Dziwne uruchomione procesy, Chrome nie działa

[bpm]

Dzień dobry,

 

komputer przeskanowany MBAM, TDSSKIller, Dr. Web Cureit, które nic szczególnego nie znalazły (jedynie PUP.Optional).

 

Zauważyłem w Menedżerze Zadań dziwne procesy: k3jxw5, h7y34k itp Poza tym Google Chrome po instalacji nie uruchamia się.

 

Bardzo proszę o analizę logów.

 

FRST.txt Addition.txt Shortcut.txt gmer.txt

[picasso]

Cytat

Zauważyłem w Menedżerze Zadań dziwne procesy: k3jxw5, h7y34k itp

 

W raporcie żadnych śladów tych procesów. Stosowałeś Dr. Web Cureit, to były przypuszczalnie jego losowe procesy.

 

 

Cytat

Poza tym Google Chrome po instalacji nie uruchamia się.

 

Czy był przed instalacją usuwany profil Google Chrome z dysku? Obecnie w raporcie wykrywany jako całkowicie goły i nie wiem czy to wynik uszkodzenia, czy może tego że Chrome nie mogło się uruchomić i poprawnie go wytworzyć.

 

 

Widzę w systemie niedokładnie wyczyszczone adware z grupy "Privoxy", tzn. czynne zadanie odpalające delikwenta PC Defender, co być może zazębia się z problemem Chrome. Wstępnie:

 

1. Odinstaluj HaoZip. To prawdopodobnie była instalacja typu "PUP.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {00B72812-79C2-47EB-A601-18B0AA4CB8B6} - System32\Tasks\{DC04F341-2EA9-4C83-838E-03D6015710CF} => C:\Users\Filip\Desktop\gta_sa.exe
Task: {0F659CBC-929B-471B-9FAC-B8003CF22BFA} - System32\Tasks\{B64B4B8D-4FCC-4D12-AC79-C4C1EDB4B252} => pcalua.exe -a C:\Users\Dom\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=smt
Task: {250ED74B-555F-44BF-AFA8-A3C050375B9F} - System32\Tasks\{CD4C4154-3B0D-49E1-894D-4CC5D0D1DAE4} => C:\Users\Filip\Desktop\gta_sa.exe
Task: {3C0E1479-57A8-4642-B1C1-BDBF6D8866AD} - \Jelbruss Secure Web Worker -> Brak pliku <==== UWAGA
Task: {57CCFADA-9435-4692-A283-8E09BB82D475} - System32\Tasks\{B075201A-2CB7-4770-BECA-A5F7E3B3F9B7} => pcalua.exe -a "C:\Program Files (x86)\CLickForSale\l3fZGoJaKcK7HB.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
Task: {76EE2205-91F5-4514-8871-039837435036} - System32\Tasks\{DFDAF9DC-C252-48EA-920E-0A9AF5DC41C7} => pcalua.exe -a G:\setup.exe -d G:\
Task: {B21226FF-0F02-4F0F-AE42-B42F2E1DAE5A} - System32\Tasks\{481450AF-41DC-4ED8-9069-AD4E5FCCBF5A} => C:\Users\Filip\Desktop\gta_sa.exe
Task: {B8862C54-DB03-43F1-8C2B-E5E7F2E60A14} - System32\Tasks\{BD647359-4A39-4DE1-B5A5-C2B2CB8F174D} => pcalua.exe -a "C:\Users\Dom\Downloads\chromeinstall-8u25 (3).exe" -d C:\Users\Dom\Downloads
Task: {D6DE66FD-785A-4C1B-AE5A-6F5B325E365B} - System32\Tasks\{4493DCC7-003F-464C-9027-D17368A646AB} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe"
Task: {DCC60CCB-BA5D-4881-B5FC-820702082B16} - \Win Defrag -> Brak pliku <==== UWAGA
Task: {E6F60F69-CC63-4E18-AEEE-3253CD120120} - System32\Tasks\PC Defender Worker => C:\Program Files (x86)\PC Defender\PCDefender.exe [2016-01-27] (Secure Updater)
HKLM-x32\...\Run: [#SKY HACKER] => C:\Users\Filip\AppData\Local\Temp\HZ$D.922.1535\HZ$D.922.1541\gta-san-andreas-crack.exe <===== UWAGA
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
SearchScopes: HKU\S-1-5-21-2087539395-219842756-2214252671-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
Toolbar: HKU\S-1-5-21-2087539395-219842756-2214252671-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
RemoveDirectory: C:\Program Files (x86)\PC Defender
RemoveDirectory: C:\ProgramData\TEMP
C:\Users\Dom\AppData\Roaming\appdataFr3.bin
C:\Users\Dom\Desktop\GD\Counter-Strike 1.6 v43.lnk
C:\Users\Dom\Desktop\GD\Play Rodinia War.lnk
C:\Users\Dom\Desktop\hity mamusi\*.lnk
C:\Users\Filip\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Play Goodgame Empire.lnk
C:\Users\Filip\Desktop\Free Music.lnk
C:\Users\Filip\Desktop\ireal-games.lnk
C:\Users\Filip\Desktop\Torch Browser.lnk
C:\Users\Filip\Documents\Euro Truck Simulator 2\readme.rtf.lnk
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Akcje relatywne do przeglądarek:

 

- Odinstaluj Google Chrome, przy deinstalacji zaznacz Usuń także dane przeglądarki. Następnie zainstaluj ponownie.

- W Operze Alt+P > Otwórz wybraną stronę lub zestaw stron > Wybierz > wymaż adres adware istartsurf.com.

- Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Są tu aż trzy konta:

 

==================== Konta użytkowników: =============================

Dom (S-1-5-21-2087539395-219842756-2214252671-1000 - Administrator - Enabled) => C:\Users\Dom
Filip (S-1-5-21-2087539395-219842756-2214252671-1003 - Limited - Enabled) => C:\Users\Filip
Kacper (S-1-5-21-2087539395-219842756-2214252671-1002 - Administrator - Enabled) => C:\Users\Kacper

 

Każde musi zostać sprawdzone z osobna, czyli na każdym wyprodukuj po dwa raporty FRST (FRST.txt + Addition.txt). Na koncie limitowanym Filip FRST należy uruchomić z dwukliku, a nie via Uruchom jako Administrator, by pozyskać właściwy kontekst konta.

 

Dołącz też plik fixlog.txt. Opisz czy problemy z Google Chrome nadal mają miejsce.

 

[bpm]

Wykonane wg zaleceń. Odnośnie Chrome instalowałem i odinstalowałem go 2 razy, bo za pierwszym razem usunął się w 2 sekundy, bez opcji usuwania danych przeglądarki. Chrome działa już bez problemu.

 

Fixlog.txt FRST kacper.txt Addition kacper.txt FRST filip.txt Addition filip.txt

[picasso]

Zabrakło FRST.txt z konta Dom, co miało przedstawić konfigurację przeglądarek na tym koncie (każdy FRST.txt przedstawia inne profile). I drobne poprawki:

 

 

NA KONCIE FILIP

 

1. Odinstaluj śmieci adware Gameo i Torch.

 

2. Ustaw jako domyślną wybraną przeglądarkę. Aktualnie jest wyasygnowany nieistniejący obiekt "Torch".

 

3. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-2087539395-219842756-2214252671-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130937265018648225&GUID=00000000-0000-0000-0000-000000000000
URLSearchHook: HKU\S-1-5-21-2087539395-219842756-2214252671-1003 - (Brak nazwy) - {0740f3dd-e1f0-4ec6-8855-04f999d071fa} - C:\Program Files (x86)\DownSpeedTest_dq\bar\1.bin\dqSrcAs.dll Brak pliku
SearchScopes: HKU\S-1-5-21-2087539395-219842756-2214252671-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
FF Plugin HKU\S-1-5-21-2087539395-219842756-2214252671-1003: TorchVLC -> C:\Users\Filip\AppData\Local\Torch\Plugins\Video\VLC\npvlc.dll [Brak pliku]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

 

 

NA KONCIE DOM

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\MFAData
RemoveDirectory: C:\Program Files\HaoZip
RemoveDirectory: C:\Users\Filip\AppData\Roaming\HaoZip
RemoveDirectory: C:\Users\Kacper\AppData\Roaming\HaoZip

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

 

[bpm]

Cytat

Zabrakło FRST.txt z konta Dom, co miało przedstawić konfigurację przeglądarek na tym koncie (każdy FRST.txt przedstawia inne profile).

 

Faktycznie przeoczyłem to, mój błąd. Jeżeli jeszcze jest potrzebne wklejam, oczywiście przed przeprowadzeniem zalecanego czyszczenia.

 

Reszta wykonana zgodnie z zaleceniami.

 

FRST_dom.txt Addition_dom.txt Fixlog_dom.txt AdwCleanerS1_dom.txt Fixlog_filip.txt

[picasso]

Komentując wyniki: prawie wszystko usunięte skryptami FRST, a AdwCleaner wykrył tylko dwa drobne klucze adware do usunięcia. Stary temat, więc nie wiem czy podejmowałeś już jakieś kroki. Tu nie dużo zostało do zrobienia, czyli uruchomienie AdwCleaner w trybie usuwania oraz standardowe czynności końcowe (DelFix i czyszczenie folderów Przywracania systemu).

[bpm]

Tak, temat już skończony i do zamknięcia. Dziękuję bardzo.