Wyskakujące w nowych oknach reklamy vol.2 (laptop)

[sigon]

Analogiczna sytuacja do mojego poprzedniego wątku. Korzystając z przeglądarki Chrome napotykam na problem ustawicznie wyskakujących reklam. Jest ich tak dużo, że uniemożliwiają mi normalną pracę na urządzeniu. 

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

Są tu dwa typy infekcji:

 

1. Infekcja DNS (ale nie na poziomie routera). Poniższe adresy są izraelskie: KLIK.

 

Tcpip\..\Interfaces\{6DC2418E-6989-4151-A607-454B27A2A624}: [NameServer] 82.163.143.169,82.163.142.171

 

2. Również adware. Widać szkodliwą usługę "Annoyed History" i trzy zadania w Harmonogramie (Bidaily Synchronize Task[973b], FatBuster, SnackAttack) oraz polityki blokujące coś w Google Chrome.

 

 

---

Akcje wstępne do przeprowadzenia:

 

1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

 

2. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader X (10.1.6) MUI, Java 7 Update 51, Java™ 6 Update 37, Mozilla Firefox 34.0.5 (x86 en-US), Mozilla Maintenance Service. Doczyszczanie po Firefox będzie w poniższym punkcie.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 Annoyed History; C:\Users\Sigon\AppData\Roaming\Annoyed History\Annoyed History.exe [66048 2015-06-26] () [brak podpisu cyfrowego]
S3 Microsoft SharePoint Workspace Audit Service; "C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE" /auditservice [X]
S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X]
Task: {07A0B982-3ECD-4A0C-A986-7611B82CDA36} - System32\Tasks\SnackAttack => c:\programdata\{f651b2f1-d89e-200e-f651-1b2f1d89cbc7}\3871845655588411977b.exe [2014-06-22] () 
Task: {0A7C6E9C-5DBF-448B-A9C9-31ECA1C021E2} - System32\Tasks\{F6A937A9-B4A5-4513-A613-88550E282F92} => pcalua.exe -a "C:\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Office 07\setup.exe" -d "C:\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Office 07"
Task: {3275DA4A-7B55-4BC7-B4A8-25091CB689D1} - System32\Tasks\{1140DFB7-008E-4228-BA5E-A3F8AF2FFC58} => pcalua.exe -a C:\Users\Sigon\Documents\ventriloMIX05.exe -d C:\Users\Sigon\Documents
Task: {6C9EAE2B-22F9-4E71-89BA-071F6C3654FF} - System32\Tasks\{D165490E-6D9D-4D53-A245-28D958131279} => C:\Program Files (x86)\Samsung\Kies\Kies.exe
Task: {9AB12123-AA59-4A19-98EC-594B557C602A} - System32\Tasks\{A848CBCA-101D-428F-8084-001F75B0F553} => C:\Program Files (x86)\Samsung\Kies\Kies.exe
Task: {B5861956-8560-409B-9013-09C2370695C4} - System32\Tasks\FatBuster => c:\programdata\{0ae3418f-435d-11d7-0ae3-3418f435063d}\3029916761563842797b.exe [2014-06-26] () 
Task: {C99EDA62-813A-467E-B75D-E9D41D3DF88F} - System32\Tasks\Bidaily Synchronize Task[973b] => c:\programdata\{2892869b-89d7-3c78-2892-2869b89d1a6e}\sowa i przyjaciele - podsluchy - akta sprawy nr1.pdf.exe [2014-06-10] () 
Task: C:\Windows\Tasks\Bidaily Synchronize Task[973b].job => c:\programdata\{2892869b-89d7-3c78-2892-2869b89d1a6e}\sowa i przyjaciele - podsluchy - akta sprawy nr1.pdf.exe 
Task: C:\Windows\Tasks\FatBuster.job => c:\programdata\{0ae3418f-435d-11d7-0ae3-3418f435063d}\3029916761563842797b.exe 
Task: C:\Windows\Tasks\SnackAttack.job => c:\programdata\{f651b2f1-d89e-200e-f651-1b2f1d89cbc7}\3871845655588411977b.exe 
HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
HKLM-x32\...\Run: [fst_pl_41] => [X]
HKLM-x32\...\Run: [bCSSync] => "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
Winlogon\Notify\AutorunsDisabled:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1666849123-2050503175-1494362175-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1666849123-2050503175-1494362175-1001 -> {E3972092-C2EA-46AE-AC2E-C8D41F362280} URL =
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL => Brak pliku
C:\Program Files (x86)\Asprate
C:\Program Files (x86)\Mozilla Firefox
C:\Programdata\{0ae3418f-435d-11d7-0ae3-3418f435063d}
C:\Programdata\{f651b2f1-d89e-200e-f651-1b2f1d89cbc7}
C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\SyncUP.lnk
C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Zinio Reader 4.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Carom3D
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mumble
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia Website.lnk
C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Profile 1\Preferences
C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Profile 1\Web Data
C:\Users\Sigon\AppData\Local\Mozilla
C:\Users\Sigon\AppData\Roaming\Annoyed History
C:\Users\Sigon\AppData\Roaming\Microsoft\Word\Tytuly302896461249450560\Tytuly.docx.lnk
C:\Users\Sigon\AppData\Roaming\Mozilla
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AccuWeatherWidget" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. W Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Osoby > usuń poprzedni profil całkowicie.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: w sekcji Filtrowanie odznaczona opcja Internet + zaznaczone pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

[sigon]

Zrobione. Usunąłem wszystkie profile z Chrome'a (pamiętam wszystkie swoje hasła, nie zależało mi więc na tym aż tak bardzo) na wszelki wypadek. Niestety, przez przypadek usunąłem plik fixlog, który skonwertował się po procesie naprawy w programie Farbar  . Dołączam więc logi z ostatniego skanu tymże programem. 

Addition.txt

FRST.txt

[picasso]

Niestety, przez przypadek usunąłem plik fixlog, który skonwertował się po procesie naprawy w programie Farbar

Kopia raportu jest w folderze C:\FRST\Logs (plik o nazwie fixlog_data_czas.txt). Dołącz.

[sigon]

Znalazłem Mam nadzieje, że to ten. 

Fixlog.txt

[picasso]

Wszystko pomyślnie zrobione, widać już prawidłowe adresy DNS. Kolejna porcja czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
BHO-x32: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Default
RemoveDirectory: C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Profile 1
CMD: del /q C:\Users\Sigon\Downloads\z4cfbo9b.exe
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{E3972092-C2EA-46AE-AC2E-C8D41F362280}" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Pokaż wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[sigon]

Zrobione

AdwCleanerS2.txt

Fixlog.txt

[picasso]

Ostatni skrypt do FRST. Do Notatnika wklej:

 

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
DeleteKey: HKLM\SOFTWARE\Wow6432Node\AdvertisingSupport
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Discount Dragon
DeleteKey: HKU\S-1-5-18\Software\AskPartnerNetwork
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID / {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} /f
RemoveDirectory: C:\ProgramData\{2892869b-89d7-3c78-2892-2869b89d1a6e}
RemoveDirectory: C:\Users\Sigon\AppData\Local\VideoConverter
RemoveDirectory: C:\Users\Sigon\music\qtrax media library

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

[sigon]

Zrobione

Fixlog.txt

[picasso]

1. Jeden wpis nieprzetworzony (moja literówka), więc załaduj taki mały skrypt do FRST:

 

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} /f

 

2. Usuń folder C:\Farbar. Następnie zapraw jeszcze DelFix oraz wyczyść foldery Przywracania systemu: KLIK.