Reklamiarz, logi

Witam
proszę o sprawdzenie logów:

http://www.wklej.eu/index.php?id=ea7ebee390

czy wszystko jest w porządku? ( miałam reklamiarza, chwilowo jest spokój ale nie wiem czy pozbyłam się go na dobre)

niepokoi mnie jednak komunikat:

"c:\windows\SysWow64\lsass.exe . . . jest zainfekowany!!"

poniżej podaję dodatkowe logi,
proszę o sprawdzenie i podpowiedz co zrobić aby pozbyć się wirusa w postaci okienek z reklamami ,
oprócz uciązliwych reklam komputer bardzo zwolnił i trzeba czekć kilka sekund zanim przejdzie się z jednego okna dialoowego do drugiego

log OTL : http://www.wklej.eu/index.php?id=ad9b261bcd
Log GMER: http://www.wklej.eu/index.php?id=86f09ef633
LOG aswMBR : http://www.wklej.eu/index.php?id=74dd0af29d

Bardzo proszę o jakies informacje

Dziękuje

Brak drugiego logu z OTL (Extras.txt), uzupełnij.

Przeskanuj plik c:\windows\SysWow64\lsass.exe na https://www.virustotal.com/ i podaj wyniki.

EXTRAS http://www.wklej.eu/index.php?id=6bd5a13ead

nie mogę znaleźć pliku " lsass.exe" we wskazanej lokalizacji. Mogło go gdzieś przenieść?

Mogę zrobić na nowo logi jeśli trzeba.

poniżej prt sc z szukania pliku " lsaas.exe" , któryś z wymienionych mam przeskanować?

http://img31.otofotki.pl/vs882_priint-s ... u.png.html

Skoro pliku nie ma w tej lokalizacji, to pomijamy ten krok.

Odinstaluj: Google Toolbar for Internet Explorer, Bing Bar Platform, AVG Security Toolbar, DefaultTab, iLivid, Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.)

W ustawieniach Chrome zmień wyszukiwarkę oraz stronę startową na np. google.pl Następnie:

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
SRV - [2014/01/12 10:17:09 | 000,097,056 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Cling Clang\updateClingClang.exe -- (Update Cling Clang)
SRV - [2014/01/11 15:56:42 | 000,097,056 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Cling Clang\bin\utilClingClang.exe -- (Util Cling Clang)
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=429&systemid=406&v=a10781-164&apn_uid=1494912441204318&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=429&systemid=406&v=a10781-164&apn_uid=1494912441204318&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKU\S-1-5-21-3906805819-1324049368-2853143880-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?o=APN10645A&gct=hp&d=406-429&v=a10781-164&t=4
IE - HKU\S-1-5-21-3906805819-1324049368-2853143880-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4
IE - HKU\S-1-5-21-3906805819-1324049368-2853143880-1000\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=a6c76330000000000000000000000000&tlver=1.4.19.19&affID=17160
IE - HKU\S-1-5-21-3906805819-1324049368-2853143880-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-3906805819-1324049368-2853143880-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=429&systemid=406&v=a10781-164&apn_uid=1494912441204318&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
IE - HKU\S-1-5-21-3906805819-1324049368-2853143880-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKU\S-1-5-21-3906805819-1324049368-2853143880-1000\..\SearchScopes\{FA7B30CE-8733-4444-8AAE-96022BD4D8DC}: "URL" = http://www.mysearchresults.com/search?c=3524&t=01&q={searchTerms}
CHR - Extension: Cling Clang = C:\Users\Kitka\AppData\Local\Google\Chrome\User Data\Default\Extensions\adhpiademcfnoaninfbhahnilgnpoeaa\1.0.0_0\
O2 - BHO: (DefaultTab Browser Helper) - {7F6AFBF1-E065-4627-A2FD-810366367D01} - C:\Users\Kitka\AppData\Roaming\defaulttab\defaulttab\DefaultTabBHO.dll File not found
O2 - BHO: (Related Searches) - {96A25A24-2E87-4374-8A50-CC6F943FCE4D} - C:\Users\Kitka\AppData\Roaming\defaulttab\defaulttab\Apps\RelatedLinksBHO.dll File not found
O2 - BHO: (kikin Plugin) - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Program Files (x86)\kikin\ie_kikin.dll File not found
O2 - BHO: (Cling Clang) - {aa9aa36b-5b7b-4996-b083-83ef84d53b19} - C:\Program Files (x86)\Cling Clang\ClingClangBHO.dll (Cling Clang)
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll ()
O3 - HKLM\..\Toolbar: (no name) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8dcb7100-df86-4384-8842-8fa844297b3f} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Related Searches) - {96A25A24-2E87-4374-8A50-CC6F943FCE4D} - C:\Users\Kitka\AppData\Roaming\defaulttab\defaulttab\Apps\RelatedLinksBHO.dll File not found
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll ()
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-3906805819-1324049368-2853143880-1000..\Run: [iLivid] C:\Users\Kitka\AppData\Local\iLivid\iLivid.exe (Bandoo Media Inc.)
O8:64bit: - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~3\OFFICE11\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~3\OFFICE11\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O9 - Extra 'Tools' menuitem : My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Program Files (x86)\kikin\ie_kikin.dll File not found
[2013/12/30 18:56:54 | 000,000,000 | ---D | C] -- C:\ProgramData\BrowserProtect
[2013/12/30 18:56:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Browser Manager
[2014/01/13 20:03:06 | 000,000,928 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3906805819-1324049368-2853143880-1000UA.job
[2014/01/12 23:03:00 | 000,000,906 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3906805819-1324049368-2853143880-1000Core.job
[2014/01/13 14:06:30 | 000,000,000 | ---D | M] -- C:\Users\Kitka\AppData\Roaming\defaulttab

:Files
C:\Program Files (x86)\Cling Clang
C:\Program Files (x86)\BearShare Applications\MediaBar
C:\Users\Kitka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

Log z usuwania
http://www.wklej.eu/index.php?id=28c1254efd
Log OTL :
http://www.wklej.eu/index.php?id=4a1846448d
log EXTRAS

co dalej ?

Log EXTRAS http://www.wklej.eu/index.php?id=2d4ea9de08

Nie zmieniłeś ustawień Chrome. Poza tym nie wiem w jakim celu uruchamiasz narzędzie VundoFix, które jest mocno przestarzałe i obecnie w ogóle nieprzydatne. Nie wspominając o tym, że oficjalnie nie wspiera systemów nowszych od Visty.

Wklej w OTL:

:OTL
O3 - HKU\S-1-5-21-3906805819-1324049368-2853143880-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-3906805819-1324049368-2853143880-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
[2014/01/13 21:41:35 | 000,000,000 | ---D | C] -- C:\VundoFix Backups

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

VundoFix użyłam miedzy jednym tworzeniem logów a drugim, zanim otrzymałam pierwsze wskazówki od Ciebie. Zmieniłam raz jeszcze ustawienia chrome( wcześniej musiałam nie potwierdzić zmiany ) poniżej logi:

usuwanie: http://www.wklej.eu/index.php?id=835c5ceda5
otl: http://www.wklej.eu/index.php?id=12d4f73755
Extras: http://www.wklej.eu/index.php?id=1e4458dc38

co dalej?

Te ustawienia w Chrome zmieniłaś przed czy po wykonaniu nowych logów?? Bo w logach nadal widzę wyszukiwarkę i stronę startową Ask.

przed wykonaniem logów, a po jeszcze sprawdzałam czy napewno

poniżej print screen

http://img31.otofotki.pl/xr340_prt-sc.png.html

to chyba że w innym miejscu to zmieniam?

W innym miejscu. Zaznacz "Pokaż przycisk strony startowej" i poniżej pojawi się opcja Zmień. Wtedy wykasuj pozostałe, a ustaw np. google.pl
Jeśli chodzi o wyszukiwarkę to niżej masz "Wyszukiwanie" i tam z listy wybierz Google. Następnie kliknij Zarządzaj wyszukiwarkami i usuń tą od Ask.

Gotowe
Dzięki za uświadomienie

Czy cos jeszcze powinnam zrobić?

Reklam złośliwych już nie ma

Bardzo Bardzo dziękuję za Pomoc! Dla mnie jesteś " Mistrzem"

Kończymy.

W OTL Sprzątanie

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.2 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html