Problem z przeglądarką, dziwne procesy w tle

[darkness202]

Witam,

zgłaszam się do Was po pomoc. Otóż na komputerze mojego ojca dzieją się dziwne rzeczy, od niedawna wejście np. na stronę interia.pl i potem na jakąś jej podstronę z włączonym javascriptem przeglądarka się blokuje na jakiś skrypcie. Na operze to nie występuje. Na innych stronach też się to działo. Dodatkowo znalazłem uruchomione dziwne procesy np. wg3z7qoq.exe. SKanowanie dr web niewiele pomogło, znalazł dloader trojan. niestety nie mam loga z tej aplikacji.

Pozdrawiam.

Addition.txt

Extras.Txt

FRST.txt

gmer.txt

OTL.Txt

[picasso]

Istotnie, w starcie są obiekty infekcji (w tym robak Gamarue). Poza tym, też różne reklamodawcze adware się walają. Określone adware nabyte z serwisu dobreprogramy.pl i "Asystenta pobierania" (instaluje w systemie mocno niepożądane obiekty Delta Toolbar + "protector ustawień" tu w wersji BitGuard). Dowodem są te pliki "Asystenta" na dysku (to NIE jest plik skanera CureIt!), na ironię ziazi się stało przy pobieraniu programu skanującego (!):

 

2013-09-18 08:58 - 2013-09-18 08:58 - 00685248 _____ C:\Users\admin\Downloads\Dr.WEB-CureIt(12976) (2).exe

2013-09-18 08:22 - 2013-09-18 08:22 - 00685248 _____ C:\Users\admin\Downloads\Dr.WEB-CureIt(12976) (1).exe

2013-09-18 08:21 - 2013-09-18 08:21 - 00685248 _____ C:\Users\admin\Downloads\Dr.WEB-CureIt(12976).exe

 

Nigdy nie używaj największego przycisku "Pobierz" w tym serwisie, on celowo zwraca uwagę. Jeśli już pobierasz stamtąd, zawsze wybieraj "Linki bezpośrednie". A tak w ogóle omijać szerokim łukiem portale pośrednie z oprogramowaniem. Tylko strona domowa programu gwarantuje czysty program.

 

 

Dodatkowo znalazłem uruchomione dziwne procesy np. wg3z7qoq.exe. SKanowanie dr web niewiele pomogło, znalazł dloader trojan. niestety nie mam loga z tej aplikacji.

Akurat proces wg3z7qoq.exe jest w porządku, to proces właśnie Dr. Web:

 

==================== Processes (Whitelisted) =================
 

(Doctor Web, Ltd.) C:\Users\admin\AppData\Local\Temp\6E8FEC60-6BF792A0-49B3D820-4850A940\wg3z7qoq.exe

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Users\admin\AppData\Local\avgchrome
C:\Users\admin\AppData\Local\Temp\*.com
C:\Users\admin\AppData\Local\Temp\*.exe
C:\Users\admin\AppData\Local\Temp\*.pif
C:\Users\admin\AppData\Roaming\*.exe
C:\Users\admin\AppData\Roaming\0F1F1C2Y1H1P1C0I0T
C:\Users\admin\AppData\Roaming\245E05C3
C:\Users\admin\AppData\Roaming\asfattsadfsat
C:\Users\admin\AppData\Roaming\BabSolution
C:\Users\admin\AppData\Roaming\Babylon
C:\Users\admin\AppData\Roaming\dclogs
C:\Users\admin\AppData\Roaming\OpenCandy
C:\Users\admin\AppData\Roaming\Systweak
C:\Users\admin\Downloads\Dr.WEB-CureIt*.exe
C:\ProgramData\DSearchLink
C:\ProgramData\Babylon
C:\adfsadjfosag
HKCU\...\Run: [MSConfig] - C:\Users\admin\AppData\Roaming\MSconfig.exe
HKCU\...\Run: [MSUpdate] - C:\Users\admin\AppData\Roaming\MSUpdate.exe [1099182 2013-09-14] ()
HKCU\...\Run: [AudioDrivers] - C:\Users\admin\AppData\Roaming\AudioDriver.exe [1079350 2013-09-17] ()
HKCU\...\CurrentVersion\Windows: [Load] C:\Users\admin\LOCALS~1\Temp\msbenov.com 
HKCU\...\Run: [ALLUpdate] - "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"
HKLM-x32\...\Run: [] - [x]
HKLM-x32\...\Run: [ApnUpdater] - "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" [x]
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\config.exe ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=245E5404A6A21426&affID=119357&tsp=5008
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=245E5404A6A21426&affID=119357&tsp=5008
URLSearchHook: (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File
SearchScopes: HKLM-x32 - DefaultScope {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20121224150743260&tb_oid=24-12-2012&tb_mrud=24-12-2012
SearchScopes: HKLM-x32 - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20121224150743260&tb_oid=24-12-2012&tb_mrud=24-12-2012
SearchScopes: HKCU - DefaultScope {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20121224150743260&tb_oid=24-12-2012&tb_mrud=24-12-2012
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=245E5404A6A21426&affID=119357&tsp=5008
SearchScopes: HKCU - {1DF7221F-7D5E-4BA1-8614-A91A676BC539} URL = http://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=101699&src=kw&q={searchTerms}&locale=&apn_ptnrs=^F4&apn_dtid=^YYYYYY^YY^PL&apn_uid=97d1547d-adee-4e42-bfe8-f43e434b64d9&apn_sauid=61639FE7-1AF1-4AC6-8C2C-BA4FD546B18C
SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20121224150743260&tb_oid=24-12-2012&tb_mrud=24-12-2012
BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.24.6\bh\delta.dll (Delta-search.com)
BHO-x32: Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM-x32 - Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com)
CHR HKLM-x32\...\Chrome\Extension: [aaaaoiagmlcohkmjodefppbmpjdiocmh] - C:\Users\admin\AppData\Local\APN\GoogleCRXs\aaaaoiagmlcohkmjodefppbmpjdiocmh_7.17.6.0.crx
CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\admin\AppData\Roaming\BabSolution\CR\Delta.crx
Task: {752B905C-7DB3-45E6-81DD-9F2D7500E15A} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe
Task: {972ACA7D-A1B7-4E85-A947-514FF274B7E2} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe
Task: {9F4443AC-4D7B-473E-B2A8-4E3C1CD477D4} - System32\Tasks\BitGuard => Sc.exe start BitGuard
Task: {B9C8E597-DC9D-4C88-B9FC-340FC9826B9C} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe
Task: {F30FC943-E824-41C8-A2DB-F694D2150355} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe
Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe
Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe
R2 BitGuard; C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [2845152 2013-09-10] ()
S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [x]
S3 ALSysIO; \??\C:\Users\admin\AppData\Local\Temp\ALSysIO64.sys [x]
CMD: netsh advfirewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, BitGuard, Delta Chrome Toolbar, Delta toolbar, Download Updater (AOL LLC), Foxit PDF Creator Toolbar Updater, Mozilla Firefox Packages, RegClean Pro oraz archaiczny niezgodny z systemem x64 HiJackThis.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia trzeba będzie przeinstalować.

 

4. Wyczyść Google Chrome (ma także uszkodzone preferencje):

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > Po uruchomieniu > usuń strony tam otwierane, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń strony tam otwierane
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci (o ile będą).
• Ustawienia > karta Historia > wyczyść

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[darkness202]

Dziękuję za bardzo szybką odpowiedź.

Oto logi które otrzymałem po wykonaniu listy czynności.

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Wszystko zrobione, ale jeden skutek uboczny operacji, tzn. AdwCleaner omyłkowo wywalił wpisy paska Skype zintegrowanego z Internet Explorer. Spróbuję przerejestrować biblioteki Skype.

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: regsvr32 /s "C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll"
CMD: C:\Windows\SysWOW64\regsvr32.exe /s "C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

.