SafeGroup

Objawy zainfekowania:
Witam. Wokół przeglądarki (oba boki i dół) reklamy. Laptop spowolnił czasem zacina się. Przed tym jak znajomy usunął mi kilka robaków (Kasperskim z płyty) nie można było nic zainstalować bo komunikat pokazywał się że nie jest to zgodny program z wersją 32 bit. Proszę o pomoc. Podobne wtedy objawy do Bagle.

Wykonywane działania:
Skanowanie Avast, SpyHunter i Spybot S&D Start Center pokazało rookity i malware. Nie potrafiłem poradzić sobie z tym.

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
(Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe

(Aztec Media Inc) C:\Program Files (x86)\Settings Manager\systemk\SystemkService.exe

(Aztec Media Inc) C:\Program Files (x86)\Settings Manager\systemk\SystemkService.exe

(Aztec Media Inc) C:\Program Files (x86)\Settings Manager\systemk\systemku.exe

() C:\Windows\SysWOW64\C2MP\UpdateChecker.exe

HKLM-x32\...\Run: [] => [X]

HKU\S-1-5-21-2912553307-603275502-2126174760-1000\...\Policies\Explorer: [] 

IFEO\jumpflip: [Debugger] tasklist.exe

IFEO\volaro: [Debugger] tasklist.exe

IFEO\vonteera: [Debugger] tasklist.exe

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk

ShortcutTarget: CodecPackUpdateChecker.lnk -> C:\Windows\SysWOW64\C2MP\UpdateChecker.exe ()

HKLM\...\AppCertDlls: [x86] -> C:\Program Files (x86)\Settings Manager\systemk\sysapcrt.dll

HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Settings Manager\systemk\x64\sysapcrt.dll [664592 2014-04-28] ()

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:Tabs

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1397050277&from=cor&uid=ST1000LM024XHN-M101MBB_S2U5J9BC801095&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1397050277&from=cor&uid=ST1000LM024XHN-M101MBB_S2U5J9BC801095&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1397050277&from=cor&uid=ST1000LM024XHN-M101MBB_S2U5J9BC801095&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1397050277&from=cor&uid=ST1000LM024XHN-M101MBB_S2U5J9BC801095&q={searchTerms}

SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1397050277&from=cor&uid=ST1000LM024XHN-M101MBB_S2U5J9BC801095&q={searchTerms}

SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1397050277&from=cor&uid=ST1000LM024XHN-M101MBB_S2U5J9BC801095&q={searchTerms}

SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=12692&tm=314&src=ds&p={searchTerms}

SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1397050277&from=cor&uid=ST1000LM024XHN-M101MBB_S2U5J9BC801095&q={searchTerms}

SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1397050277&from=cor&uid=ST1000LM024XHN-M101MBB_S2U5J9BC801095&q={searchTerms}

SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=12692&tm=314&src=ds&p={searchTerms}

SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12302&tm=314&src=ds&p={searchTerms}

R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED)

R2 SystemkService; C:\Program Files (x86)\Settings Manager\systemk\SystemkService.exe [3543056 2014-05-18] (Aztec Media Inc)

R1 F06DEFF2-5B9C-490D-910F-35D3A9119622; C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc1.cfg [36240 2014-05-18] (Aztec Media Inc)

R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-04-09] (StdLib)

C:\Users\Inne\AppData\Roaming\AVG

C:\Users\Inne\AppData\Local\AVG

C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}

C:\Users\Marcin\AppData\Roaming\AVG

C:\Users\Marcin\AppData\Local\AVG

C:\ProgramData\AVG

C:\Users\Marcin\AppData\Roaming\OpenCandy

C:\Users\Marcin\AppData\Local\Temp\SHSetup.exe

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

Settings Manager
Spybot - Search & Destroy
SpyHunter

Google Chrome
Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres

[Aby zobaczyć linki, zarejestruj się tutaj]

, przestaw na "Otwórz stronę nowej karty"
Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres

[Aby zobaczyć linki, zarejestruj się tutaj]

jeśli widoczne.
Ustawienia > karta Historia > wyczyść
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaj i następnie Usuń
pokaż raport

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[Aby zobaczyć linki, zarejestruj się tutaj]

Adw Cleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

check up

Komputer jest szybszy, szybciej się włącza lepiej się pracuje.

Jak możesz to zrób log jeszcze z OTL i go prześlij.

Czy Windows Security Center jest wyłączony specjalnie ?

Jeśli nie to proszę w Menu start > uruchom wpisać services.msc i kliknąć enter.
Następnie znajdź usługę Centrum Zabezpieczeń ,dwa razy kliknąć i przestawić typ uruchomienia na automatyczny i wprowadzić stan usługi w uruchom.

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

Windows Security Center włączyłem jak było nakazane.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]

C:\Users\Marcin\AppData\Local\Temp\Quarantine.exe

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Działania końcowe:

W adwcleaner klik odinstaluj.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Fixlog

[Aby zobaczyć linki, zarejestruj się tutaj]

DelFix

Po TFC zacioł się komputer.

Hmm a uruchom jeszcze raz jako administrator z PPM.

Jak się zatnie to już nic na to nie poradzimy.

Udało się skanowanie programem TFC. Co teraz?

To wszystko w temacie.

Wielkie dzięki.

happysad_fan

tachion

happysad_fan

tachion

happysad_fan

tachion

happysad_fan

tachion

happysad_fan

tachion

happysad_fan