yanex.ru jako strona startowa. Bluescreen przy próbie GMERania.

[sandoz]

Witajce,
podczas ostatniej aktualizacji sterowników udało mi się zainstalować rosyjskie coś, które zauważyłem dzięki stronie startowej w MS Edge - yandex.ru.

Po włączeniu GMERa pojawia się okno z informacją "C:\WINDOWS\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces.", po uruchomieniu skanowania pojawia się błąd systemu "ATTEMPTED_WRITE_TO_READONLY_MEMORY (win32k.sys)". Przy próbie skanowania w trybie awaryjnym pojawia się informacja "C:\Users\Kacper\ntuser.dat: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces.", następnie GMER informuje, że nie odnalazł żadnych modyfikacji systemu.

Z góry dzięki za pomoc.

 

Addition.txt

FRST.txt

Shortcut.txt

preskan GMER.txt

[jessica]

1) Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKU\S-1-5-21-1867331206-2771377684-467728953-1002 -> DefaultScope {CCF01CFC-F989-4B9C-B656-ABB2E894D84E} URL = hxxp://yandex.ru/search/?win=210&clid=2100768-002&text={searchTerms}
InternetURL: C:\Users\Kacper\Favorites\Links\Почта.url -> hxxp://mail.yandex.ru/?win=210&clid=2100778-002
InternetURL: C:\Users\Kacper\Favorites\Links\Яндекс.url -> hxxp://www.yandex.ru/?win=210&clid=2100778-002
InternetURL: C:\Users\Kacper\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\Favorites\Links\Почта.url -> hxxp://mail.yandex.ru/?win=210&clid=2100778-002
InternetURL: C:\Users\Kacper\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\Favorites\Links\Яндекс.url -> hxxp://www.yandex.ru/?win=210&clid=2100778-002
Edge HomeButtonPage: HKU\S-1-5-21-1867331206-2771377684-467728953-1002 -> hxxp://www.yandex.ru/?win=210&clid=2100767-002
FF DefaultSearchEngine: Яндекс
FF SelectedSearchEngine: Яндекс
FF SearchPlugin: C:\Users\Kacper\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\yandex.ru-155839.xml [2016-01-07]
Task: {0DA36396-F775-44C7-9D72-5969C435910A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {34CFC8BC-CD3C-4AB8-B00C-8720DEED7999} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {5742EE83-F2CD-449C-85FC-66D99CE76669} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {6DC76561-E274-48B8-BA7E-E17C37EFD9F1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {724B5B33-DDDE-482F-8448-6F2E3C48939E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {90CB6EFB-CE8E-4704-AD4E-BBCD5AC7618E} - System32\Tasks\{58EA9015-7C6B-4793-900F-C39CC5BA3A29} => pcalua.exe -a "C:\Program Files (x86)\Realtek\Audio\SetupAfterRebootService.exe" -d "C:\Program Files (x86)\Realtek\Audio"
Task: {AD8814DC-1B08-477B-9F4F-07B27DC2E1ED} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {B2E459BF-3D0D-4B1E-AD91-5D6DA07567C6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {C0529788-8108-4FD5-8539-509081924035} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {DCAE4BEF-B94B-4995-842A-CFEDC2F4DD28} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {E79B5020-ACAA-44DE-BCF1-98A6529A735F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {F37582BD-F292-4344-90A5-7F9ADB31B834} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} =>  Brak pliku
ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} =>  Brak pliku
ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} =>  Brak pliku
ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} =>  Brak pliku
SearchScopes: HKU\S-1-5-21-1867331206-2771377684-467728953-1002 -> {CCF01CFC-F989-4B9C-B656-ABB2E894D84E} URL = hxxp://yandex.ru/search/?win=210&clid=2100768-002&text={searchTerms}
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

 

Яндекс*.*; yandex*.*

kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

3) Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

 

Яндекс; yandex

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

 

jessi

[sandoz]

Wyniki wyszukiwań.

 

1. Z czego wynikały błędy przy skanowaniu GMERem?

2. Dlaczego CCleaner w programach do wyczyszczenia pokazuje mi Operę, Firefoxa i Chroma skoro dwoje z nich jest przezeń wyinstalowane, a kolejne nigdy nie było używane?

 

pzdr

Search.txt

Search'.txt

[jessica]

1. Z czego wynikały błędy przy skanowaniu GMERem?

2. Dlaczego CCleaner w programach do wyczyszczenia pokazuje mi Operę, Firefoxa i Chroma skoro dwoje z nich jest przezeń wyinstalowane, a kolejne nigdy nie było używane?

Ad.1 To częsty błąd GMER'a, można go zlikwidować, ale w Twoim przypadku nie warto się tym zajmować - YANDEX to nie Rootkit.

 

Ad. 2 Podejrzewam, że C-CLEANER z przyzwyczajenia to pokazuje, choć akurat jeśli chodzi o Firefoxa i Google Chrome - to nawet w logach widać pozostałości, więc chyba kiedyś były zainstalowane.

 

Otwórz Notatnik i wklej w nim:

 

C:\Program Files\Tracker Software\PDF Viewer\SearchProviders\yandex.png

C:\Program Files\Tracker Software\PDF Viewer\SearchProviders\yandex.xml

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Jeśli będzie OK, to będziemy kończyć:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

jessi

[sandoz]

Problem wygląda na rozwiązany.

 

Wielkie dzięki jessi

Pozdrawiam