Jak usunąć safesaver

[Mishocod]

Witam, nie wiem czy w dobrym miejscu założyłem temat. Moje pytanie brzmi jak usunąć to spyware, jedyne co mi przychodzi do głowy to fromat, jednak na razie wolałbym sie od tego powstrzymać

[cr!s]

a) Ściągnij Adwcleaner -> http://www.bleepingcomputer.com/download/adwcleaner/, po uruchomieniu wybierz opcję 'Szukaj'. Po skanowaniu usuń wszystko co program wykryje. Log wrzuć na forum.

b) Ściągnij OTL -> http://www.bleepingcomputer.com/download/otl/ i wykonaj pełny skan. Wrzuć logi na forum.

Pozdrawiam

[Mishocod]

co to jest log?

[cr!s]

To plik tekstowy (najczęściej *txt) który jest wyświetlany (zwykle automatycznie) po zakończeniu skanowania (poprostu wynik skanowania). Musisz go wrzucić, żebym widział co tam siedzi u ciebie w systemie.

[plmpcrue]

Mam ten sam problem oto moje logi:

ADW.txtOTL.Txt

Z góry dziękuje.

[cr!s]

Uruchom OTL i wklej:

:OTL

MOD - [2013-12-28 17:29:26 | 004,458,496 | ---- | M] () -- c:\ProgramData\Browsafe\Browsafe.dll

SRV - File not found [On_Demand | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe -- (McSysmon)

SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe -- (McShield)

SRV - File not found [Auto | Stopped] -- D:\Pobrane\{ad30a369-08e3-414c-9d2c-7f47dbe748da}\BEWConfigSrv.exe -- (BEWConfigSrv)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Arek\AppData\Local\Temp\catchme.sys -- (catchme)

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (azacsz45)

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (aqlfqap4)

O2 - BHO: (Bruowsee2save) - {036D7834-1D57-AF52-3205-E8A35BAE16DD} - C:\ProgramData\Bruowsee2save\515811c725263.dll File not found

O2 - BHO: (extrafind) - {105fb51b-a583-52b8-48b8-81afcb400f9b} - C:\Windows\System32\5f7a50bf.dll ()

O2 - BHO: (Browse2save) - {3FEC1B3D-FB2E-8AC4-BB69-06463387B15F} - C:\ProgramData\Browse2save\50fea7bf55567.dll File not found

O2 - BHO: (BrowwSe2savee) - {49029EA0-E98C-78A8-207D-BAFA3897E26B} - C:\ProgramData\BrowwSe2savee\512e2ba8689f4.dll File not found

O2 - BHO: (Broewse2ysuave) - {DC856F2C-BAC6-2F7C-EBE8-F25AF8A00005} - C:\ProgramData\Broewse2ysuave\51552cc3196f8.dll File not found

O2 - BHO: (Seayrech-NeWTab) - {E7D8EF6F-5E65-3FEB-0784-E295537AC1FF} - C:\ProgramData\Seayrech-NeWTab\515811f3bc1ee.dll File not found

O4 - HKLM..\Run: [start_BusinessEverywhere_{ad30a369-08e3-414c-9d2c-7f47dbe748da}] D:\Pobrane\{ad30a369-08e3-414c-9d2c-7f47dbe748da}\BusinessEverywhere.exe File not found

O4 - HKLM..\Run: [start_SMSNotifier_{ad30a369-08e3-414c-9d2c-7f47dbe748da}] D:\Pobrane\{ad30a369-08e3-414c-9d2c-7f47dbe748da}\SMSNotifier.exe File not found

O4 - HKLM..\Run: [start_Update_{ad30a369-08e3-414c-9d2c-7f47dbe748da}] D:\Pobrane\{ad30a369-08e3-414c-9d2c-7f47dbe748da}\UpdteApp.exe File not found

O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Users\Arek\Desktop\PartyPoker.lnk File not found

O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Users\Arek\Desktop\PartyPoker.lnk File not found

O20 - AppInit_DLLs: (c:\progra~2\browsafe\browsafe.dll) - c:\ProgramData\Browsafe\Browsafe.dll ()

O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No CLSID value found.

IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=08cf99d0-1c50-11e1-a98d-001377e617a2&q={searchTerms}

CHR - plugin: StartSearch Video plug-in (Enabled) = D:\Programy\Mozilla Firefox\plugins\npvsharetvplg.dll

FF - prefs.js..browser.search.defaultenginename: "error"

FF - prefs.js..browser.search.order.1: "error"

FF - prefs.js..browser.search.selectedEngine: "error"

FF - prefs.js..keyword.URL: "error"

FF - prefs.js..browser.search.useDBForOrder: true

:Files

C:\ProgramData\Browsafe

:Commands

[emptytemp]

i kliknij Wykonaj skrypt. Czy problem nadal występuje?

[plmpcrue]

Niestety problem dalej występuje.

[cr!s]

Co dokładnie występuje (wyskakujące reklamy, zmiana strony startowej etc - w jakiej przeglądarce)? Wykonaj jeszcze raz skan OTL i wrzuć log.

Pozdrawiam.

[Sevard]

Masz strasznie nieaktualny system, do tego pirackiego Office'a:

SRV - [2013-05-01 14:01:50 | 000,008,192 | ---- | M] () [Auto | Stopped] -- C:\Windows\System32\srvany.exe -- (KMService)

i jeszcze się dziwisz, że złapałeś jakąś infekcję?

Uzupełnij logi o plik Extras.txt z OTL (powinien być wygenerowany przy pierwszym skanie OTL).

System 32-bitowy, więc szansa, że gdzieś jest rootkit jest dosyć spora. Do zestawu logów dorzuć więc log z GMERa (wygeneruj go tak, jak jest to opisane tutaj, krok z wyłączeniem emulacji nie jest opcjonalny!).

[MikaelDorren]

@plmpcrue:

Za pirackiego Office dostajesz ostrzeżenie.