kronopio Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Witam,Przed kilkoma dniami postawiłem nowy system, niestety dziś zaczęło zrywać połączenie w IE i pojawiły się "upierdliwe" reklamy oraz nieznana mi ścieżka: "C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe" i program Techgile.Dziwnym trafem zbiegło się to z faktem zainstalowania przeze mnie w systemie programu do wirtualizacji Returnil System Safe Pro 2011 oraz użycia programu Cameyo.Kojarząc te fakty usunąłem oba programy (Returnil oraz Techgile) za pomocą Revo uninstallera (czyli wraz z wpisami w rejestrze).Ścieżka C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe znikneła, jednak nie mam pewności czy coś nie pozostało w systemie, a wiem że moje obawy moga być słuszne. Na razie wygląda na to, że wszystko hula.BTW co to za plik kisknl.sys?Poniżej załączam logi: Addition.txt FRST.txt Shortcut.txt OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Dziwnym trafem zbiegło się to z faktem zainstalowania przeze mnie w systemie programu do wirtualizacji Returnil System Safe Pro 2011 oraz użycia programu Cameyo. Deinstalacja Returnil nie była potrzebna, program sam w sobie niewinny. Uruchomiłeś coś całkiem innego, objawy wskazują na jedno z dwóch: nieodznaczenie sponsora w którejś instalacji lub użycie portalowego "downloadera" częstującego "bonusami": KLIK. I wg logów czasowo bliżej instalacjom adware do Puran Defrag niż do Returnil, choć to może być mylne wrażenie. Ten Puran owszem od jakiegoś czasu nie ma czystego instalatora i jest wspierany przez adware (należy wszystkiemu "podziękować"). Inne podejrzenie to "Asystent pobierania" dobrychprogramów, widać że conajmniej raz w serwisie byłeś. Ścieżka C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe znikneła, jednak nie mam pewności czy coś nie pozostało w systemie, a wiem że moje obawy moga być słuszne. Na razie wygląda na to, że wszystko hula. Albo dałeś mi nieświeże raporty FRST, albo on się zrekonstruował. Wg FRST maintainer.exe hula w procesach: ========================== Services (Whitelisted) ================= R2 MaintainerSvc4.29.2173613; C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe [123632 2014-11-19] () ==================== Loaded Modules (whitelisted) ============= 2014-11-18 14:30 - 2014-11-19 02:49 - 00123632 _____ () C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe I nie tylko to - w systemie działa także aktywny sterownik adware Techgile ({1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys) i to z pewnością on zaburza relacje sieciowe. Poza tym, adware wprowadziło także polityki Google Chrome. BTW co to za plik kisknl.sys? Składnik instalacji Kingsoft Antivirus 2012: R2 kisknl; C:\Windows\system32\drivers\kisknl.sys [165176 2014-11-17] (Kingsoft Corporation) Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw; C:\Windows\System32\drivers\{1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys [43152 2014-11-17] (StdLib) R2 MaintainerSvc4.29.2173613; C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe [123632 2014-11-19] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Program Files\Temp C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669 C:\ProgramData\Returnil C:\Users\rambo\AppData\Roaming\Returnil C:\Windows\System32\drivers\{1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
kronopio Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Puran owszem od jakiegoś czasu nie ma czystego instalatora i jest wspierany przez adware (należy wszystkiemu "podziękować"). Inne podejrzenie to "Asystent pobierania" dobrychprogramów, widać że conajmniej raz w serwisie byłeś. Albo dałeś mi nieświeże raporty FRST, albo on się zrekonstruował. Wg FRST maintainer.exe hula w procesach: Purana nigdy bym nie podejrzewał, a tu jednak... natomiast jeśli chodzi o dobreprogramy.pl itp. nigdy nie korzystam z asystentów ściągania, bo to (jak wspomniałaś) - istna wylęgarnia robactwa. Widocznie Puran cos namieszał (instalator online bez opcji "ptaszkowania")... Czlowiek broni się jak może przed "syfem" instalatorów uciekając do aplikacji portable, a wystarczy jedna chwila nieuwagi i błędnego zaufania by wpuścić intruza. Co do maintaner.exe, jestem niesamowicie zaskoczony, ponieważ nie tylko się zrekonstruował, ale dodatkowo po usunięciu i restarcie systemu został zmieniony atrybut hidden folderów. Jak zawsze mam wszystko ustawione na widoczne, tak teraz zauważyłem, że po restarcie, system wszystkie foldery z atrybutem hidden po prostu ukrył przed mymi oczyma. Poniżej nowe logi. FRST i AdwCleaner wykonali piękne czystki w okowach wroga. Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Wszystko zrobione, więc kończymy. Skasuj ręcznie pobrane narzędzia z C:\Users\rambo\Downloads\FIXITPC, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
kronopio Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Serdeczne podziękowania za pomoc Po raz kolejny jestem twoim dłużnikiem. Odnośnik do komentarza
Rekomendowane odpowiedzi