ADWARE i Wyłączające się Centrum Zapezpieczeń Windows

[kasia005]

Witam, kilka dni temu Avira znalazła mi mnóstwo Adware po włączeniu komputera. Przeniosła wszystko do kwarantanny, zrobiłam restart kompa i pełny skan systemu i wydaje się być czysto (wg Aviry), ale zauważyłam, że od jakiegoś czasu (chyba nawet jeszcze przed znalezieniem wirusów przez Avirę ) przy każdym włączaniu się systemu komputer zgłasza, że Centrum zabezpieczeń Windows jest wyłączone i za każdym razem muszę je ręcznie włączać. Zapewne ma to ze sobą jakiś związek?

Jestem zielona w tych sprawach więc prosze o ewentualne dalsze istrukcje

Dziękuję z góry.

Wyniki skanowania OTL:

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}" = BrowserProtect
"{8172B41A-9BB5-4A64-BF28-1FB5FE43C3FF}" = WD Security
"{B905CAA1-D6FF-4D21-8858-F8C610491C0B}" = Ant.com IE add-on
"Rejestracja użytkownika drukarki Canon MP550 series" = Rejestracja użytkownika drukarki Canon MP550 series
"delta" = Delta toolbar
"Delta Chrome Toolbar" = Delta Chrome Toolbar
"Avira AntiVir Desktop" = Avira Free Antivirus

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-956377295-1357595491-514333593-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-956377295-1357595491-514333593-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-956377295-1357595491-514333593-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-956377295-1357595491-514333593-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-956377295-1357595491-514333593-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=121845&babsrc=SP_ss&mntrId=10D2002243D622BA
IE - HKU\S-1-5-21-956377295-1357595491-514333593-1000\..\SearchScopes\{DE933D43-3B83-4252-A63A-E7C46019216E}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=en_PL&apn_ptnrs=^AGY&apn_dtid=^YYYYYY^YY^PL&apn_uid=2001c94b-2466-4e43-bb8a-aba0a0340cdc&apn_sauid=D35EE82B-56A9-4C87-AD65-B7E76EA7B841
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_94.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
[2013-09-07 23:28:10 | 002,237,968 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Asus\Desktop\tdsskiller.exe
[2013-09-05 16:29:36 | 000,132,088 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys
[2013-09-05 16:29:36 | 000,105,344 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2013-09-05 16:29:36 | 000,081,112 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avnetflt.sys
[2013-04-24 19:07:32 | 000,114,176 | ---- | C] () -- C:\Users\Asus\AppData\Roaming\BabMaint.exe
[2013-04-13 18:40:28 | 000,000,000 | ---D | M] -- C:\Users\Asus\AppData\Roaming\BabSolution
[2013-04-13 18:38:00 | 000,000,000 | ---D | M] -- C:\Users\Asus\AppData\Roaming\Babylon
[2013-04-18 17:07:11 | 000,000,000 | ---D | M] -- C:\Users\Asus\AppData\Roaming\eDownload

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + nowe logi z OTL.

[kasia005]

Właśnie odinstalowuję, zaraz dodam logi - przy okazji dzisiaj wykryło mi jeszcze jakieś 2 wirusy. A co z bezpieczeństwem jeśli odinstaluję Avirę?

[djkamil09061991]

A co z bezpieczeństwem jeśli odinstaluję Avirę?

Po wykonaniu wszystkich czynności dostaniesz polecenie zainstalowania innego antywirusa zapewne darmowego

[kasia005]

Ok, dzięki i jeszcze ostatnie pytanie - czy jeśli pojawiły się dzisiaj nowe wirusy, to mam kleić nowe logi zanim wykonanam podany skrypt OTL?

-- 11 wrz 2013, 14:04 --

Ponieważ dzisiaj wykryło jeszcze coś, wklejam nowe logi z OTL zanim zrobię skrypt. Proszę o informację czy coś dodatkowe jeszcze usunąć z kompa - oprócz tych wymienionych wcześniej. I dziękuję jeszcze raz, że ktoś chce pomóc takim zielonym jak ja

Logi:

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Ok, dzięki i jeszcze ostatnie pytanie - czy jeśli pojawiły się dzisiaj nowe wirusy, to mam kleić nowe logi zanim wykonanam podany skrypt OTL?

-- 11 wrz 2013, 14:04 --

Ponieważ dzisiaj wykryło jeszcze coś, wklejam nowe logi z OTL zanim zrobię skrypt. Proszę o informację czy coś dodatkowe jeszcze usunąć z kompa - oprócz tych wymienionych wcześniej. I dziękuję jeszcze raz, że ktoś chce pomóc takim zielonym jak ja

Logi:

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Nie wykonałaś instrukcji, o których mówiłem wcześniej. Wykonaj .

[kasia005]

Ok, chyba wszystko:

logi po odinstalowaniu wszystkiego co kazałeś:

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Log z usuwania, po skrypcie:

Dostępne tylko dla zarejestrowanych użytkowników

ADW po wyczyszczeniu:

Dostępne tylko dla zarejestrowanych użytkowników

i jeszcze osteteczne logi OTL:

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników


Czekam z niecierpliwością na werdykt Mam nadzieję pozytywny.

[kominekl]

ADWCleaner.

Naciśnij w Nim przycisk Uninstall.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
O3 - HKU\S-1-5-21-956377295-1357595491-514333593-1000\..\Toolbar\WebBrowser: (no name) - {2E924F4F-67F0-4BD8-9560-49F468E843D2} - No CLSID value found.
[2013-09-11 13:03:53 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-09-11 13:22:02 | 002,092,792 | ---- | M] () -- C:\Users\Asus\Desktop\avira_free_antivirus.exe

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

[kasia005]

Odinstalowałam ADW

Log z usuwania:

Dostępne tylko dla zarejestrowanych użytkowników

Log autoruns (sorki, wsadziłam na chomikuj bo nie wiedziałam jak się takim plikiem podzielić...):

Dostępne tylko dla zarejestrowanych użytkowników HASŁO do folderu: LOGI

I jeszcze logi z OTL najświeższe:

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

-- 12 wrz 2013, 20:51 --

I jak teraz to wygląda?

[kominekl]

Autoruns.

W Dostępne tylko dla zarejestrowanych użytkowników (jeśli czegoś nie znajdziesz, bądź nie będzie chciało pójść to spróbuj w trybie normalnym, jeśli nadal nie będzie chciało pójść to tylko odznacz), w Autoruns usuń następujące wpisy (co nie będzie dało się usunąć to po prostu odznacz):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
Microsoft Office Groove Audit Service
nvsvc
odserv
ose
tor (tylko odznacz)
WDBackup
WDDriveService
WDRulesService
WinDefend
WMPNetworkSvc

Następnie podajesz nowe logi z OTL.

[kasia005]

Ok, wszystko się dało usunąć.

Logi:

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Aha i Centrum Zapezpieczeń i Defender nadal są wyłączone po włączeniu się systemu, nie wiem czy to ma jakieś znaczenie.

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

[2013-09-12 20:36:52 | 000,000,000 | ---D | C] -- C:\Users\Asus\Desktop\Autoruns
[2013-09-12 20:37:47 | 001,988,612 | ---- | M] () -- C:\Users\Asus\Desktop\AutoRuns.arn
[2013-09-12 20:19:08 | 000,550,371 | ---- | M] () -- C:\Users\Asus\Desktop\Autoruns.zip

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL naciśnij Sprzątanie.

Internet Explorer (Version = 9.0.8112.16421)

Zaktualizuj IE do Dostępne tylko dla zarejestrowanych użytkowników (nawet, jeśli Go nie używasz).

Kroki Finalizujące.

Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową na końcu instalacji), jeśli coś znajdzie usuń i daj raport.
Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.

[kasia005]

ok a co z antywirusem? Będę mogła już ściągnąć i zainstalować avire?

[kominekl]

ok a co z antywirusem? Będę mogła już ściągnąć i zainstalować avire?

Nie. Zainstaluj Dostępne tylko dla zarejestrowanych użytkowników.

[kasia005]

Ok, wszystko zrobiłam jak kazałeś.

Log z usuwania OTL:

Dostępne tylko dla zarejestrowanych użytkowników

W malwarebytes znalazło jednego robaka. Oto log:

Dostępne tylko dla zarejestrowanych użytkowników

Jeszcze tylko zainstaluję Comodo. Czy to znaczy, że już jest czysto i mogę normalnie używac kompa?