Reklamy w Operze pomimo Adblocka. Wyłączający się "pulpit".

[radzioo95]

Pojawiają się liczne reklamy zarówno normalne (youtube, twitch.tv) jak i wyskakujące okna z reklamami.

 

Drugi problem to znikający pulpit oraz pasek windows u dołu. Można wtedy używać jedynie okien wcześniej otwartych. Za nimi widoczny zielony ekran. Pomaga wylogowanie lub ponowne uruchomienie. (screeny dołączę gdy problem się pojawi)

 

Nie potrafię załączyć logów z GMER'a ponieważ wyskakuje mi błąd http://scr.hu/2ath/u6s80

 

Proszę o pomoc.

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Pojawiają się liczne reklamy zarówno normalne (youtube, twitch.tv) jak i wyskakujące okna z reklamami.

W raportach nie widać żadnych oznak infekcji w Operze... Szczątki adware sweet-page.com w Internet Explorer nie są powiązane. Jedyne co jest podejrzane, to wpis uruchamiający moduł PowerShell w starcie. Prawdopodobnie FRST obciął tu jakieś argumenty i nie widać całej składni. Będę pobierać dane w skrypcie FRST o tym wpisie oraz go usuwać.

 

HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Run: [{CAEE8A98-C212-4BC2-85C7-A20F792B6F76}] => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [478720 2014-10-29] (Microsoft Corporation)

 

 

Drugi problem to znikający pulpit oraz pasek windows u dołu. Można wtedy używać jedynie okien wcześniej otwartych. Za nimi widoczny zielony ekran. Pomaga wylogowanie lub ponowne uruchomienie. (screeny dołączę gdy problem się pojawi)

Błąd powoduje moduł QtCore_Ad_SyncNs_4.dll firmy Autodesk. Podobny problem z forum: KLIK.

 

Dziennik Aplikacja:

==================

Error: (10/27/2015 10:06:19 AM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.3.9600.17667, sygnatura czasowa: 0x54c6f7c2

Nazwa modułu powodującego błąd: QtCore_Ad_SyncNs_4.dll_unloaded, wersja: 4.8.2.0, sygnatura czasowa: 0x50d3fca7

Kod wyjątku: 0xc0000005

Przesunięcie błędu: 0x00000000000265fe

Identyfikator procesu powodującego błąd: 0x328

Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0

Ścieżka aplikacji powodującej błąd: Explorer.EXE1

Ścieżka modułu powodującego błąd: Explorer.EXE2

Identyfikator raportu: Explorer.EXE3

Pełna nazwa pakietu powodującego błąd: Explorer.EXE4

Identyfikator aplikacji względem pakietu powodującego błąd: Explorer.EXE5

 

 

---

Na razie do wykonania te akcje:

 

1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 19 NPAPI (to wersja dla nieistniejącego tu Firefox), Adobe Reader XI (11.0.13) - Polish, Java 8 Update 31 (64-bit), Java 8 Update 45, WebStorage (program ASUSa, który notabene też może tworzyć błędy explorer.exe).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Radek\AppData\Local\Akamai\netsession_win.exe"
HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Run: [{CAEE8A98-C212-4BC2-85C7-A20F792B6F76}] => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [478720 2014-10-29] (Microsoft Corporation)
HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Policies\Explorer: []
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms}
HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-1964063513-2035544804-3093838741-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms}
S2 McAfee SiteAdvisor Service; "c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe" [X]
Task: {15BA5C04-6E39-4FB5-9272-674BAFADA546} - System32\Tasks\{B6B10F02-61F2-4786-AF18-4561B7049D48} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\
Task: {19FC62D2-8FC2-4A5E-9C65-1A18AF84680C} - System32\Tasks\{568BCDCC-1D96-4AA1-8492-E0D59FBBAF2A} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\
Task: {5235726F-2656-49DE-BCAE-27CDC6574EF8} - System32\Tasks\{239AD7B8-7017-4E5C-B798-93771B2F9697} => pcalua.exe -a D:\Gry\h3\Heroes3.exe -d D:\Gry\h3
Task: {7FB9404E-3BBC-4EBB-92C5-CF872E927A78} - System32\Tasks\{464AAE9A-1D3A-4AB7-A396-3AABBAA61128} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\
Task: {9AEE307B-966E-4FEA-871F-77B4A68E92D9} - System32\Tasks\{E81CFAFC-09EF-477D-8EC1-AF5016977A53} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\
Task: {9D2D8119-4AF5-4D79-9856-CAF7B4FEEE70} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe
Task: {A4D1D345-1E9E-4232-B1A1-DD6AF9021AB9} - System32\Tasks\{53B79750-FACB-4FEC-B3D6-A4C3D6E12C8D} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry
Task: {B58AAF6E-7279-4DD5-8016-A25CD7F3E147} - System32\Tasks\{01D9E136-14D9-492E-8135-427A28EC00D1} => pcalua.exe -a G:\Setup.exe -d G:\
Task: {B816C5E5-11E9-4329-B363-CD7B0DD59AE0} - System32\Tasks\{E57CA208-B52E-4415-A2E1-EE2D149650DA} => pcalua.exe -a D:\Programy\NapiProjekt\unins000.exe
Task: {C6E016A6-01AD-4895-9803-936D5A13FDD0} - System32\Tasks\{D91F130D-248A-418A-8C8B-856C7698226A} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\
Task: {E0297AB1-C495-4006-BE04-97E13F3EF681} - System32\Tasks\{97752F7D-6D22-4EAD-AD55-4A3D067839AA} => pcalua.exe -a G:\Setup.exe -d G:\
Task: {E0B5C2F4-DACC-4032-B4B7-D38FE0D2C3E9} - System32\Tasks\{F487C4BA-2949-40B6-B315-AA1F8A4FFDD0} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\
Task: {E80AB6E3-EDF7-4CD4-9ED3-C8FBEC6E129A} - System32\Tasks\{3BAB2F40-5C3B-4221-A455-7347A80F8ABE} => pcalua.exe -a "C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uplay.exe" -d "C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher"
Task: {EEA998D8-883B-42C9-98D0-63DBBD4B2274} - System32\Tasks\{A34B2B2D-B842-4C34-9B1F-ECB599E2FE48} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\
Task: {F98E2999-E284-42E5-BF9A-8B51FBF4828E} - System32\Tasks\{02D2E79B-2DB1-4377-8A89-E113369ADCF5} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\
Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
C:\ProgramData\McAfee
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Championship Manager 01-02
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\League of Legends
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Mighty Quest For Epic Loot
C:\Users\Radek\AppData\Roaming\Microsoft\Word\grzejniki%20moje304776991222908570\grzejniki%20moje.docx.lnk
C:\Users\Radek\Desktop\Studia\Radek\STUDIA MOJE\Semestr I\Mechanika\*.lnk
C:\Users\Radek\Desktop\Studia\Radek\STUDIA MOJE\Semestr II\Wytrzymałość\*.lnk
C:\Windows\System32\Tasks\McAfee
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v f.lux /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po usunięciu tego wpisu PowerShell jest jakaś zmiana w Operze.

[radzioo95]

Niestety program ShellExView x64 nie znajduje QtCore_Ad_SyncNs_4.dll (http://scr.hu/2ath/8s87l)
 
W trakcie wykonywania poleceń wystąpił wspomniany wcześniej problem http://scr.hu/2ath/4ob57  http://scr.hu/2ath/eg3pg
 
Wydaje się, że opera działa poprawnie, jednak ciężko to zweryfikować w tak krótkim czasie.

 

Nie wiem czy dobry dział, ale mam jeszcze problem z ładowaniem laptopa, otóż bateria ładuje się do 72-73% jaki może być powód?

FRST.txt

Fixlog.txt

[picasso]

1. Ten wpis PowerShell to na bank była infekcja. Wpis odwoływał się do drugiego klucza i będę sprawdzać czy on jest. Otwórz Notatnik i wklej w nim:

 

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms}
Reg: reg query HKCU\Software\Classes\SIHBRVNNQEQZUX /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

 

2. Problem z przeładowaniem Pulpitu (czyli błąd explorer.exe) to już mówiłam, że tworzy moduł QtCore_Ad_SyncNs_4.dll należący do funkcji Autodesk Sync. Jeśli go rzeczywiście nie ma w ShellExView, to zostają następujące możliwości:

• Ręczne wyrejestrowanie modułu (co zapewne "uszkodzi" jakąś funkcjonalność pakietu).
• Próba wyłączenia funkcji Autodesk Sync w opcjach: KLIK.
• Całkowita deinstalacja programu Autodesk 360 (i sprawdzenie czy nie ma nowszej jego wersji), co zresztą jest widziane przez oficjalny support jako jedyne rozwiązanie tego problemu: KLIK.

Dla porównania co jest u Ciebie zainstalowane z grupy Autodesk:

 

==================== Zainstalowane programy ======================
 

AutoCAD 2012 - Polski (HKLM\...\AutoCAD 2012 - Polski) (Version: 18.2.51.0 - Autodesk)

AutoCAD 2012 - Polski (Version: 18.2.51.0 - Autodesk) Hidden

AutoCAD 2012 Language Pack - Polski (Version: 18.2.51.0 - Autodesk) Hidden

AutoCAD 2014 — Polski (Polish) (Version: 19.1.18.0 - Autodesk) Hidden

AutoCAD 2014 Language Pack – Polski (Polish) (Version: 19.1.18.0 - Autodesk) Hidden

AutoCAD Architecture 2012 - Polski (HKLM\...\AutoCAD Architecture 2012 - Polski) (Version: 6.7.49.0 - Autodesk)

AutoCAD Architecture 2012 - Polski (Version: 6.7.49.0 - Autodesk) Hidden

AutoCAD Architecture 2012 Language Pack - Polski (Version: 18.2.51.0 - Autodesk) Hidden

Autodesk 360 (HKLM\...\{52B28CAD-F49D-47BA-9FFE-29C2E85F0D0B}) (Version: 4.0.27.1 - Autodesk)

Autodesk App Manager (HKLM-x32\...\{C070121A-C8C5-4D52-9A7D-D240631BD433}) (Version: 1.1.0 - Autodesk)

Autodesk AutoCAD 2014 — Polski (Polish) (HKLM\...\AutoCAD 2014 — Polski (Polish)) (Version: 19.1.18.0 - Autodesk)

Autodesk Content Service (HKLM-x32\...\Autodesk Content Service) (Version: 3.1.3.0 - Autodesk)

Autodesk Content Service (x32 Version: 3.1.3.0 - Autodesk) Hidden

Autodesk Content Service Language Pack (x32 Version: 3.1.3.0 - Autodesk) Hidden

Autodesk Featured Apps (HKLM-x32\...\{F732FEDA-7713-4428-934B-EF83B8DD65D0}) (Version: 1.1.0 - Autodesk)

Autodesk Inventor Fusion 2012 (HKLM\...\Autodesk Inventor Fusion 2012) (Version: 1.0.0.79 - Autodesk, Inc.)

Autodesk Inventor Fusion 2012 (Version: 1.0.0.79 - Autodesk, Inc.) Hidden

Autodesk Inventor Fusion 2012 Language Pack (Version: 1.0.0.79 - Autodesk, Inc.) Hidden

Autodesk Inventor Fusion plug-in for AutoCAD 2012 (HKLM\...\Dodatek Autodesk Inventor Fusion dla programu AutoCAD 2012) (Version: 0.0.1.138 - Autodesk)

Autodesk Material Library 2012 (HKLM-x32\...\{8F0837C2-EE09-4903-88F3-1976FE7FFF4E}) (Version: 2.5.0.8 - Autodesk)

Autodesk Material Library 2014 (HKLM-x32\...\{644F9B19-A462-499C-BF4D-300ABC2A28B1}) (Version: 4.0.19.0 - Autodesk)

Autodesk Material Library Base Resolution Image Library 2012 (HKLM-x32\...\{65420DC9-306E-4371-905F-F4DC3B418E52}) (Version: 2.5.0.8 - Autodesk)

Autodesk Material Library Base Resolution Image Library 2014 (HKLM-x32\...\{51BF3210-B825-4092-8E0D-66D689916E02}) (Version: 4.0.19.0 - Autodesk)

Dodatek Autodesk Inventor Fusion dla programu AutoCAD 2012 (Version: 0.0.1.138 - Autodesk) Hidden

Dodatek Autodesk Inventor Fusion Language Pack dla programu AutoCAD 2012 (Version: 0.0.1.138 - Autodesk) Hidden

SketchUp Import for AutoCAD 2014 (HKLM-x32\...\{644E9589-F73A-49A4-AC61-A953B9DE5669}) (Version: 1.1.0 - Autodesk)

[radzioo95]

Jestem w trakcie odinstalowywania AutoCADa 2012, odinstaluje również Autodesk 360.

 

Załączam fixlog

Fixlog.txt

[picasso]

To malware typu "bezplikowego", tzn. trzymane w rejestrze i uruchamiane via PowerShell. Rozrusznik PowerShell już usunięty, teraz trzeba usunąć loader malware.

 

Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\Classes\SIHBRVNNQEQZUX
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[radzioo95]

Fixlog

Fixlog.txt

[picasso]

Usuwanie przeprowadzone pomyślnie. Kolejna porcja czynności:

 

1. Zastosuj DelFix w celu usunięcia używanych skanerów. GMER dokasuj ręcznie.

 

2. Zrób skan za pomocą Hitman Pro. Nic jeszcze nie usuwaj, dostarcz tylko wniki skanu.

[radzioo95]

Raport Hitmana

HitmanPro_20151027_1709.txt

[picasso]

1. Hitman wykrył jeszcze szczątki adware ("Potential Unwanted Programs"). Usuń za pomocą programu te wyniki.

 

2. Na koniec wyczyść foldery Przywracania systemu: KLIK.

[radzioo95]

Wykonane. Dzięki wielkie za pomoc.