SafeGroup

Kolega próbował otworzyć po raz pierwszy na moim komputerze swojego Photoshopa CS6 Portable, niestety nieoryginalnego. Program się nie otworzył, a po tej próbie na komputerze zaczęły się dziać dziwne rzeczy. 2 problemy, które zauważyłem:

- Jedyną działająca przeglądarką jest Firefox. Chrome uruchamia się, lecz wyskakuje komunikat "Niedobrze!" podczas próby wejścia w cokolwiek, ustawienia, informację o wersji czy też na jakąkolwiek stronę. Explorer nie uruchamia się w ogóle.
- W panelu sterowania nic nie działa bezpośrednio tzn. żeby wejśc w wyświetlanie urządzeń i drukarek nie mogę kliknąć bezpośrednio w podkategorię, lecz muszę najpierw wejść w kategorię sprzęt i dźwięki i dopiero tam mogę to zrobić. Odinstalowywanie programów nie działa ani normalnie ani przez kategorię. Mogę coś odinstalować dopiero przez użycie CCleanera.

Wykonałem pełny skan 360TS używając dodatko włączonych silników Aviry i BitDefendera. 360TS wykrył 5 problemów, z czego 3 były malware. 360TS "naprawił" (resolved) te pliki, lecz 2 powyższe problemy nadal wsytępują. Dodatkowo Windows pyta mnie czy masz zaufanie do wydawcy 360TS, gdy klikam że tak, wyskakuje, że ustawienia certyfikatów internetowych nie zezwalają na potwierdzenie tego.
Postanowiłem więc odinstalować 360TS, lecz nie ma go na liście w CCleanarze. Dodatkowo, gdy próbowałem zainstalować Avirę z instalki na pendrive to wyskakuje komunikat od "360hipsPopWnd", że "Zestaw kluczy nie jest zdefiniowany".

Przywracanie systemu zakończyło się pomyślnie. Mimo tego, problemy wciąż występują. Chciałbym również dodać, że podczas skanowania widziałem jak skanowało plik o nazwie FakeFirefoxMalware, choć nie wiem czy ma to jakiekolwiek znaczenie.

FRST.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Raporty wykonane w trybie awaryjnym z włączoną obsługą sieci. Wykryłem dodatkowy problem. W katalogu Komputer, nie mogę otworzyć właściwości systemu, a pliki z rozszerzeniami .exe mogę włączać tylko poprzez opcję "Uruchom jako administrator". Dochodzi do tego to, że nie widzę opcji utworzenia pliku. Txt klikajac ppm, tylko muszę wchodzić w notatnik oraz nie mogę nic wkleić...

Ehh, teraz komputer jest tak jakby ciągle w procesie resetowania karty sieciowej tj. Na ikonce sieci jest cały czas czerwony krzyżyk, podczas gdy na telefonie wszystko działa... Co polecacie?

Niestety, ale OTL nie zdążyłem juz wykonać. Z góry dziękuję za pomoc.

Postanowilem przywrocic komputer do jeszcze wczesniejszego stanu, wybralem wiec punkt aktualizacji krytycznej od Windows Update. Chyba wszystko wrocilo juz do normy, zainstalowalem Avire, skan nic nie wykryl jednak pozniej wrzuce jeszcze wszystkie 3 logi i poprosze oczyszczenie komputera z tego syfu. Jestem strasznie ciekawy co moglo wywolac taki bajzel.

Ja na wszelkie problemy z komputerem spowodowanymi antywirusami mam jeden sposób -

[Aby zobaczyć linki, zarejestruj się tutaj]

z uprawnieniami administratora.

Wlaczylem przed chwila pelny skan Avira.Na razie te nic nie wykrywa. Osobiscie zaczalbym sie zastanawiac czy wina nie tkwi w Firefoxie. Mam do tego solidne podstawy. Avira Browser Safety nie pozwala mi go bowiem uruchomic na dluzej niz 3 sekundy, do tego jeszcze ta nazwa FakeFirefoxMalware w pierwszym skanowaniu i fakt, ze nie moglem korzystac z innych przegladarek.

FRST.txt.

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Proszę o pomoc w oczyszczeniu komputera z pozostałego syfu. Z góry dzięki.

hivonzooo napisał(a):Ja na wszelkie problemy z komputerem spowodowanymi antywirusami mam jeden sposób - sfc /scannow z uprawnieniami administratora.

A co w tym przypadku ma mu to pomóc ?

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:

HKLM-x32\...\Run: [] => [X]

HKLM-x32\...\Run: [vProt] => C:\Program Files (x86)\AVG Secure Search\vprot.exe [2640408 2014-08-30] ()

HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1

HKU\S-1-5-21-1478968772-1004715320-1967798073-1001\...\Policies\system: [DisableLockWorkstation] 0

HKU\S-1-5-21-1478968772-1004715320-1967798073-1001\...\Policies\system: [DisableChangePassword] 0

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

HKU\S-1-5-21-1478968772-1004715320-1967798073-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.gazeta.pl/msn/0,0.html?ocid=oa-BeautifulBeaches

HKU\S-1-5-21-1478968772-1004715320-1967798073-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bing.com?pc=CPNTDF

HKU\S-1-5-21-1478968772-1004715320-1967798073-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.bing.pl

SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=CPNTDF&pc=CPNTDF&src=IE-SearchBox

SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=CPNTDF&pc=CPNTDF&src=IE-SearchBox

SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF

SearchScopes: HKLM -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://pl.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CPNTDF

SearchScopes: HKLM -> {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = http://pl.wikipedia.org/wiki/Special:Search?search={searchTerms}

SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=CPNTDF&pc=CPNTDF&src=IE-SearchBox

SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=CPNTDF&pc=CPNTDF&src=IE-SearchBox

SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF

SearchScopes: HKLM-x32 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://pl.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CPNTDF

SearchScopes: HKLM-x32 -> {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = http://pl.wikipedia.org/wiki/Special:Search?search={searchTerms}

SearchScopes: HKU\S-1-5-21-1478968772-1004715320-1967798073-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=CPNTDF&pc=CPNTDF&src=IE-SearchBox

SearchScopes: HKU\S-1-5-21-1478968772-1004715320-1967798073-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=CPNTDF&pc=CPNTDF&src=IE-SearchBox

SearchScopes: HKU\S-1-5-21-1478968772-1004715320-1967798073-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF

SearchScopes: HKU\S-1-5-21-1478968772-1004715320-1967798073-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={722E6CDA-C582-4B86-B9FE-DE0A7F213CB3}&mid=8c28ec801a7647d0b48d95241133bffe-77977e3faa6678e951b911cc7efce8122312332b&lang=pl&ds=AVG&pr=fr&d=2012-11-01 22:41:42&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}

SearchScopes: HKU\S-1-5-21-1478968772-1004715320-1967798073-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://pl.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CPNTDF

SearchScopes: HKU\S-1-5-21-1478968772-1004715320-1967798073-1001 -> {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = http://pl.wikipedia.org/wiki/Special:Search?search={searchTerms}

BHO-x32: AVG Security Toolbar -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Secure Search\18.1.9.799\AVG Secure Search_toolbar.dll (AVG Secure Search)

Toolbar: HKLM-x32 - AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\18.1.9.799\AVG Secure Search_toolbar.dll (AVG Secure Search)

Toolbar: HKU\S-1-5-21-1478968772-1004715320-1967798073-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -No File

Handler-x32: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\18.1.9\ViProtocol.dll (AVG Secure Search)

FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml

FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.1.9.799

FF Extension: AVG Security Toolbar - C:\ProgramData\AVG Secure Search\FireFoxExt\18.1.9.799 [2014-08-30]

FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found]

CHR Extension: (Website Logon) - C:\Users\Bogdan\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfgjjhcgfbfkkoelpepohanhmbhdanh [2015-01-26]

CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path

CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path

CHR HKLM-x32\...\Chrome\Extension: [jpfgjjhcgfbfkkoelpepohanhmbhdanh] - C:\Program Files (x86)\HP SimplePass\tschrome.crx [2011-12-09]

CHR HKLM-x32\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\17.3.0.49\avg.crx [Not Found]

S3 vToolbarUpdater18.1.9; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.1.9\ToolbarUpdater.exe [1820184 2014-08-14] (AVG Secure Search)

S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]

C:\Windows\360Safe

C:\$360Section

C:\ProgramData\360Quarant

C:\ProgramData\Temp

C:\ProgramData\Norton

CustomCLSID: HKU\S-1-5-21-1478968772-1004715320-1967798073-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Bogdan\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File

CustomCLSID: HKU\S-1-5-21-1478968772-1004715320-1967798073-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Bogdan\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File

CustomCLSID: HKU\S-1-5-21-1478968772-1004715320-1967798073-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Bogdan\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File

CustomCLSID: HKU\S-1-5-21-1478968772-1004715320-1967798073-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Bogdan\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File

Task: {165BA543-F0A7-4CE9-BAAD-F46AE4505686} - System32\Tasks\MirageAgent => C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe [2012-02-10] (CyberLink)

Task: {2242B915-0A0A-4071-868A-D39D98B0E830} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe [2012-09-27] (Hewlett-Packard Company)

Task: {2EF747B0-E9C6-4010-8F59-7700193FD17C} - System32\Tasks\Hewlett-Packard\HP Support Assistant\Update Check => C:\ProgramData\Hewlett-Packard\HP Support Framework\Resources\Updater7\HPSFUpdater.exe [2014-05-12] (Hewlett-Packard Company)

Task: {34957207-373F-4E40-8C68-7A5489B5AF66} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe [2012-09-27] (Hewlett-Packard Company)

Task: {52C68546-AADC-4792-B9B3-E0FB69A40D9A} - System32\Tasks\HPCeeScheduleForBogdan => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2011-07-15] (Hewlett-Packard)

Task: {54CF836A-4A86-46BE-A8FF-4B5CB46D63D2} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis Install => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe [2012-09-27] (Hewlett-Packard Company)

Task: {D24C5498-89B5-4430-B9D0-07A789E28A0E} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe [2014-10-21] (Hewlett-Packard)

Task: {DB9D6B1F-92AA-4331-82CC-5DB08D601514} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2014-12-19] (Adobe Systems Incorporated)

Task: C:\Windows\Tasks\HPCeeScheduleForBogdan.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe

CMD: netsh advfirewall reset

EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:
AVG Security Toolbar
Java 7 Update 9

Google Chrome

Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaj i następnie Usuń
Pokaż raport z niego.

Zainstaluj Javajre-8u31-windows-i586.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt,Shortcut.txt

Przeglądarka Firefox została odinstalowana ?

Przy końcu wykonywania fixu, a konkretniej przy Deleting temporary files: ... MOZILLA/FIREFOX z Appdata cały Farbar kompletnie się zaciął. Postanowiłem zatrzymać proces, ale jako, że fix nie przebiegł chyba w pełni prawidłowo z powodu tego zacięcia niżej dorzucam jeszcze Fixloga. Programy odinstalowane, Chrome zresetowany, Java zainstalowana, Firefox był już odinstalowany.
Fixlog

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner (na wklej.org przez dłuższy czas występował mi BadGateway, tylko przy wrzucaniu tego)

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CreateRestorePoint:

C:\Windows\SysWOW64\Drivers\efimon.sys

C:\Mozilla

C:\Windows\Tasks\360Disabled

C:\Program Files (x86)\360

C:\Users\Bogdan\AppData\Local\Mozilla

C:\Users\Bogdan\AppData\Roaming\Mozilla

C:\Program Files (x86)\Mozilla Firefox

Reg: reg delete HKCU\Software\Mozilla /f

Reg: reg delete HKCU\Software\MozillaPlugins /f

Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Bezproblemowo

[Aby zobaczyć linki, zarejestruj się tutaj]

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Szymonr66

Szymonr66

hivonzooo

Szymonr66

Szymonr66

tachion

Szymonr66

tachion

Szymonr66

tachion