Log OTL pop-up wirus Windows Version Installer

Post19 lut 2015, 02:01

Proszę o pomoc w odczytaniu logów. Nie mogę się pozbyć tego wirusa który pojawił się prawdopodobnie z Vodpackage próbowałem go usunąć adw cleanerem ale po ponownym uruchomieniu przeglądarki tworzy znowu skrót na pupicie Continue Live instalation.Dodatkowo pojawiły się dwa procesy których wcześniej nie było jnsx66.tmp, nsa54.tmpfs

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Logi OTL
Dostępne tylko dla zarejestrowanych użytkowników
Extras.txt
Dostępne tylko dla zarejestrowanych użytkowników

Post19 lut 2015, 06:04

Daj logi z FRST; bezpieczenstwo/korzystanie-z-frst-t28530.html

Post19 lut 2015, 12:33

FRST
Dostępne tylko dla zarejestrowanych użytkowników
Addition
Dostępne tylko dla zarejestrowanych użytkowników
Shortcut
Dostępne tylko dla zarejestrowanych użytkowników

Post19 lut 2015, 13:36

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 ASFWHide; \??\C:\DOCUME~1\SZYMCZ~1\USTAWI~1\Temp\ASFWHide [X]
S3 catchme; \??\C:\DOCUME~1\SZYMCZ~1\USTAWI~1\Temp\catchme.sys [X]
S4 IntelIde; No ImagePath
S3 WinRing0_1_2_0; \??\C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X]
R2 nuviwyci; C:\Documents and Settings\Szymczak69\Dane aplikacji\41313030-1424298466-4539-3737-4434FFFFFFFF\nsa54.tmpfs [X]
C:\Documents and Settings\Szymczak69\Dane aplikacji\41313030-1424298466-4539-3737-4434FFFFFFFF
R2 bujixodo; C:\Documents and Settings\Szymczak69\Dane aplikacji\41313030-1424298466-4539-3737-4434FFFFFFFF\jnsx66.tmp [132096 2015-02-18] () [File not signed]
C:\DOCUME~1\SZYMCZ~1\USTAWI~1\Temp\amhlacfinnaffmhfohbpecabbjfhkdji.crx
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2012-12-11]
StartMenuInternet: FIREFOX.EXE - firefox.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No File [ ]
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
Toolbar: HKU\.DEFAULT -> No Name - {0329E7D6-6F54-462D-93F6-F5C3118BADF2} - No File
Toolbar: HKU\.DEFAULT -> No Name - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File
HKU\S-1-5-21-682003330-413027322-2147280231-1003\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&ei=utf-8&fr=b1ie7
HKU\S-1-5-21-682003330-413027322-2147280231-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-682003330-413027322-2147280231-1003 -> {4187F0FC-AF41-4E4B-AE67-84C8FD35A0AE} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-682003330-413027322-2147280231-1003 -> {7D1B52F3-8437-4078-B872-4BCE17A55756} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&ei=utf-8&fr=b1ie7
SearchScopes: HKU\S-1-5-21-682003330-413027322-2147280231-1003 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-682003330-413027322-2147280231-1003 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = Dostępne tylko dla zarejestrowanych użytkowników{SearchTerms}&fr=ntg&gp=blackbear5
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-682003330-413027322-2147280231-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
C:\WINDOWS\*.log
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:B3D74A13
AlternateDataStreams: C:\Documents and Settings\Szymczak69\Pulpit\BC 6.3 POL Manual.pdf:SummaryInformation
AlternateDataStreams: C:\Documents and Settings\Szymczak69\Pulpit\BC 6.3 POL Manual.pdf:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{1a3e09be-1e45-494b-9174-d7385b45bbf5} => ""=""
Emptytemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z FRST.

Post19 lut 2015, 17:51

Adw Cleaner log
Dostępne tylko dla zarejestrowanych użytkowników
FRST
Dostępne tylko dla zarejestrowanych użytkowników
Addition
Dostępne tylko dla zarejestrowanych użytkowników
Shortcut
Dostępne tylko dla zarejestrowanych użytkowników

Post19 lut 2015, 17:58

1. Otwórz notatnik i wklej:

CloseProcesses:
CHR HKLM\...\Chrome\Extension: [amhlacfinnaffmhfohbpecabbjfhkdji] - C:\DOCUME~1\SZYMCZ~1\USTAWI~1\Temp\amhlacfinnaffmhfohbpecabbjfhkdji.crx [Not Found]
C:\DOCUME~1\SZYMCZ~1\USTAWI~1\Temp
FF Extension: No Name - C:\Program Files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} [2015-02-18]
C:\Program Files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
C:\Documents and Settings\Szymczak69\Dane aplikacji\SetMyHomePage
C:\Documents and Settings\All Users\Menu Start\Programy\www.GameModding.net
C:\Documents and Settings\Szymczak69\Dane aplikacji\newSI_618
AlternateDataStreams: C:\Documents and Settings\Szymczak69\Pulpit\BC 6.3 POL Manual.pdf:SummaryInformation
AlternateDataStreams: C:\Documents and Settings\Szymczak69\Pulpit\BC 6.3 POL Manual.pdf:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Czy już jest OK?

Post19 lut 2015, 19:34

Fixlog
Dostępne tylko dla zarejestrowanych użytkowników
Instaler z pulpitu zniknął podobnie zresztą te dziwne procesy z menadżera zadań. Narazie problemów nie widzę.
Powiedz mi co oznacza ten wpis CHR HKLM chrome/extension? nie używam gooogle chrome domyślną przegłądarką jest firefox. Plik pdf.BC 63 Pol manual ja utworzyłem.

Post19 lut 2015, 19:46

Nie usuwam tych pdf-ów tylko strumienie podpięte pod nie (?)

Tu był jakiś pusty wpis, pewnie Adware zagnieździło się w Chrome, AdwCleaner usunął ale sam wpis został dalej. FRST to usunął.

Kończymy.

Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

Post19 lut 2015, 21:00

Raport DelFix
Dostępne tylko dla zarejestrowanych użytkowników
Malware AB
Dostępne tylko dla zarejestrowanych użytkowników

Dziękuje za pomoc.

Post19 lut 2015, 21:34

0 wykryć przez MBAM = czysto.