Infekcja MALSIGN i PLUS HD 8.1, zmulenie komputera, wyskakujące reklamy

[tymczasowynick]

witam

 

komputer znajomego - windows 7 64 bit sp1

 

niestety zostały wykonane czynności naprawcze bez pozostawienia raportów ;-/ oto one;

 

1.skan avg antywirus 2014 - usunięto wszystko

wykrył malsign.systweak.44f [roboot64.exe], malsign.installcore.5cf [free virtual keyboard.exe], generic5.ande [plus hd 8.1 bho.dll]

 

2.adw cleaner - usunięto wszystko wykryte - brak raportu

 

3.frst - usunięto ręcznie odnośniki do PLUS HD, wychodzące z systemowych \windows\tasks i \system32\tasks - brak raportu

 

DODATKOWO nie działają znaki interpunkcyjne oraz ctrl-a, nie działa ctrl c i ctrl v ;-/ jest klawiatura programisty

 

infekcja występuje więc załączam obecne nowe raporty w nadziei szybkiej naprawy

 

 

Addition.txt

Extras.Txt

FRST.txt

Gmer.txt

OTL.Txt

Shortcut.txt

[h4k3r]

Już jestem na właściwym koncie :-) I co nikt nie pomoże nie chce mieszać na kompie bez potrzeby

[Zappa]

Otwórz notatnik i wklej

 

BHO-x32: No Name -> {A057A204-BACC-4D26-9990-79A187E2698E} -> No File
BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF
C:\Windows\SysWow64\sqlite3.dll
Task: {D07DF486-A5E2-4499-98FD-79A724754F7B} - \Plus-HD-8.1-validator No Task File <==== ATTENTION
Task: {3B9B7040-B1E5-48E6-B807-C1399D34AC2E} - \Plus-HD-8.1-firefoxinstaller No Task File <==== ATTENTION
Task: {0645E701-5FFB-482E-9D2C-F0CAAC7965C9} - \Plus-HD-8.1-codedownloader No Task File <==== ATTENTION
Reboot:

 

plik zapisz jako fixlist.txt i umieść w D:\lolo. Uruchom FRST i kliknij w Fix.

 

Przedstaw log z usuwania.

[h4k3r]

Log

 

A co z niedziałaniem ctrl i jakikolwiek klawisz ;-\

Fixlog.txt

[Zappa]

A co z niedziałaniem ctrl i jakikolwiek klawisz ;-\

 

Hm, nie wiem. Może podmień klawiaturę

[h4k3r]

Hm, nie wiem. Może podmień klawiaturę

 

Zapomniałem dodac że to laptop toshiba satellite c660

[Zappa]

Zapomniałem dodac że to laptop

 

A to nie przeszkadza. Mozna podpiąc inną klawiaturę na usb.

 

zrób weryfikację plików systemowych

 

https://www.fixitpc.pl/topic/1236-weryfikacja-integralnosci-plikow-via-narzedzie-sfc/

[h4k3r]

A to nie przeszkadza. Mozna podpiąc inną klawiaturę na usb.

 

zrób weryfikację plików systemowych

 

https://www.fixitpc.pl/topic/1236-weryfikacja-integralnosci-plikow-via-narzedzie-sfc/

1.nie mam dostępu do żadnej klawiatury na usb ale to chyba nie sprzętowa usterka bo

 

nie działa również prawy shift i 1 czyli wykrzyknik - interpunkcyjne siadły ale cyfry działają - nie wiem jaki program mógł przejąc ustawienia

 

2.sfc - nic nie wykryło

 

3.usuwanie sterownika - brak poprawy

 

4.sądzę że trzeba jakoś zremapować do domyślnych klawiszy klawiatury ale nie mam pojęcia jak ;-/ reset klucza rejestru ?

 

5.dodatkowo sprawdziłem klucz

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows  AppInit_DLLs jest pusty - tak ma być ?

 

[Zappa]

2.sfc - nic nie wykryło

 

Jaki był komunikat?

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows  AppInit_DLLs jest pusty - tak ma być ?

 

Tak.

[h4k3r]

Jaki był komunikat?

 

Tak.

Brak naruszeń integralności

 

Nie da się jakoś całkiem sprowadzic do ustawień domyślnych klawisze klawiatury ?

[Zappa]

pokaż ustawienia klawiatury (wszystkie opcje)

[h4k3r]

pokaż ustawienia klawiatury (wszystkie opcje)

No jest tylko klawiatura polska programisty - inne są usunięte

 

Wszystko w region i język ustawione na polskie

 

W trybie awaryjnym też nie działają te klawisze

[Zappa]

To sobie skombinuj klawe na usb od peceta

[h4k3r]

To sobie skombinuj klawe na usb od peceta

Będzie problem ;-/

 

A gdyby zainstalować jakiś program do remapu a póżniej w programie dac wróć do domyślnych ? Przywróci do tego stanu - usterki, czy do normalnego - tak jak ma działać ?

[Zappa]

Wejdź do menedżera urządzeń - klawiatury rozwiń liste i z prawokliku na klawiaturę - Właściwośći - Szczegóły - rozwiń listę i odszukaj pozycje Filtry wyższej klasy

 

co tam jest?

[h4k3r]

Wejdź do menedżera urządzeń - klawiatury rozwiń liste i z prawokliku na klawiaturę - Właściwośći - Szczegóły - rozwiń listę i odszukaj pozycje Filtry wyższej klasy

 

co tam jest?

Nic nie ma pusto

 

Mam coś wpisać w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}

w upper filters ?

[Zappa]

Nic nie ma pusto

 

To chyba wiemy co jest grane. Powinno być kbdclass

 

znajdź na dysku plik kbdclass.sys

 

[h4k3r]

To chyba wiemy co jest grane. Powinno być kbdclass

 

znajdź na dysku plik kbdclass.sys

 

Są 4: [edycja]

 

w \windows\system32\

w \system32\drivestore\filerepository\

w \windows\winsxs\

 

[Ciekawe: w MU była klawiatura coś typu: toshiba flash cośtam keyboard - po usunięciu sterownika poprzednim razem, jest standardowa]

[Zappa]

Praktycznie klawiatura powinna chodzic na sterownikach systemowych.

 

Sprawdź mi klucz rejestru

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

 

Wyeksportuj go i zapisz pod dowolną nazwą. Otwórz w notatniku i przeklej zawartość.

[h4k3r]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
"Class"="Keyboard"
"ClassDesc"="@%SystemRoot%\\System32\\SysClass.Dll,-3002"
@="Keyboards"
"Installer32"="SysClass.Dll,KeyboardClassInstaller"
"IconPath"=hex(7):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,65,00,74,00,75,00,70,00,61,00,70,00,69,00,2e,00,64,00,6c,00,6c,00,2c,00,\
  2d,00,33,00,00,00,00,00
"UpperFilters"=hex(7):6b,00,62,00,64,00,63,00,6c,00,61,00,73,00,73,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00
"NoInstallClass"="1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\0000]
"LocationInformationOverride"="podłączone do portu klawiatury"
"InfPath"="keyboard.inf"
"InfSection"="STANDARD_Inst"
"ProviderName"="Microsoft"
"DriverDateData"=hex:00,80,8c,a3,c5,94,c6,01
"DriverDate"="6-21-2006"
"DriverVersion"="6.1.7601.17514"
"MatchingDeviceId"="*pnp0303"
"DriverDesc"="Standardowa klawiatura PS/2"
 

[Zappa]

Dziwnie długa jest wartość UpperFilters. U mnie wygląda tak

 

"UpperFilters"=hex(7):6b,00,62,00,64,00,63,00,6c,00,61,00,73,00,73,00,00,00,00,\
00

[h4k3r]

Nie wiem - może jakaś gra przejęła ustawienia i nie oddała bo został uszkodzony oryginalny klucz rejestru

 

Wykonać czysty rozruch ? Już chyba tylko format może przywrócić domyślne klawisze   albo nie będzie ich używał - ale jak żyć bez @ w e-mailu ?

 

1.Zrobiłem czysty rozruch: Wyłączyłem elementy startowe i wszystkie usługi oprócz microsoftu - bez skutku, czyli któraś systemowa powoduje konflikt ?

 

Będę po kolei testował...

[Kate]

może spróbuj podmienić wartość upperfilters, to będzie można potem przywrócić jak nic nie da.

[h4k3r]

może spróbuj podmienić wartość upperfilters, to będzie można potem przywrócić jak nic nie da.

Podmienić na jaką wartość ?

[Zappa]

Podmienić na jaką wartość ?

 

Otwórz notatnik i wklej

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

"Class"="Keyboard"

"ClassDesc"="@%SystemRoot%\\System32\\SysClass.Dll,-3002"

@="Keyboards"

"Installer32"="SysClass.Dll,KeyboardClassInstaller"

"IconPath"=hex(7):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,65,00,74,00,75,00,70,00,61,00,70,00,69,00,2e,00,64,00,6c,00,6c,00,2c,00,\

2d,00,33,00,00,00,00,00

"UpperFilters"=hex(7):6b,00,62,00,64,00,63,00,6c,00,61,00,73,00,73,00,00,00,00,\

00

"NoInstallClass"="1"

 

 

Z menu plik > zapisz jako Fix.reg > z prawokliku na plik wybierz opcję scal.

 

Uruchom ponownie system