\optimi~1\optpro~2.dll => C:\Program Files (x86)\Optimizer Pro\OptProCrash.dll [3000792 2014-04-27] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM - {33F6A848-26F5-40E7-9723-B7658B479AB5} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=MASMJS
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398595973&from=smt&uid=ST750LM022XHN-M750MBB_S2RRJ9CD305054&q={searchTerms}
SearchScopes: HKLM-x32 - {33F6A848-26F5-40E7-9723-B7658B479AB5} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=MASMJS
SearchScopes: HKCU - DefaultScope {33F6A848-26F5-40E7-9723-B7658B479AB5} URL =
SearchScopes: HKCU - {33F6A848-26F5-40E7-9723-B7658B479AB5} URL =
BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited)
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -No File
CHR HKLM-x32\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Users\Ania\AppData\Local\Google\Chrome\User Data\Default\Extensions\ep.crx
R2 70e6ca8c; C:\Program Files (x86)\Optimizer Pro\OptProCrashSvc.dll [186496 2014-04-27] ()
R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED)
R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [566272 2014-04-27] (Cherished Technololgy LIMITED)
S3 SBIOSIO; \??\C:\Windows\Temp\SBIOSIO64.SYS [X]
S3 TVICPORT; \??\C:\windows\system32\DRIVERS\TVICPORT.SYS [X]
C:\Users\Ania\AppData\Roaming\SupTab
C:\Users\Ania\AppData\Roaming\qone8
C:\ProgramData\WPM
C:\ProgramData\MakeMarkerFile.exe
C:\Users\EasySurvey\EasySurvey.exe
C:\Users\Ania\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmphyr93h.dll
C:\windows\system32\FxsTmp
Task: {04708C34-7D86-490B-B955-EF6821318B0A} - System32\Tasks\BobyLyrics-16-codedownloader => C:\Program Files (x86)\BobyLyrics-16\BobyLyrics-16-codedownloader.exe [2014-03-13] (ChargerSoft) <==== ATTENTION
Task: {171CBC5A-C0D1-4F27-A7C5-45F9FA6D4F38} - System32\Tasks\BobyLyrics-16-chromeinstaller => C:\Program Files (x86)\BobyLyrics-16\BobyLyrics-16-chromeinstaller.exe [2014-03-13] (ChargerSoft) <==== ATTENTION
Task: {51A27453-2768-469C-A135-34E5897A46F3} - \FoxTab No Task File <==== ATTENTION
Task: {55C1CA72-0BAD-487A-BACC-075ED3770A75} - System32\Tasks\BobyLyrics-16-firefoxinstaller => C:\Program Files (x86)\BobyLyrics-16\BobyLyrics-16-firefoxinstaller.exe [2014-03-13] (ChargerSoft) <==== ATTENTION
Task: C:\windows\Tasks\BobyLyrics-16-chromeinstaller.job => C:\Program Files (x86)\BobyLyrics-16\BobyLyrics-16-chromeinstaller.exe <==== ATTENTION
Task: C:\windows\Tasks\BobyLyrics-16-codedownloader.job => C:\Program Files (x86)\BobyLyrics-16\BobyLyrics-16-codedownloader.exe <==== ATTENTION
Task: C:\windows\Tasks\BobyLyrics-16-firefoxinstaller.job => C:\Program Files (x86)\BobyLyrics-16\BobyLyrics-16-firefoxinstaller.exe <==== ATTENTION


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

BobyLyrics-16
Foxtab
Optimizer Pro v3.2
qone8 uninstaller
WPM18.8.0.212

W przeglądarce Firefox-menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

W Google Chrome

Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres start.qone8.com, przestaw na "Otwórz stronę nowej karty"
Ustawienia > karta Ustawienia > Wygląd i zaznacz jeśli nie jest zaznaczone "Pokaż przycisk strony startowej" > klik w Zmień> i w zaznaczonej opcji Otwórz tą stronę usuń adres start.qone8.com i zaznacz opcje nowa karta,lub i też można odfajkować opcję Pokaż przycisk strony startowej.
Ustawienia > karta Ustawienia > Wyszukiwanie przestaw na Google
Zresetuj cache wtyczek. W pasku adresów wpisz chrome//plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".
Ustawienia > karta Historia > wyczyść

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

Zrób ponownie skan i podaj logi FRST+OTL

Aruenne

01.05.2014, 22:22
Przeglądarki wyczyszczone, programy usunięte... Poza jednym: BobyLyrics-16. Dobrze myślę, żeby go odinstalować z Panelu Sterowania? Wszystkie pozostałe się udało, tylko ten nie reaguje w ogóle.

AdwCleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]

frst.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

otl.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

extras.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

02.05.2014, 11:21
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-21-3017883403-1461830242-3419357051-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21-3017883403-1461830242-3419357051-1002\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Usuń martwy wpis w Panelu sterowania tym narzędziem

[Aby zobaczyć linki, zarejestruj się tutaj]

Wybierz tryb nieautomatyczny i na liście deinstalacji wybierz BobyLyrics

Aruenne

02.05.2014, 13:50
fixlog.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]


Ale ten Bobylyrics chyba się ukrył gdzieś. Nie mogę go usunąć tym programem, nie ma go na liście... Ale w Panelu Sterowania jest nadal.

tachion

02.05.2014, 20:42
Ogólnie to już w niczym nie przeszkadza.

Działania końcowe:

W adwcleaner klik odinstaluj.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

Aruenne

02.05.2014, 21:59
Raport z SecurityCheck:

[Aby zobaczyć linki, zarejestruj się tutaj]

I jak? Już powinno być okej? Smile

tachion

04.05.2014, 10:58
Zrób jeszcze raz ten raport,na pewno nie ma wyglądać tak jak wygląda Smile
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Wolny komputer. Prośba o sprawdzenie skryptów OTL i FRST.