Witam serdecznie,
Zwracam się do kolegów o pomoc w wyczyszczeniu PC’a z wirusów typu Royal Search, BuenoSearch itp.
Co zaobserowałem, to duży spadek na łączu internetowym, ogólne spowolnienie jednostki.
PC skanowany kilkaktornie programami: NOD32, AdwCleaner oraz MBAM’em.
Logi z OTL w załączniku.
Extras.Txt
OTL.Txt
Nie potrafię sobie poradzić z tymi wirusami gdyż są dość oporne w usunięciu.
Jeszcze takie pytanie z powyższym, na lapku postawiłem świeży system, ale miał już kontakt z PC’em poprzez pamięć przenośną. Czy te wirusy mogły przenieść się taką drogą na lapka? Konieczny będzie reinstal systemu aby był w 100% czysty?
Z góry dziękuję za pomoc. Pozdrawiam!
Mimo wszystko, ale proszę o powagę. Umiem obsługiwać wyszukiwarkę, i gdyby sposoby proponowane w sieci pomagały, nie pisał bym tego posta.
Żaden ze sposobów podawanych w sieci nie pomaga, dlatego proszę o sprawdzenie logów i instrukcje, co robić by sobie z tym poradzić.
tosiekbu
24 Marzec 2014 21:15
#3
Atis
24 Marzec 2014 21:15
#4
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Settings Manager\systemk\SystemkService.exe -- (SystemkService)
SRV - [2014-03-19 22:11:08 | 001,005,056 | ---- | M] () [Auto | Running] -- C:\Users\Luke\AppData\Roaming\BupSystem\bup.exe -- (bupService)
SRV - [2012-08-27 12:32:33 | 000,701,288 | ---- | M] (Hewlett-Packard Co.) [Auto | Stopped] -- C:\Users\Luke\AppData\Local\Temp\7zS4B15\HPSLPSVC32.DLL -- (HPSLPSVC)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\SBREDrv.sys -- (SBRE)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Luke\AppData\Local\Temp\cpuz134\cpuz134_x32.sys -- (cpuz134)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\drivers\AsInsHelp32.sys -- (ASInsHelp)IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2476}: "URL" = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=11471&tm=296&src=ds&p={searchTerms}
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-1466310352-3320799806-1204309280-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.default-search.net?sid=476&aid=132&itype=n&ver=11471&tm=296&src=hmp
IE - HKU\S-1-5-21-1466310352-3320799806-1204309280-1001\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - No CLSID value found
IE - HKU\S-1-5-21-1466310352-3320799806-1204309280-1001\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found
IE - HKU\S-1-5-21-1466310352-3320799806-1204309280-1001\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found
IE - HKU\S-1-5-21-1466310352-3320799806-1204309280-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2476}: "URL" = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=11471&tm=296&src=ds&p={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "default-search.net"
FF - prefs.js..browser.search.order.1: "default-search.net"
FF - prefs.js..browser.search.selectedEngine: "default-search.net"
FF - prefs.js..browser.startup.homepage: "http://www.default-search.net?sid=476&aid=132&itype=n&ver=11471&tm=296&src=hmp"
FF - prefs.js..keyword.URL: "http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=11471&tm=296&src=ds&p="
{355[2011-02-11 13:15:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Luke\AppData\Roaming\Mozilla\Extensions\IMVUClientXUL@imvu.com
[2014-03-24 18:38:04 | 000,000,000 | ---D | M] (Settings Manager) -- C:\Users\Luke\AppData\Roaming\Mozilla\Firefox\Profiles\bnybbfd9.default-1361568154343\extensions\{E729C6EC-E9FF-E59F-355C-EC59F2795E4E}
[2014-03-24 18:38:16 | 000,002,579 | ---- | M] () -- C:\Users\Luke\AppData\Roaming\Mozilla\Firefox\Profiles\bnybbfd9.default-1361568154343\searchplugins\default-search.xml
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1466310352-3320799806-1204309280-1001\..\Toolbar\WebBrowser: (no name) - {90B49673-5506-483E-B92B-CA0265BD9CA8} - No CLSID value found.
O3 - HKU\S-1-5-21-1466310352-3320799806-1204309280-1001\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
O3 - HKU\S-1-5-21-1466310352-3320799806-1204309280-1001\..\Toolbar\WebBrowser: (no name) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No CLSID value found.
O4 - HKU\S-1-5-21-1466310352-3320799806-1204309280-1001..\Run: [] File not found
O20 - AppInit_DLLs: (C:\PROGRA~1\SETTIN~1\systemk\syskldr.dll) - File not found
O37 - HKU\S-1-5-21-1466310352-3320799806-1204309280-1001\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2014-03-19 22:11:11 | 000,000,000 | ---D | C] -- C:\Users\Luke\AppData\Roaming\BupSystem
[2014-03-19 22:11:06 | 000,000,000 | ---D | C] -- C:\Users\Luke\AppData\Roaming\Security System 2
[2013-06-06 19:31:37 | 000,000,000 | -HSD | M] -- C:\Users\Luke\AppData\Roaming\wyUpdate AU
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Pobierz Farbar Recovery Scan Tool 32-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
Więc tak,
Podczas wykonywania skryptu wyskoczył mi komunikat że system napotkał krytyczny problem i zostanie zrestartowany.
Po restarcie, wszystkie ukryte ikony się pokazały, ale nie widzę nigdzie raportu z wykonanego skryptu.
Teraz mam problem z dodaniem loga w formacie pliku dlatego wrzucam cały wpis.
Atis
24 Marzec 2014 22:11
#6
Nie przenosi sie przez pamięć.
Zainstalowałeś adware podczas instalacji jakiegoś programu, więc formatowanie nie ma żadnego sensu.
Musisz ostrożnie instalować programy:
http://www.dobreprogramy.pl/FadeMind/Niechciane-aplikacje,32989.html
http://traxter-online.net/jak-instalowac-aplikacje-w-systemie/
http://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uważać/
http://www.fixitpc.pl/topic/20636-unchecky-rozwiązaniem-na-śmieci-w-instalatorach-do-testów/
Odinstaluj Reimage Repair.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
(Reimage®) C:\Program Files\Reimage\Reimage Repair\ReiGuard.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=11471&tm=296&src=ds&p={searchTerms}
SearchScopes: HKCU - ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e}
CHR HKLM\...\Chrome\Extension: [gnlaniokgfckpjblpafbfchhghecmifi] - C:\Users\Luke\AppData\Local\CRE\gnlaniokgfckpjblpafbfchhghecmifi.crx [2013-04-14]
CHR HKCU\...\Chrome\Extension: [gnlaniokgfckpjblpafbfchhghecmifi] - C:\Users\Luke\AppData\Local\CRE\gnlaniokgfckpjblpafbfchhghecmifi.crx [2013-04-14]
R2 ReimageRealTimeProtection; C:\Program Files\Reimage\Reimage Repair\ReiGuard.exe [4030824 2014-01-15] (Reimage®)
R1 97579651; C:\Windows\System32\DRIVERS\97579651.sys [128016 2009-09-25] (Kaspersky Lab)
R0 97579652; C:\Windows\System32\DRIVERS\97579652.sys [37392 2009-10-22] (Kaspersky Lab)
C:\Windows\system32\%LOCALAPPDATA%
C:\Windows\Reimage.ini
C:\rei
C:\Users\Luke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Linkey.lnk
C:\Program Files\Reimage
C:\ProgramData\systemk
C:\Program Files\Settings Manager
C:\Users\Luke\*.dll
Task: {2B654F2D-9BCC-4648-9C26-984025EC0BA4} - System32\Tasks\{2175DF3F-94CA-4926-A58F-93B743125904} => C:\Windows\system32\msiexec.exe [2010-11-20] (Microsoft Corporation)
Task: {34CE6736-9696-423A-B4E9-DDBBA0EB6221} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2014-01-15] (Reimage ltd.)
Task: {702AD86F-0F8E-4E8C-91E9-62FF3924457A} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => C:\PROGRA~1\AD-AWA~1\AdAwareLauncher.exe
Task: {A9369269-F796-4D92-B6B0-5BF56358FB79} - System32\Tasks\{6D3E0B33-E637-4893-982C-D99BA9C72858} => C:\Users\Luke\Desktop\WoT_0.6.3.11_eu_setup.exe
Task: {E44FCE54-4AF8-4017-BA59-3B9DA6231967} - System32\Tasks\{E7704392-5A58-4A8A-BA52-BF29E13D4424} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Atis
24 Marzec 2014 23:21
#8
Uruchom OTL i do okna Własne opcje skanowania / skrypt wklej:
:Files
C:\Program Files\mozilla firefox\browser\searchplugins\default-search.xml
C:\AdwCleaner
C:\FRST
C:\Users\Luke\AppData\Local\Temp\*.exe
C:\Users\Luke\UNITINDEX.DAT
Kliknij Wykonaj skrypt .
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
W razie problemów:
Przywracanie domyślnych ustawień Firefox
Resetowanie ustawień przeglądarki Chrome
Dzięki wielkie za pomoc! Myślę że teraz powinno być już ok. Widzę czteropak piwa za poświęcony czas!
Takie jeszcze pytanie, odnośnie samych wirusów typu adware - czy mają one jakiś większy (negatywny) wpływ na sam system? Czy tylko utrudniają korzystanie z aplikacji poprzez wyświetlanie niechcianych reklam?
Mają możliwość niszczenia systemu?
Atis
25 Marzec 2014 00:52
#10
Nie niszczą systemu tylko wyświetlają reklamy, zmieniają domyślną wyszukiwarkę i stronę startową w przeglądarce internetowej.
Adware nie jest groźne tylko raczej uciążliwe.
Dzięki wielkie. Jeszcze jedno pytanie odnośnie prędkości łącza, bo dalej bywa powolne. Czy można w jakiś sposób monitorować obciążenie linii?
Jeżeli komputer nie jest czystwy w 100% coś może dalej obciążać linię i stąd te spowolnienia? Jak to zdiagnozować?