Radio Canyon - problem z wirusem - gotowe logi

[podstawek]

Przyplątał mi się jakiś wirus - canyon radio. Czytałem już inny temat i zrobiłem logi, jak poradzono w tamtym temacie.
Dostępne tylko dla zarejestrowanych użytkowników - OTL
Dostępne tylko dla zarejestrowanych użytkowników - Extras
Dostępne tylko dla zarejestrowanych użytkowników - FRST
Dostępne tylko dla zarejestrowanych użytkowników - Addition
Dostępne tylko dla zarejestrowanych użytkowników - Shortcut

Byłbym bardzo wdzięczny za dalsze instrukcje.

Pozdrawiam

[djarta]

1. Do deinstalacji: Browser Tab Search by Ask for Firefox / Deinstalator Strony V9 / ContinueToSave / ContinueToSave 1.74

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Uruchom FireFox > menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

5. Wklej logi z FRST nowe.

[podstawek]

Zrobione.

Dostępne tylko dla zarejestrowanych użytkowników - AdwCleaner
Dostępne tylko dla zarejestrowanych użytkowników - JRT
Dostępne tylko dla zarejestrowanych użytkowników - FRST
Dostępne tylko dla zarejestrowanych użytkowników - Addition
Dostępne tylko dla zarejestrowanych użytkowników - Shortcut

Wychodzi, że chyba wszystko jest już ok. Wielkie dzięki za pomoc i świetne wytłumaczenie, że nawet ja to ogarnąłem:)

[djarta]

FRST i Addition - nic tam nie ma.
Wstaw poprawnie.

[podstawek]

FRST ponownie był pusty

Dostępne tylko dla zarejestrowanych użytkowników - Addition

[djarta]

1. Użyj DelFixa => Dostępne tylko dla zarejestrowanych użytkowników

2. Ściągnij ponownie FRST i wykonaj logi.

[podstawek]

Teraz jest:
Dostępne tylko dla zarejestrowanych użytkowników - FRST
Dostępne tylko dla zarejestrowanych użytkowników - Addition
Dostępne tylko dla zarejestrowanych użytkowników - Shortcut

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 catchme; \??\C:\DOCUME~1\PIOTRE~1.PIO\USTAWI~1\Temp\catchme.sys [X]
S4 IntelIde; No ImagePath
S2 Pv848; system32\drivers\PH848.sys [X]
S2 PVTUNER; system32\drivers\PHtuner.sys [X]
S2 PVXBAR; system32\drivers\PvXBAR.sys [X]
U2 wuaserv; No ImagePath
CHR StartMenuInternet: Google Chrome - C:\Documents and Settings\Piotrek.PIOTR-CAE5A2A6C\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
CHR Extension: (DealPly French) - C:\Documents and Settings\Piotrek.PIOTR-CAE5A2A6C\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi [2013-08-20]
CHR Extension: (Delta Toolbar) - C:\Documents and Settings\Piotrek.PIOTR-CAE5A2A6C\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\eooncjejnppfjjklapaamhcdmjbilmde [2013-07-17]
C:\Documents and Settings\Piotrek.PIOTR-CAE5A2A6C\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\eooncjejnppfjjklapaamhcdmjbilmde
C:\Documents and Settings\Piotrek.PIOTR-CAE5A2A6C\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi
CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\4.0.60129.0\npctrl.dll No File
CHR Plugin: (Google Update) - C:\Documents and Settings\Piotrek.PIOTR-CAE5A2A6C\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.111\npGoogleUpdate3.dll No File
CHR Plugin: (Java Deployment Toolkit 6.0.310.5) - C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll No File
CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\Piotrek.PIOTR-CAE5A2A6C\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\38.0.2125.111\gcswf32.dll No File
CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll No File
CHR Plugin: (Native Client) - C:\Documents and Settings\Piotrek.PIOTR-CAE5A2A6C\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\38.0.2125.111\ppGoogleNaClPluginChrome.dll No File
CHR HomePage: Default -> Dostępne tylko dla zarejestrowanych użytkowników
CHR StartupUrls: Default -> "www.wp.pl/?src01=dp220140907", "hxxp://www.delta-search.com/?babsrc=HP_ss&mntrId=BCAE001676BC02DA&affID=119357&tsp=4924"
CHR DefaultSearchKeyword: Default -> delta-search.com
CHR DefaultSearchURL: Default -> Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&babsrc=SP_ss&mntrId=BCAE001676BC02DA&affID=119357&tsp=4924
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2009-04-06]
c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\ddg.xml
C:\Program Files\mozilla firefox\browser\searchplugins\ddg.xml
Handler: cf - No CLSID Value -
HKU\S-1-5-21-515967899-706699826-1417001333-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
ProxyServer: 147.31.182.137:8080
HKU\S-1-5-21-515967899-706699826-1417001333-1003\...\Run: [Browser Tab Search by Ask] => "C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\msbloader.exe"
C:\Program Files\Browser Tab Search by Ask
C:\Documents and Settings\Piotrek.PIOTR-CAE5A2A6C\Pulpit\Stare dane programu Firefox
C:\Documents and Settings\Piotrek.PIOTR-CAE5A2A6C\Ustawienia lokalne\Dane aplikacji\Radio Canyon
C:\Documents and Settings\Piotrek.PIOTR-CAE5A2A6C\Ustawienia lokalne\Dane aplikacji\globalUpdate
C:\WINDOWS\Tasks\*.job
CustomCLSID: HKU\S-1-5-21-515967899-706699826-1417001333-1003_Classes\CLSID\{58cfa6fb-03c9-4250-9d43-45b001f79262}\InprocServer32 -> C:\WINDOWS\msvideo.dll No File
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver"
AlternateDataStreams: C:\WINDOWS:nlsPreferences
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany.

2. Wykonaj nowe logi z FRST i wstaw.

[podstawek]

Nowe logi:
Dostępne tylko dla zarejestrowanych użytkowników - FRST
Dostępne tylko dla zarejestrowanych użytkowników - Addition
Dostępne tylko dla zarejestrowanych użytkowników - Shortcut

[djarta]

Wszystko skasowane pomyślnie i w logach - czysto.

Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

[podstawek]

Delfix w raporcie podał, że usunął FRST.

Dostępne tylko dla zarejestrowanych użytkowników - Malwarebytes

znalezione pliki poddałem kwarantannie


nie zrobiłem tylko Czyszczenia folderów, bo w XP jakoś inaczej to wyglądało

[djarta]

Tam odhaczykowujesz tylko.

[podstawek]

odhaczyłem i mam monitorowanie przy obu dyskach

[djarta]

W takim razie OK.

[podstawek]

czyli wychodzi na to, że już wszystko

serdecznie dziękuję:)