Pełno śmieciowych programów, zmiana strony startowej

[Nurdurion]

Witam.

 

Jeden z domowników pobrał jakiś plik/program, który po uruchomieniu zainstalował w systemie pełno jakiś śmieciowych programików oraz podmienił stronę startową w Firefoxie (zmiana w ustawieniach nic nie dawała). Malwarebytes wykrył ponad 500 infekcji, Kaspersky Rescue Disc również coś znalazł. Czyszczenie dokończyłem AdwCleaner, który również znalazł sporo śmieci.

 

Sytuacja pozornie wygląda na opanowaną, ale prosiłbym o sprawdzenie logów.

Malwarebytes.txt

KRD.txt

AdwCleaner.txt

Addition.txt

FRST.txt

Shortcut.txt

OTL.Txt

Extras.Txt

[picasso]

Korekty kosmetyczne na wpisy odpadkowe / puste:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {1B5412C3-AE00-4ED3-9BED-9BC835CD5794} - System32\Tasks\{47A33EC2-46E0-4F2D-8F37-AEBA2805C67F} => pcalua.exe -a "E:\Pliki instalacyjne\RadioSure-2.2.1042-setup.exe" -d "E:\Pliki instalacyjne"
Task: {344D3F6D-159B-4A7F-8CA9-77EDC1058215} - System32\Tasks\{7A89BFE7-6C1C-4902-A560-8661A1BFF68F} => pcalua.exe -a G:\OriginInstaller.exe -d G:\
Task: {70934480-2C71-49F6-B96D-FCDAD1588DC1} - System32\Tasks\{35A02743-9A84-46CB-B9C1-A754B96E3422} => pcalua.exe -a "E:\Pliki instalacyjne\TagesSetup.exe" -d "E:\Pliki instalacyjne"
Task: {72739D77-AE0C-4283-A584-35A573A262C6} - \SPBIW_UpdateTask_Time_313338323736313139352d3437415a556c2a3223346c41 No Task File 
Task: {A10B48EA-4729-4EBA-A623-5B540BD31B92} - System32\Tasks\CJVW => D:\Users\dom\AppData\Roaming\CJVW.exe 
Task: {E977AB5D-13A5-409F-95FE-93DA21C4E51A} - System32\Tasks\KOO => D:\Users\dom\AppData\Roaming\KOO.exe 
Task: C:\Windows\Tasks\CJVW.job => D:\Users\dom\AppData\Roaming\CJVW.exe 
Task: C:\Windows\Tasks\KOO.job => D:\Users\dom\AppData\Roaming\KOO.exe 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-2821332150-970914226-2612375139-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO: No Name -> {AF949550-9094-4807-95EC-D1C317803333} -> No File
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A777-2BD8835EB6CE} - No File
Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A333-2BD8835EB6CE} - No File
Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - No File
FF StartMenuInternet: FIREFOX.EXE - firefox.exe
S2 ASPI32; No ImagePath
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
D:\Users\dom\AppData\Local\~wmrg
D:\Users\dom\AppData\Roaming\CJVW
D:\Users\dom\AppData\Roaming\KOO
D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\Camouflage File - specify a password.lnk
D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\Camouflage File - use standard password.lnk
D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\De-Camouflage File - specify a password.lnk
D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\De-Camouflage File - use standard password.lnk
D:\Users\dom\AppData\Roaming\mozilla\firefox\profiles\krhltvqw.default-1399131589036
D:\Users\dom\AppData\Roaming\mozilla\firefox\profiles\n16fgeh3.default-1398884467910
D:\Users\dom\AppData\Roaming\Opera
D:\Users\dom\AppData\Roaming\QuickScan
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Pro Agent" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax_RESTART" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUs Tray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUs Watch" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: copy /y D:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\ddp0ksvy.default-1399131752396\prefs.js D:\Users\dom\Desktop\prefs.js
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Firefox jest dużo śmieciarskich preferencji oraz staroci sprzed aktualizacyjnych. Poza tym, układ uszkodził ... AdwCleaner - wywalił kilka poprawnych rozszerzeń. Jest obecnie bug w AdwCleaner powodujący, że jeśli jest uruchamiany z innego dysku niż C usuwa poprawne rozszerzenia z przeglądarek.

 

Najlepszy sposób na wyczyszczenie tego bajzlu to: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale wszystkie obecnie zainstalowane rozszerzenia trzeba będzie przeinstalować (Adblock Plus, Classic Theme Restorer, Click to Play per-element, Element Hiding Helper for Adblock Plus, Session Manager, Stylish). Masz zainstalowany MozBackup - nie próbuj go używać do przywracania poprzednio zrobionych kopii, bo wszystko odwrócisz. Po wyczyszczeniu FF należy zrobić nową świeżutką kopię.

 

3. Napraw uszkodzony skrót Internet Explorer:

 

Shortcut: D:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę D:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. NaPulpicie powstał plik prefs.js - shostuj go gdzieś i podaj link do niego.

[Nurdurion]

Wszystkie polecenia wykonane.

 

Plik pref.js: hxxp://www.mediafire.com/view/3631yy30cvjuovf/prefs.js

 

Jeszcze raz dziękuję za pomoc!

Fixlog.txt

FRST.txt

[picasso]

Zadania wykonane. Ostatnia poprawka. Otwórz Notatnik i wklej w nim:

 

CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - d:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2014-11-08]
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Kaspersky Rescue Disk 10.0
RemoveDirectory: D:\Users\dom\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[Nurdurion]

Zgodnie z poleceniem zamieszczam log.

Fixlog.txt

[picasso]

Teraz zastosuj DelFix oraz wyczyść foldery Przywracania systemu i spróbuj utworzyć nowy punkt Przywracania systemu: KLIK.

 

Proszę potwierdź, że operacje z Przywracaniem nie zwracają błędu, gdyż raport FRST Addition notował błąd WMI (niemożność poboru danych).