Just nu i M3-nätverket
Gå till innehåll

Reklamvirus


cybertears

Rekommendera Poster

Jag har fått in en dell dator där någon idiot har raderat recovery image filen så datorn inte kan återställas till fabriksinstallationen. Hon har fått reklamvirus och jag undrar om jag har fått bort allt eller om det är något mer som ligger.

 

FRST.txt

 

Addition.txt

 

Det verkar vara en del errors som jag inte vet vad det innebär men det kanske man kan få svar på?

 

Tack på förhand!

 

Jessar94

Länk till kommentar
Dela på andra webbplatser

1. Om möjligt avinstallera "SelectionTool" som kom in i datorn i maj, så vitt jag kan se.

http://www.systemlookup.com/Drivers/10394-SelectionToolcw171_exe.html

Och "fst_se_56": http://www.systemlookup.com/Startup/26736-upfst_us_86_exe.html

 

2. Spara AdwCleaner av Xplode på Skrivbordet: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Scan-knappen.
Vänta tills sökningen är klar.
Klicka på Report-knappen.
En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.
Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner[R0].txt
 

Länk till kommentar
Dela på andra webbplatser

1. Om möjligt avinstallera "SelectionTool" som kom in i datorn i maj, så vitt jag kan se.

http://www.systemlookup.com/Drivers/10394-SelectionToolcw171_exe.html

Och "fst_se_56": http://www.systemlookup.com/Startup/26736-upfst_us_86_exe.html

 

2. Spara AdwCleaner av Xplode på Skrivbordet: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

 

Klicka på Scan-knappen.

Vänta tills sökningen är klar.

Klicka på Report-knappen.

En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.

Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner[R0].txt

 

1. Do gick att avinstallera, jag ska fråga henne på måndag om det är något som hon känner till.

2. Här är loggen:

 

# AdwCleaner v3.310 - Report created 26/09/2014 at 16:18:40
# Updated 12/09/2014 by Xplode
# Operating System : Windows 7 Home Premium  (32 bits)
# Username : Åbyskolan - DATOR
# Running from : C:\Users\Åbyskolan\Desktop\adwcleaner_3.310.exe
# Option : Scan
 
***** [ Services ] *****
 
Service Found : {b8a90375-3b37-4954-86de-f96c458c4ce2}Gw
 
***** [ Files / Folders ] *****
 
File Found : C:\END
File Found : C:\Users\Åbyskolan\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.superfish.com_0.localstorage
File Found : C:\Users\Åbyskolan\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.superfish.com_0.localstorage-journal
File Found : C:\Windows\system32\drivers\{b8a90375-3b37-4954-86de-f96c458c4ce2}Gw.sys
Folder Found : C:\Program Files\predm
Folder Found : C:\ProgramData\2308189059
Folder Found : C:\ProgramData\WPM
Folder Found : C:\Users\Åbyskolan\AppData\Local\SearchProtect
Folder Found : C:\Users\Åbyskolan\AppData\Roaming\SupTab
Folder Found : C:\Users\Åbyskolan\AppData\Roaming\webssearches
 
***** [ Scheduled Tasks ] *****
 
 
***** [ Shortcuts ] *****
 
 
***** [ Registry ] *****
 
Data Found : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command [(Default)] - C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1399054369&from=tugs&uid=ST9320423AS_5VJ969KZXXXX5VJ969KZ
Key Found : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Key Found : HKCU\Software\FreeSoftToday
Key Found : HKCU\Software\TutoTag
Key Found : HKCU\Software\Vittalia
Key Found : HKLM\SOFTWARE\{1146AC44-2F03-4431-B4FD-889BC837521F}
Key Found : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Key Found : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Key Found : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Key Found : HKLM\SOFTWARE\Classes\speedupmypc
Key Found : HKLM\SOFTWARE\free_soft_to_day
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\InstallManagerR_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\InstallManagerR_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\NewPlayer_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\NewPlayer_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\NewPlayerUpdater_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\NewPlayerUpdater_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\optimizerpro_rasapi32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\optimizerpro_rasmancs
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\optprostart_rasapi32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\optprostart_rasmancs
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\speedupmypc_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\speedupmypc_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\SupTab_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\SupTab_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\wpm_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\wpm_RASMANCS
Key Found : HKLM\SOFTWARE\SearchProtect
Key Found : HKLM\SOFTWARE\SupTab
Key Found : HKLM\SOFTWARE\supWPM
Key Found : HKLM\SOFTWARE\Tutorials
Key Found : HKLM\SOFTWARE\Uniblue
Key Found : HKLM\SOFTWARE\webssearchesSoftware
Key Found : HKLM\SOFTWARE\Wpm
 
***** [ Browsers ] *****
 
-\\ Internet Explorer v8.0.7600.17267
 
Setting Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://istart.webssearches.com/web/?type=ds&ts=1399054369&from=tugs&uid=ST9320423AS_5VJ969KZXXXX5VJ969KZ&q={searchTerms}
Setting Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://istart.webssearches.com/?type=hp&ts=1399054369&from=tugs&uid=ST9320423AS_5VJ969KZXXXX5VJ969KZ
Setting Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [start Page] - hxxp://istart.webssearches.com/?type=hp&ts=1399054369&from=tugs&uid=ST9320423AS_5VJ969KZXXXX5VJ969KZ
Setting Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [search Page] - hxxp://istart.webssearches.com/web/?type=ds&ts=1399054369&from=tugs&uid=ST9320423AS_5VJ969KZXXXX5VJ969KZ&q={searchTerms}
 
-\\ Google Chrome v37.0.2062.124
 
[ File : C:\Users\Åbyskolan\AppData\Local\Google\Chrome\User Data\Default\preferences ]
 
 
*************************
 
AdwCleaner[R0].txt - [4800 octets] - [26/09/2014 16:18:40]
 
########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [4860 octets] ##########
Länk till kommentar
Dela på andra webbplatser

Rensat, här är logg på det med:

 

 # AdwCleaner v3.310 - Report created 26/09/2014 at 16:24:29

# Updated 12/09/2014 by Xplode
# Operating System : Windows 7 Home Premium  (32 bits)
# Username : Åbyskolan - DATOR
# Running from : C:\Users\Åbyskolan\Desktop\adwcleaner_3.310.exe
# Option : Clean
 
***** [ Services ] *****
 
Service Deleted : {b8a90375-3b37-4954-86de-f96c458c4ce2}Gw
 
***** [ Files / Folders ] *****
 
Folder Deleted : C:\ProgramData\2308189059
Folder Deleted : C:\ProgramData\WPM
Folder Deleted : C:\Program Files\predm
Folder Deleted : C:\Users\Åbyskolan\AppData\Local\SearchProtect
Folder Deleted : C:\Users\Åbyskolan\AppData\Roaming\SupTab
Folder Deleted : C:\Users\Åbyskolan\AppData\Roaming\webssearches
File Deleted : C:\END
File Deleted : C:\Windows\system32\drivers\{b8a90375-3b37-4954-86de-f96c458c4ce2}Gw.sys
File Deleted : C:\Users\Åbyskolan\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.superfish.com_0.localstorage
File Deleted : C:\Users\Åbyskolan\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.superfish.com_0.localstorage-journal
 
***** [ Scheduled Tasks ] *****
 
 
***** [ Shortcuts ] *****
 
 
***** [ Registry ] *****
 
Key Deleted : HKLM\SOFTWARE\Classes\speedupmypc
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASMANCS
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\InstallManagerR_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\InstallManagerR_RASMANCS
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\NewPlayer_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\NewPlayer_RASMANCS
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\NewPlayerUpdater_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\NewPlayerUpdater_RASMANCS
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\optimizerpro_rasapi32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\optimizerpro_rasmancs
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\optprostart_rasapi32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\optprostart_rasmancs
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\speedupmypc_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\speedupmypc_RASMANCS
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\SupTab_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\SupTab_RASMANCS
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\wpm_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\wpm_RASMANCS
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
Data Restored : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
Key Deleted : HKCU\Software\FreeSoftToday
Key Deleted : HKCU\Software\TutoTag
Key Deleted : HKCU\Software\Vittalia
Key Deleted : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Key Deleted : HKLM\SOFTWARE\{1146AC44-2F03-4431-B4FD-889BC837521F}
Key Deleted : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Key Deleted : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Key Deleted : HKLM\SOFTWARE\free_soft_to_day
Key Deleted : HKLM\SOFTWARE\SearchProtect
Key Deleted : HKLM\SOFTWARE\SupTab
Key Deleted : HKLM\SOFTWARE\supWPM
Key Deleted : HKLM\SOFTWARE\Tutorials
Key Deleted : HKLM\SOFTWARE\Uniblue
Key Deleted : HKLM\SOFTWARE\webssearchesSoftware
Key Deleted : HKLM\SOFTWARE\Wpm
 
***** [ Browsers ] *****
 
-\\ Internet Explorer v8.0.7600.17267
 
Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [start Page]
Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [search Page]
 
-\\ Google Chrome v37.0.2062.124
 
[ File : C:\Users\Åbyskolan\AppData\Local\Google\Chrome\User Data\Default\preferences ]
 
 
*************************
 
AdwCleaner[R0].txt - [4940 octets] - [26/09/2014 16:18:40]
AdwCleaner[s0].txt - [4363 octets] - [26/09/2014 16:24:29]
 
########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [4423 octets] ##########
Länk till kommentar
Dela på andra webbplatser

Utmärkt!

 

1. Starta FRST, bocka för Addition.txt och ta bort bockarna för de andra alternativen. Skanna och bifoga de nya FRST.txt och Additions.txt.

 

2. Skanna datorn online på http://www.eset.com/onlinescan/ och använd helst Internet Explorer till det.
För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

Välj alternativet Enable detection of potentially unwanted applications.

Klicka på Advanced Settings.
Ta bort bocken framför Remove found threats.
Bocka för:
Scan Archives
Scan for potentially unsafe applications
Enable Anti-Stealth Technology

Klicka på Start

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

Länk till kommentar
Dela på andra webbplatser

Utmärkt!

 

1. Starta FRST, bocka för Addition.txt och ta bort bockarna för de andra alternativen. Skanna och bifoga de nya FRST.txt och Additions.txt.

Jag antar att jag inte skulle bocka i list BCD, Drivers MD5 & shortcut.txt

eller har jag missförstått dig? :) 

FRST.txt

Addition.txt

Länk till kommentar
Dela på andra webbplatser

Precis bara bock för Addition.txt.

 

Är det meningen att det ska vara inställt att Chrome-inställningar inte får ändras?

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Kan ju vara en inställning som skolan gjort.

Länk till kommentar
Dela på andra webbplatser

Precis bara bock för Addition.txt.

 

Är det meningen att det ska vara inställt att Chrome-inställningar inte får ändras?

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

Kan ju vara en inställning som skolan gjort.

Det är en gammal elevdator så det kan vara mycket möjligt att den policyn är satt då.

Men är det något som borde ändras då det inte behövs längre?

Länk till kommentar
Dela på andra webbplatser

C:\Users\Åbyskolan\AppData\Local\Temp\dfsE149.tmp a variant of MSIL/DomaIQ.B potentially unwanted application

C:\Users\Åbyskolan\AppData\Local\Temp\dfsEC41.tmp a variant of MSIL/DomaIQ.B potentially unwanted application

C:\Users\Åbyskolan\AppData\Local\Temp\setup.exe multiple threats

C:\Users\Åbyskolan\AppData\Local\Temp\0c2beb94-965f-4c26-be8e-2dcbd033a27c\software\Cloud_Backup_Setup.exe Win32/MyPCBackup.A potentially unwanted application

C:\Users\Åbyskolan\AppData\Local\Temp\0c2beb94-965f-4c26-be8e-2dcbd033a27c\software\Freesofttoday.exe multiple threats

C:\Users\Åbyskolan\AppData\Local\Temp\0c2beb94-965f-4c26-be8e-2dcbd033a27c\software\New_Player.exe a variant of MSIL/NewPlayer.A potentially unwanted application

C:\Users\Åbyskolan\AppData\Local\Temp\e6d37a91-f08a-45b7-ba91-280f88f43f0c\software\New_Player.exe a variant of MSIL/NewPlayer.A potentially unwanted application

C:\Users\Åbyskolan\AppData\Local\Temp\e6d37a91-f08a-45b7-ba91-280f88f43f0c\software\OptimizerPro.exe Win32/SpeedingUpMyPC.J application

C:\Users\Åbyskolan\AppData\Local\Temp\is-BG6Q0.tmp\package_secureprotect_installer_multilang.exe Win32/AdWare.EoRezo.AW application

C:\Users\Åbyskolan\AppData\Local\Temp\is-H18DD.tmp\package_SelectionTool_installer_multilang.exe Win32/AdWare.EoRezo.AW application

 

Det försvinner väl med en diskrensning?

Länk till kommentar
Dela på andra webbplatser

Kan ta bort det med FRST sen.

Det är väl bara att köra en diskrensning och sedan avinstallera alla specialverktygen?

Länk till kommentar
Dela på andra webbplatser

Starta Anteckningar.

Kopiera alla rader i rutan:

HKLM\...\Run: [fst_se_56] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

Hur fungerar datorn nu?

Länk till kommentar
Dela på andra webbplatser

Här var det inlägg om vartannat ;)

 

Efter föregående är det diskrensning för att tömma temp-mappar och avinstallation av AdwCleaner och FRST som gäller.

Länk till kommentar
Dela på andra webbplatser

Hur fungerar datorn nu?

Den är mycket snabbare nu :)

 

Här var det inlägg om vartannat ;)

 

Efter föregående är det diskrensning för att tömma temp-mappar och avinstallation av AdwCleaner och FRST som gäller.

Adwcleaner avinstallerat

FRST avinstallerat

Diskrensning körd

 

Tack så mycket Cecilia för all hjälp

Länk till kommentar
Dela på andra webbplatser

FRST logg:

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 26-09-2014

Ran by Åbyskolan at 2014-09-26 19:09:16 Run:1

Running from C:\Users\Åbyskolan\Desktop

Loaded Profile: Åbyskolan (Available profiles: Åbyskolan)

Boot Mode: Normal

 

==============================================

 

Content of fixlist:

*****************

HKLM\...\Run: [fst_se_56] => [X]

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

*****************

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\fst_se_56 => value deleted successfully.

C:\Windows\system32\GroupPolicy\Machine => Moved successfully.

C:\Windows\system32\GroupPolicy\GPT.ini => Moved successfully.

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} => value deleted successfully.

"HKCR\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}" => Key not found.

"HKLM\SOFTWARE\Policies\Google" => Key deleted successfully.

 

 

The system needed a reboot. 

 

==== End of Fixlog ====

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...