Wyskakujące reklamy i dziwne akcje w chrome

[Grillaz]

Witam serdecznie.

 

W komputerze ostatnio zaczeły dziać się "dziwne" rzeczy, chrome też dziwne akcje robi. Dodam że komputer działał bez antywirusa, i nie jest mi znane źródło systemu operacyjnego. Możecie przejrzeć logi?

 

Dziękuję bardzo za pomoc.

Shortcut.txt

Addition.txt

Extras.Txt

FRST.txt

gmer.txt

OTL.Txt

[picasso]

Jest tu owszem adware i na dodatek Google Chrome (stara wersja) to typ development a nie stabilna (prawdopodobnie adware wykonało konwersję przeglądarki). Aczkolwiek widać także uszkodzenia w systemie - mnóstwo usług i sterowników Microsoftu jest oznaczonych jako niepodpisanych cyfrowo. Możliwe, że tu się klaruje reinstalacja całego systemu... System zaś nie wygląda na oryginalny, widać że był instalowany z przerobionego via nLite nośnika.

 

Jeśli chodzi o adware i śmieci, doraźnie przeprowadź następujące akcje:

 

1. Przez Dodaj/Usuń programy odinstaluj stare dziurawe aplikacje i zbędniki: Adobe Reader 9 - Polish, Google Chrome, Java 7 Update 21, Java™ 6 Update 26, McAfee Security Scan Plus. Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S2 5ba659a8; c:\Program Files\GS_Booster\AssistantSvc.dll [174928 2014-09-17] () [File not signed]
Task: C:\WINDOWS\Tasks\GS_Booster-S-3061371028.job => c:\documents and settings\all users\dane aplikacji\trusted publisher\gs_booster\GS_Booster.exe 
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://newtab.certified-toolbar.com/nie?si=41460&tid=2938&new=true"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1177238915-1060284298-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
SearchScopes: HKLM - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q={searchTerms}
SearchScopes: HKCU - 61A3D2A79BCB483F9085CDB5AB87E3BC URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST3320613AS_5SZ0Q3F5XXXX5SZ0Q3F5&ts=7143525
SearchScopes: HKCU - {1ED1EF60-C199-455E-95D9-9D772C5E1762} URL = http://www.we-dwoje.pl/szukaj,0.html?q={searchTerms}
SearchScopes: HKCU - {CC0F0B46-AC72-434F-9880-D1649E12BA46} URL = http://szukaj.gazeta.pl/portalSearch.do?&s.sm.query={searchTerms}&s.si(navigation).navigationEnabled=true&search_r=serwis&dxx=97130&VE_szukaj={searchTerms}&szuk=gazeta&ile=10&b=&q=
SearchScopes: HKCU - {CEB034C8-B330-4245-BC3B-F552587FB9D2} URL = http://wizaz.pl/content/advancedsearch?SearchText={searchTerms}&SearchContentClassID=&SearchPageLimit=5
SearchScopes: HKCU - {DBB580AE-E05D-400D-BFC3-817ED8D968EA} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000STPL&apn_uid=B799E016-B9E4-40AF-BC02-6BD1B4B6595A&apn_sauid=EA7094E3-EDC0-4031-915C-FA6758C1C408
Toolbar: HKCU - No Name - {00000000-0000-0000-0000-000000000000} - No File
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-1177238915-1060284298-1801674531-1003\...\Run: [ares] => "C:\Program Files\Ares\Ares.exe" -h
HKU\S-1-5-21-1177238915-1060284298-1801674531-1003\...\Run: [ChomikBox] => C:\Program Files\ChomikBox\chomikbox.exe
HKLM\...\Run: [NBKeyScan] => "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 vToolbarUpdater14.0.1; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.0.1\ToolbarUpdater.exe [X]
S3 catchme; \??\D:\Temp\catchme.sys [X]
S3 esihdrv; \??\D:\Temp\esihdrv.sys [X]
S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [X]
CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\UZYTKO~1\Pulpit\BESTPL~1.EXE No File
CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
C:\Documents and Settings\All Users\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1
C:\Documents and Settings\All Users\Dane aplikacji\6ffdd72f11393e14
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\whoislive
C:\Documents and Settings\Jakub\Dane aplikacji\Opera Software
C:\Documents and Settings\Uzytkownik\sqlite3.dll
C:\Documents and Settings\Uzytkownik\Dane aplikacji\maxup
C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla
C:\Documents and Settings\Uzytkownik\Dane aplikacji\Opera
C:\Documents and Settings\Uzytkownik\Dane aplikacji\Opera Software
C:\Documents and Settings\Uzytkownik\Ustawienia lokalne\Dane aplikacji\Google
C:\Program Files\GS_Booster
C:\Program Files\Google
C:\Program Files\Mozilla Firefox
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\system32\sqlite3.dll
Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\AboutURLs"
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: sc stop cryptsvc
CMD: ren C:\Windows\system32\catroot2 catroot2.old
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Specjalny skrót Internet Explorer jest uszkodzony:

 

Shortcut: C:\Documents and Settings\Uzytkownik\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Uzytkownik\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

 

5. W systemie są trzy czynne konta:

 

Administrator (S-1-5-21-1177238915-1060284298-1801674531-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator

Jakub (S-1-5-21-1177238915-1060284298-1801674531-1005 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Jakub

Uzytkownik (S-1-5-21-1177238915-1060284298-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Uzytkownik

 

Dostarczone tu były logi z konta Użytkownik, potrzebne także logi z konta Jakub. Po kolei zaloguj się na każde konto poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan (zaznacz pole Addition, ale nie Shortcut, by powstały po dwa logi na konto). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

 

 

 

 

.

[Grillaz]

Dziękuję za pomoc, ale po słowach że możliwa będzie reinstalacja systemu postanowiłem ją wykonać.

 

Chciał bym się zapytać czy można spokojnie użyć jakiegoś loadera do Windows 7? Czy są jakieś które są "bezpieczne". Dodam że system został zaintalowany z oryginalnej płyty. I zastanawiam się co może się stać po aktywacji takim loaderem.

[picasso]

Grillaz, o ile zamianę archaicznego i pozbawionego wsparcia XP na nowszy Windows 7 uznaję za słuszną, to już oczywiste, że kombinacje, by obejść aktywację są poza skalą moich rozważań. O "Loaderach" nie powinnam się tu wypowiadać, forum nie może wspierać takich działań. W skrócie powiem, że:

- "Loader" jest inwazyjny. Przeważnie sprawa się kręci wokół modyfikacji bootowania / plików Windows, ale sposób wykonania tego może być różny w zależności od "produkcji".

- W żadnym wypadku nie próbuj ładować obiektu o nazwie "Chew7Hale" - jest to element wpływający bardzo negatywnie na system (radykalne obniżenie wydajności) i tu na forum liczne tematy z systemami poszkodowanymi (deinstalacja pomogła przywrócić stan pierwotny).

- Trudno mi ocenić zagrożenie, bo są różne loadery i nie dam żadnych gwarancji, że coś jest bezpieczne i nie ma jakiegoś backdoora doczepionego.