Złapana jakaś infekcja

[Myszor]

Witam. Mam kłopot z komputerem brata. Koledzy w pracy podali mu stronę gdzie obejrzy mecze MŚ w siatkówce i brat wchodzi na te stronę i po chwili mnie woła że jakieś programy sie instalują i strona startowa się zmieniała, programy które sie instalowały poprzerywałem ich dalszy proces ale i tak coś tam się zainstalowało. Na autostarcie jakieś programy nadal chcą sie instalował i komputer wyraźnie zwolnił. Komputer ma Win 7 w wersji 32 bitowej. Proszę o szybką pomoc. Logi z OTL i FRTS już teraz dodaję a GMER się nadal robi, jak skończy to dodam bo może starczą te logi co są teraz.

Edit. w czasie wykonywania logów z GMER'a wylogowało mnie z konto, a jak się ponownie zalogowałem to wyskoczył komunikat ,,system odzyskał sprawność po nieoczekiwanym zamknięciu '' czy coś takiego. Wiec narazie GMER sobię odpuszczę.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

Edytowane 6 Września 2014 przez Myszor

[picasso]

No cóż, klasyczny wykaz elementów adware ostatnich czasów... Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\ProgramData\IePluginServices\PluginService.exe
(Fuyu LIMITED) C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe
() C:\Program Files\SupTab\HpUI.exe
() C:\Program Files\SupTab\Loader32.exe
() C:\Users\Paweł\AppData\Roaming\VOPackage\VOsrv.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-09-04] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-09-04] (globalUpdate) [File not signed]
R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-09-04] (Cherished Technololgy LIMITED)
R2 servervo; C:\Users\Paweł\AppData\Roaming\VOPackage\VOsrv.exe [71680 2014-09-04] () [File not signed]
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [528896 2014-09-04] (Fuyu LIMITED) [File not signed]
Task: {544E6EC3-57F9-452E-ADF7-E3177B22E0C2} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-09-04] (globalUpdate) 
Task: {57B6B1E7-BFD3-44B0-AF13-D232C1546338} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-7 => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-7.exe [2014-09-04] (home) 
Task: {5C4FC74E-4D60-44D0-A844-DA9E11DC7894} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-11 => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-11.exe [2014-09-04] (home) 
Task: {7ECBF542-882F-4033-9335-BE5F258B6E92} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-09-04] (globalUpdate) 
Task: {88494278-C9F8-4B25-BC97-290D6E2F86F3} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-4 => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-4.exe [2014-09-04] (home) 
Task: {9F23A09F-BB04-429D-8C26-D40175E70380} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-3 => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-3.exe [2014-09-04] (home) 
Task: {A7493BD4-4F98-45A9-80AE-2236C34E4D6F} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5 => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.exe [2014-09-04] (home) 
Task: {BD9E4E62-802E-4F7B-8DD9-FB5CC86DEF03} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-2 => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-2.exe [2014-09-04] (home) 
Task: {DC338512-F696-4502-BB78-B983DC71252A} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-1 => C:\Program Files\TheHDvid-Codec V10\TheHDvid-Codec V10-codedownloader.exe [2014-09-04] (home) 
Task: {E5EC3203-3738-46F6-92F1-09315D173F5E} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-6 => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-6.exe [2014-09-04] (home) 
Task: C:\windows\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-1.job => C:\Program Files\TheHDvid-Codec V10\TheHDvid-Codec V10-codedownloader.exe 
Task: C:\windows\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-11.job => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-11.exe 
Task: C:\windows\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-2.job => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-2.exe 
Task: C:\windows\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-3.job => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-3.exe 
Task: C:\windows\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-4.job => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-4.exe 
Task: C:\windows\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.job => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.exe 
Task: C:\windows\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5_user.job => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.exe 
Task: C:\windows\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-6.job => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-6.exeý/agentregpath='TheHDvid-Codec V10-nv' /appid=63315 /srcid='001824' /subid='0' /zdata='0' /bic=E1B7A1F3A7D649D69B574AC7910CB2D4IE /verifier=a811827d06ba145649df70557e824038 /installerversion=1_34_08_12 /installerfullversion=1.34.8.12 /installationtime=1409855647 /statsdomain=http://stats.loadgenclientservice.com /errorsdomain=http://errors.loadgenclientservice.com /codedownloaddomain=http://cr.install-daddy.com /defbro=ch /DllName32ToInjectToChrome='d07120e3-642e-4128-a6cd-0ebd975d10c5.dll' /DllName64ToInjectToChrome='b4bfb094-8be5-4cd1-b857-0412bba8fe54.dll' /nova64bitexe='d2b97613-b3c0-43b9-944e-c7f2a7670ca3-64.exe 
Task: C:\windows\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-7.job => C:\Program Files\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-7.exe˝/updateapp /agentregpath='TheHDvid-Codec V10-nv' /appid=63315 /srcid='001824' /subid='0' /zdata='0' /bic=E1B7A1F3A7D649D69B574AC7910CB2D4IE /verifier=a811827d06ba145649df70557e824038 /installerversion=1_34_08_12 /installerfullversion=1.34.8.12 /installationtime=1409855647 /statsdomain=http://stats.loadgenclientservice.com /errorsdomain=http://errors.loadgenclientservice.com /codedownloaddomain=http://cr.install-daddy.com /defbro=ch /DllName32ToInjectToChrome='d07120e3-642e-4128-a6cd-0ebd975d10c5.dll' /DllName64ToInjectToChrome='b4bfb094-8be5-4cd1-b857-0412bba8fe54.dll' /nova64bitexe='d2b97613-b3c0-43b9-944e-c7f2a7670ca3-64.exe 
Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\INMYOK.job => C:\Users\Paweý˙\AppData\Roaming\INMYOK.exe
Task: C:\windows\Tasks\WKPZ.job => C:\Users\Paweý˙\AppData\Roaming\WKPZ.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150&q={searchTerms}
BHO: TheHDvid-Codec V10 -> {11111111-1111-1111-1111-110611331115} -> C:\Program Files\TheHDvid-Codec V10\TheHDvid-Codec V10-bho.dll (home)
BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited)
FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\webssearches.xml
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
CHR HomePage: Default -> hxxp://istart.webssearches.com/?type=hp&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
CHR NewTab: Default -> "chrome-extension://pelmeidfhdlhlbjimpabfcbnnojbboma/index.html"
CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1409855729&from=ild&uid=ST500LM012XHN-M500MBB_S2RSJ9DC353150
C:\Program Files\globalUpdate
C:\ProgramData\Temp
C:\Users\Paweł\AppData\Local\globalUpdate
C:\Users\Paweł\AppData\Roaming\INMYOK
C:\Users\Paweł\AppData\Roaming\WKPZ
C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
C:\Users\Paweł\Desktop\Continue Live Installation.lnk
C:\Users\Paweł\Downloads\HDvid-codec-Chrome*.exe
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware HDVidCodec, Remote Desktop Access (VuuPC), TheHDvid-Codec, webssearches uninstall, WindowsMangerProtect20.0.0.722.

 

3. Wyczyść Firefox:

• menu Historia > Wyczyść historię przeglądania
• menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

4. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Quick start
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy webssearches i inne niedomyślne śmieci (o ile będą).
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Myszor]

Wszystko pousuwane, logi w załączniku. 

FRST.txt

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Mam pytanie: czy jakieś wtyczki Firefox były usuwane ręcznie? Przetwarzałam tylko szkodliwe wtyczki, ale nowy log z FRST (z tej samej wersji programu) pokazuje zasadniczą różnicę w obszarze poprawnych wtyczek, lista jest krótsza o połowę...

 

Wszystko zrobione. Poprawki. Otwórz Notatnik i wklej w nim:

 

Reg: reg query HKLM\SOFTWARE\MozillaPlugins /s
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: del /q C:\Users\Paweł\AppData\Roaming\WKPZ.exe
CMD: del /q C:\Users\Paweł\AppData\Roaming\INMYOK.exe
CMD: del /q C:\windows\system32\sqlite3.dll
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Users\Paweł\Desktop\Stare dane programu Firefox
DeleteQuarantine:
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Dostarcz wynikowy fixlog.txt.

 

 

 

 

.

[Myszor]

W Firefox nie było nic grzebane poza tym co kazałaś zrobić, więc nie wiem dlaczego pousuwały się te wtyczki, na dodatek Firefox jest praktycznie nie używany nigdy, nie wiem czemu brat go trzyma. Co do FRST to Fix wykonany log w załączniku.

Fixlog.txt

[picasso]

Klucze wtyczek są przetrzebione. Nie wiem co się stało z wtyczkami, w logach z usuwania nie ma oznak, by któreś narzędzie naruszyło coś więcej niż zadane. Aspekt nie jest jednak kluczowy, te wtyczki mogą się samoistnie nadbudować. Poza tym drobnym zawirowaniem akcje zostały wykonane i kończymy:

 

1. Usuń ręcznie używane programy z C:\Users\Paweł\Desktop\programy do analizy. Zastosuj DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do deinstalacji (i o ile potrzeba zastąpić najnowszą wersją):

 

==================== Installed Programs ======================
 

Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE

Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle)

Mozilla Firefox 28.0 (x86 pl) (HKLM\...\Mozilla Firefox 28.0 (x86 pl)) (Version: 28.0 - Mozilla)

 

 

 

.

[Myszor]

Wszystko zrobione log z delfix w załączniku.

DelFix.txt

[picasso]

OK. Temat rozwiązany, zamykam.