adisss Opublikowano 3 Grudnia 2015 Zgłoś Udostępnij Opublikowano 3 Grudnia 2015 Mam wielką prośbę o pomoc z tym problemem. Nie radzą sobie z tym ani kaspersky, ad-aware czy avast. Głównym problemem są wysakakujące reklamy podczas przeglądania niektórych stron (Np. allegro). Wstrzepiane są ramki iframe do których są ładowane inne strony (chrome, firefox). Coraz częściej pojawiają się problemy przy przechodzeniu na szyfrowane strony (przekreślone https tam gdzie powinno być np bank). Podczas skanu GMER pojawiły się dwa błędy z dostępem: C:\Users\User\ntuser.dat: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. C:\Windows\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. Bardzo proszę o pomoc. Zawsze to ja wszystkim czyściłem komputery ale tym razem jestem bezradny. PS: Najprawdopodoniej zainfekowany zostałem podczas ćiągnięcia programu z komputerswiat.pl (23-26.sierpnia 2015). Przy okazji doinstalowało mi sie PriceFountain. FRST.txt Addition.txt Shortcut.txt Wynik z skanu GMER.txt Wstrzykiwany kod do przeglądarki.txt Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2015 Zgłoś Udostępnij Opublikowano 3 Grudnia 2015 Objawy produkuje szkodliwe zadanie DressedMounterV2 w Harmonogramie. Przyczyną nieszczęścia był poniższy plik, to nie był prawidłowy instalator tylko jakiś "downloader". Zjawisko opisane tutaj: KLIK. 2015-11-25 14:30 - 2015-11-25 14:30 - 00996128 _____ (Software ) C:\Users\User\Desktop\Free HTML5 Video Player And Converter 5.exe Akcje do przeprowadzenia: 1. Deinstalacje: - Za dużo antywirusów! Odinstaluj albo Avast Free Antivirus, albo Kaspersky Internet Security. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Metric Collection SDK (odpadek po niechcianej instalacji Lenovo REACHit) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {627480FA-715B-4DE3-B89C-FBA8415E2A01} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {7F799B60-1BEB-483C-9439-52749AB0326C} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {93B96BCC-977A-4F27-9841-FAC6A15301A9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {D4A39F7E-0478-41C4-8967-67D5BB9FAC76} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {E02B9FA0-0477-474C-98E5-703430587320} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {F65C3153-712E-43D8-A138-911BC2DFA5B1} - System32\Tasks\DressedMounterV2 => Rundll32.exe AurorasAurate.dll,main 7 1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Anti-Theft HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2310339651-1844684010-2764154791-1001\...\MountPoints2: {bbdf8785-da1a-11e3-8267-00c2c623c8ae} - "G:\vs_ultimate.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2310339651-1844684010-2764154791-1001 -> {E07D08BF-7418-47F8-B233-D487DA569F48} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\tvhmtuwk.default\searchplugins\google-lavasoft.xml [2015-12-03] S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S3 iscFlash; \??\C:\Windows\Temp\ArchesP10SP10SG_BIOS_V160_WIN\x64\iscflashx64.sys [X] AlternateDataStreams: C:\Users\User\AppData\Local\Temp:5a8drv2HWQR487ig7 AlternateDataStreams: C:\Users\User\AppData\Local\Temporary Internet Files:0pzb5XLxQKZZG1mtKUUdzbKVm7Lr AlternateDataStreams: C:\Users\User\AppData\Local\Temporary Internet Files:xjmHoFgeIzKmsbLL C:\Prefs.js C:\searchplugins C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Lavasoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WildTangent Games App - toshiba.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\WildTangent Games App - toshiba.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoMapa C:\Users\User\REACHit C:\Users\User\AppData\Local\ACCCx2_9_1_474.zip.aamdownload C:\Users\User\AppData\Local\ACCCx2_9_1_474.zip.aamdownload.aamd C:\Users\User\AppData\Local\DressedMounter C:\Users\User\AppData\Local\Lenovo C:\Users\User\AppData\Local\Sparta C:\Users\User\Desktop\Free HTML5 Video Player And Converter 5.exe C:\Users\User\Desktop\Niepotwierdzony 663299.crdownload C:\Windows\TempFileCleaner.cmd C:\Windows\system32\LavasoftTcpService64.dll C:\Windows\system32\LavasoftTcpServiceOff.ini C:\Windows\System32\Tasks\Lenovo C:\Windows\System32\Tasks\Norton Anti-Theft C:\Windows\SysWOW64\LavasoftTcpService.dll C:\Windows\SysWOW64\LavasoftTcpServiceOff.ini Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v LiveSupport /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesAirMessage /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "IVONA Reader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v VideoDownloaderUltimate /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v TortoiseHgOverlayIconServer /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
adisss Opublikowano 3 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2015 1. Avast - odinstalowany. 2. Metric Collection SD - pomyślnie usunięte. 3. fixlist - wykonane. W załaczniku logi. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2015 Zgłoś Udostępnij Opublikowano 4 Grudnia 2015 Wszystko pomyślnie usunięte, problem reklam powinien ustąpić. Drobne poprawki: 1. Przeoczyłam ze zmęczenia. Jeszcze w Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres www.default-search.net, przestaw na "Otwórz stronę nowej karty" 2. Usunięcie drobnych szczątków. Do Notatnika wklej: Task: {EBF4EE44-3E24-465B-9243-F04AE84BAC7E} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2015-12-03] (AVAST Software) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku FF DefaultSearchEngine: Google FF SelectedSearchEngine: Google FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [brak pliku] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Users\User\AppData\Local\FreeFixer RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software RemoveDirectory: C:\Windows\system32\vbox RemoveDirectory: C:\Windows\SysWOW64\vbox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Zaprezentuj wynikowy fixlog.txt. Odnośnik do komentarza
adisss Opublikowano 4 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2015 Dokonałem ostatnich poprawek. Dziękuję za pomoc, wygląda na to że problem rozwiązany. Jestem pod wrażeniem poziomu wiedzy chapeau bas. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2015 Zgłoś Udostępnij Opublikowano 4 Grudnia 2015 Ostatni skrypt pomyślnie wykonany. Na koniec: Przez SHIFT+DEL (omija Kosz) usuń używane narzędzia i ich logi z folderu C:\Users\User\Desktop\Sprzątanie. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Czego nie usunie DelFix, dokasuj ręcznie. Odnośnik do komentarza
adisss Opublikowano 4 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2015 Troszkę to zajeło bo było co czytać w "krokach finalizujących". Jaki najlepiej używać soft do ochrony. Mój zestaw kaspersky IS + Spybot nie do końca się spisały. A najbardziej nie spisałem się ja bo zaryzykowałem z instalacją HTML5 Video Converter którego bardzo potrzebowałem. Wiedziałam że ani strona z której pobieram nie jest bezpieczna ani sam instalator nie jest ok, ale myślałem że sobie z tym poradzę mając powyższą ochronę. Załaczam końcowy log i jeszcze raz dziękuję za pomoc. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2015 Zgłoś Udostępnij Opublikowano 5 Grudnia 2015 DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Jaki najlepiej używać soft do ochrony. Mój zestaw kaspersky IS + Spybot nie do końca się spisały. A najbardziej nie spisałem się ja bo zaryzykowałem z instalacją HTML5 Video Converter którego bardzo potrzebowałem. Wiedziałam że ani strona z której pobieram nie jest bezpieczna ani sam instalator nie jest ok, ale myślałem że sobie z tym poradzę mając powyższą ochronę. Spybot to przestarzały program. Zaś antywirusy nie są za bardzo specjalizowane w zatrzymywaniu tego typu instalacji. Większą orientację na instalacje adware/PUP ma komercyjna wersja Malwarebytes Anti-Malware z rezydentem. Jest też darmowy program Unchecky służący automatycznemu omijania min w instalatorach, ale program nie pomoże jeśli dany downloader w ogóle nie ma opcji wykluczenia sponsora, nie zastąpi też myślenia. Odnośnik do komentarza
Rekomendowane odpowiedzi