Uciążliwe reklamy PriceFountain

marcin84 · 11 Lutego 2016

Witam.

Kilka dni temu pobierałem jakiś program z dobreprogramy.pl i przy okazji złapałem jakąś infekcję (zaznaczam iż nie miałem wtedy jakiegokolwiek antywirusa). W tych sprawach jestem laikiem, ale pomyślałem że może uda mi się coś naprawić z pomocą Waszego forum. Mój problem objawia się następująco:

- uciążliwe reklamy pricefountain w trakcie korzystania z serwisów olx.pl i allegro (nie udało mi się tego usunąć poprzez panel sterowania)

- gdy chcę otworzyc dysk C lub D pojawia się okno Otwórz plik D za pomocą... Dyski te można otworzyć tylko poprzez wyszukiwarkę Internet Explorer

- gdy chcę wyłączyć komputer pojawia się komunikat informujący o kończeniu pracy rundll32.exe i niebieski pasek postępu dochodzi do końca a komputer nie chce się wyłączyć. dopiero jak nacisnę Zakończ teraz - komputer się wyłącza

- dodatkowo zmienilo mi strony startowe w google chrome i internet explorer

Kroki które podjąłem to 1) instalacja Avasta + kilkugodzinne skanowanie systemu. Avast informował o licznych zarażeniach wirusem o nazwie Kukacka. 2) skanowałem system AdwCleaner- też nie pomogło.

Po wykonaniu logów z FRST a przed wykonaniem logów z GMER odinstalowałem Avasta, jednak nie zrestartowałem komputera.

Proszę o pomoc.

picasso · 11 Lutego 2016

Krytyczny stan aktualizacji systemu: brak SP3 + IE8 i reszty łat, niebezpieczne wersje Adobe i Java zainstalowane. W związku ze stanem systemem tu są ślady innych infekcji spoza adware. Widoczne następujące problemy:

- To zachowanie dysków to jest konsekwencja infekcji z mediów przenośnych USB. Nabyłeś wirusa Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Sality uszkodził także Tryb awaryjny Windows. Wirus Sality nie wygląda na aktywny (brak sterownika i jego czynności w GMER), ale nie wiadomo ile zdewastował i czy są geny wirusa w jakiś programach. Może się okazać, że jest konieczny format całego dysku.

- A tytułowy problem PriceFountain owszem pochodzi z "Asystenta pobierania" dobrychprogramów, ale przy wirusie Sality to pikuś. To prosta infekcja uruchamiana przez Harmonogram zadań.

Wstępnie:

1. Zrób skan za pomocą SalityKiller. Jeśli wykryje zarażone pliki, powtarzasz skan, do momentu gdy zwrotem będzie zero zainfekowanych.

2. Pobierz Sality_RegKeys.zip. Rozpakuj i uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

3. Odinstaluj stare wersje: Adobe Flash Player 9 ActiveX, Adobe Reader 8 - Polish, Java 6 Update 24, OpenOffice.org 3.3, Orange Free (uszkodzony), Real Alternative 1.8.0. Również Mozilla Maintenance Service - to nie jest stara wersja, ale program jest naruszony przez wirusa Sality. Jeśli wystąpią problemy przy deinstalacji, kontynuuj dalej.

4. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\User\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\WINDOWS\Tasks\UserFrothedAntilogsV2.job => C:\WINDOWS\system32\rundll32.exe#ReconsolidatingSachet.dll
S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X]
S4 IntelIde; Brak ImagePath
S1 mailKmd; Brak ImagePath
HKLM\...\Run: [CtrlVol] => C:\Program Files\Launch Manager\CtrlVol.exe
HKLM\...\Run: [LaunchAp] => C:\Program Files\Launch Manager\LaunchAp.exe
HKLM\...\Run: [Wbutton] => C:\Program Files\Launch Manager\WButton.exe
HKLM\...\Run: [WinampAgent] => "C:\Program Files\Winamp\winampa.exe"
HKLM\...\Run: [PPort11reminder] => "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dane aplikacji\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [ares] => "C:\Documents and Settings\User\Pulpit\Ares\Ares.exe" -h
HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [Komunikator] => C:\Program Files\Tlen.pl\tlen.exe
HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [skype] => "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://wyborcza.pl/0,0.html?p=014
HKU\S-1-5-21-436374069-261903793-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" 
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Skype
RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\Orange
RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\LetsFun FLV Converter
RemoveDirectory: C:\Documents and Settings\User\Dane aplikacji\Skype
removeDirectory: C:\Documents and Settings\User\Menu Start\Programy\WorldUnlock Calculator
RemoveDirectory: C:\Documents and Settings\User\Pulpit\Stare dane programu Firefox
RemoveDirectory: C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\FrothedAntilogs
RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins
RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Documents and Settings\All Users\Menu Start\Programy\Brother\DCP-195C\Rejestracja On-Line.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\K-Lite Codec Pack\Tools\VobSubStrip.lnk
C:\Documents and Settings\User\Dane aplikacji\avdrn.dat
C:\Documents and Settings\User\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Orange.lnk
C:\Documents and Settings\User\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK
C:\Documents and Settings\User\Pulpit\BurnAware-Free-13053-dp.exe
C:\Documents and Settings\User\Pulpit\OpenFM.lnk
C:\autorun.inf
D:\autorun.inf
CMD: dir /a C:\
CMD: dir /a D:\
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

5. Zrób nowe logi: FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

marcin84 · 11 Lutego 2016

Zrobiłem wszystko krok po kroku, podczas próby deinstalacji Mozilla Maintenance Service wyskoczył komunikat informujący o tym, że deinstalacja jest niemożliwa. Wstawiam nowe logi: