PutlockerDownloader

[Git]

Witam,

 

Chciałem oglądnąć film, który był hostowany za pośrednictwem strony putlocker.com

Do tej pory oglądałem przy pomocy przeglądarki za pośrednictwem tego serwisu jako "Free user" i nic złego się nie działo. Chciałem jednak oglądnąć sobie go później bez dostępu do internetu i kliknąłem aby go pobrać. Uruchomiła mi się jakaś instalacja i po przeczytaniu jej uważnie kliknąłem na "close" aby ją zamknąć. Niestety wyskoczyło mi okienko że potrzebne elementy są pobierane i skończyłem z zainstalowanym jakimś syfem Na pasku pojawiła mi się jakaś aplikacja ( nazwy niestety nie pamiętam bo odinstalowałem ją od razu) i w manu start pojawił się PutlockerDownloader. W przeglądarkach jako domyślna zaczęła się otwierać strona:

 

hxxp://www.nationzoom.com/?type=hp&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811

 

za pomocą CCleaner usunąłem śmieci z systemu i rejestru. Niestety nic to nie dało, więc przy pomocy Przywracania Systemu przywróciłem system z przed kilku dni, przy ponownym uruchomieniu komputera wyskoczyły komunikaty (w załączniku):

 

po_restarcie_maly.png

 

Oczywiście to też nic nie dało więc włączyłem szybkie skanowanie Avast. (Wynik w załączniku) - znalazł 1 zarażony plik i umieścił w kwarantannie.

 

Program PutlockerDownloader niby się odinstalował ale pozostały komunikaty przy uruchomieniu systemu oraz przy próbie uruchomienia pliku wykonywalnego pojawia się błąd (w załączniku) i program nie otwiera się, co ciekawe tylko za pierwszym razem, za drugim program otwiera się normalnie.:

 

przy_otwieraniu_exe_maly.png

 

 

Avast ma wyłączone osłony i przy próbie ich uruchomienia zawiesza się.

 

Chciałem dodać skan przeprowadzony programem Security Check niestety wyskoczył komunikat "System nie może wykonać określonego programu" i program się zamknął.

 

Nie mogłem odinstalować DAEMON Tools Lite więc użyłem programu Defogger.

 

Bardzo proszę o analizę zamieszczonych logów.

 

Pozdrawiam,

Git

Addition.txt

Extras.Txt

FRST.txt

GMER_raport.txt

OTL.Txt

[picasso]

PutLockerDownloader to zły program: KLIK / KLIK / KLIK. A nationzoom.com hijacker dopisuje się jako komenda otwierania w skrótach przeglądarek.

 

 

W podanych tu raportach widać tylko szczątki folderów adware na dysku, ale:

 

za pomocą CCleaner usunąłem śmieci z systemu i rejestru. Niestety nic to nie dało, więc przy pomocy Przywracania Systemu przywróciłem system z przed kilku dni, przy ponownym uruchomieniu komputera wyskoczyły komunikaty.

(...)

Program PutlockerDownloader niby się odinstalował ale pozostały komunikaty przy uruchomieniu systemu oraz przy próbie uruchomienia pliku wykonywalnego pojawia się błąd (w załączniku) i program nie otwiera się, co ciekawe tylko za pierwszym razem, za drugim program otwiera się normalnie

(...)

Chciałem dodać skan przeprowadzony programem Security Check niestety wyskoczył komunikat "System nie może wykonać określonego programu" i program się zamknął.

Obawiam się, że podczas napraw posunąłeś się za daleko. Te błędy (jeden jest od nVidia) nie są związane z adware PutLocker i nationzoom.com. Coś innego tu się stało. Proponuję odwrócić Przywracanie systemu do daty sprzed sprzątanie i zrobić nowe raporty. Zajmę się usunięciem adware.

 

 

 

 

 

.

[Git]

Po cofnięciu przywracania komunikaty się nie pojawiają, pliki exe też otwierają się normalnie. Osłony Avast wydają się pracować normalnie.

Odinstalowałem Daemon'a, a SPTDinst nie wykrył żadnego sterownika SPTD. 

 

Załączam nowe raporty

 

 

Chyba faktycznie więcej szkody sam sobie narobiłem niż ten PutLocker.

Addition.txt

Extras.Txt

FRST.txt

gmer_skan.txt

OTL.Txt

[picasso]

Wnioski się nasuwają takie, że odbyły się wcześniej jakieś zbyt przedsiębiorcze czyszczenia. Teraz przechodzimy do usuwania adware:

 

1. Przez Panel sterowania odinstaluj adware WPM17.8.0.3159 (to "ochrona" ustawień hijackera).

 

2. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Run: [] - [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nationzoom.com/?type=hp&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nationzoom.com/?type=hp&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nationzoom.com/web/?type=ds&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nationzoom.com/?type=hp&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nationzoom.com/?type=hp&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nationzoom.com/web/?type=ds&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nationzoom.com/web/?type=ds&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nationzoom.com/?type=hp&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.nationzoom.com/?type=hp&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.nationzoom.com/web/?type=ds&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.nationzoom.com/?type=sc&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.nationzoom.com/web/?type=ds&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.nationzoom.com/web/?type=ds&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.nationzoom.com/web/?type=ds&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.nationzoom.com/web/?type=ds&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.nationzoom.com/web/?type=ds&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.nationzoom.com/web/?type=ds&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811&q={searchTerms}
Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
FF StartMenuInternet: FIREFOX.EXE - D:\Programy\Mozilla Firefox\firefox.exe http://www.nationzoom.com/?type=sc&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811
CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.nationzoom.com/?type=sc&ts=1388877550&from=ild&uid=SAMSUNGXHM320JI_S1HQJD0S460811
R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2014-01-05] (Cherished Technololgy LIMITED)
S2 Update SecretSauce; "C:\Program Files (x86)\SecretSauce\updateSecretSauce.exe" [x]
Task: {3CE85062-7D33-45CF-91EC-2972BA3DC20F} - \AutoKMSDaily No Task File
Task: {C02CD642-F70C-41A9-9D3E-2496DCB18847} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe
Task: {E0E8625E-CAFB-4D4F-9C3D-5E4307C58E0E} - \AutoKMS No Task File
C:\Program Files (x86)\Desk 365
C:\Program Files (x86)\SecretSauce
C:\ProgramData\WPM
C:\Users\Git\AppData\Local\Cool_Mirage
C:\Users\Git\AppData\Roaming\eDownload

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. W przeglądarkach:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

- Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Git]

Zrobione, po drodze musiałem zrestartować komputer gdyż po uruchomieniu firefoxa przestało wczytywać strony. Zauważyłem, że użycie CPU nie spadało poniżej 50%.

 

Po czyszczeniu problem znikł

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Nie wiem czy dobrze rozumiem: wysokie użycie CPU nadal się utrzymuje, czy też może "Po czyszczeniu problem znikł"?

 

Wg raportów wszystko zrobione i możemy kończyć:

 

1. Przez SHIFT+DEL skasuj FRST i foldery:

 

C:\FRST

C:\Users\Git\Desktop\Stare dane programu Firefox

C:\Users\Git\Downloads\FRST-OlderVersion

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[Git]

Wszystko działa, wysokie użycie CPU było przed czyszczeniem.

 

dziękuję pięknie za pomoc!