Adware Corona Borealis

[raggunable]

Witam, od paru dni walczę z irytującym adwarem, który ściągnąłem przez przypadek i moją głupotę. Ściągnąłem plik, który wyglądał jak torrent, odpaliłem  go i po chwili miałem na komputerze kilka podejrzanych programów, a w przeglądarce zaczęły mi się pojawiać agresywne reklamy. Szukałem w internecie rozwiązania, lecz znalazłem tylko zaśmiecające programy, swoja drogą nie mogę jednego odinstalować (SpyHunter). Komputer coraz bardziej się zacina, odpaliłem tryb awaryjny, GMER i FRST musiałem pobierać przez telefon i zrzucać na komputer, ponieważ w momencie pobierania komputer odmawiał posłuszeństwa i wszystko co dało się zrobić to restart. Z tego co widziałem, borealis jest dosyć popularny w internecie, więc liczę, że da się coś zrobić, będę wdzięczny za każdą pomoc, załączam potrzebne pliki.

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Czy na pewno problem reklam nadal występuje po użyciu AdwCleaner? Jedyne co tu widzę, to Popcorn Time (w niektórych źródłach klasyfikowany jako program z adware). A spowolnienie systemu to musi być z innej przyczyny, być może ten świeżo doinstalowany / aktualizowany Avast bruździ. Wstępnie:

 

1. Odinstaluj zbędny Akamai NetSession Interface oraz Popcorn Time. Natomiast pod kątem opornego SpyHuntera skorzystaj z narzędzia SpyHunterCleaner.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 cpuz134; \??\C:\Users\aaa\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X]
S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X]
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
S3 ipswuio; System32\DRIVERS\ipswuio.sys [X]
S3 lvupdtio; \??\C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys [X]
U3 tmlwf; Brak ImagePath
U3 tmwfp; Brak ImagePath
S3 U46WDM1_01; system32\DRIVERS\U46wdm.sys [X]
S1 U46_AA; system32\DRIVERS\U46DRV.sys [X]
Task: {0738362A-D40F-40C4-AD47-79761F50F0C4} - System32\Tasks\{CE15E7A2-95F1-4B80-A42D-3B49EF0B2E76} => pcalua.exe -a C:\Users\aaa\Downloads\GyroMouse.exe -d C:\Users\aaa\Downloads
Task: {09C56AEC-8DDE-49E0-A9C4-1B41C9A753BD} - System32\Tasks\{685797C1-9431-4EDF-98D3-32BAF9D0687C} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe
Task: {0E797C26-A100-42D4-90BE-A4B8838A95DE} - System32\Tasks\{86F3E347-6725-4AEC-81C1-05E29C541A6E} => pcalua.exe -a C:\Users\aaa\Desktop\MixmanStudioMP3.exe -d C:\Users\aaa\Desktop
Task: {15A43132-0A89-4EAA-B872-7256FA654BFF} - System32\Tasks\{8EBDDD23-B682-440C-AC1B-E8643E829918} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe
Task: {18E6840C-6498-4AAD-822B-6A2B395C8CA1} - System32\Tasks\{52E67DE2-E606-459C-9AC1-25BAFBFEED1E} => pcalua.exe -a C:\Users\aaa\Downloads\setup-PDB-ED1.5.exe -d C:\Users\aaa\Downloads
Task: {43660526-09B0-4BC5-9F8C-57B88A5196A1} - System32\Tasks\{DC3696E2-0C94-4C5B-9FDE-57FBED626467} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{9DF0196F-B6B8-4C3A-8790-DE42AA530101}\SPORESetup.exe" -c -runfromtemp -l0x0015 -removeonly
Task: {5920DE58-723F-48E1-AFCA-2948500930A9} - System32\Tasks\{7289E6E1-7CB5-4795-8AED-489EDA9CD239} => C:\Users\aaa\Downloads\TS3_1.67.2.0240xx_update.exe
Task: {5AB58A12-426E-45B6-BCCD-A7FD7D17C2F2} - System32\Tasks\{197A2732-AD26-49B7-A6F4-622BEDF27736} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe
Task: {6A8F3DAC-900B-4EC5-BA11-8622EEEDB903} - System32\Tasks\{53EB1DD7-86F5-41E5-BC24-B98CEC96777B} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe
Task: {6B95C76C-8DF5-4865-A9F2-F42A34540FAC} - System32\Tasks\{DE3164A2-7E9D-415F-A146-CF37EF84200A} => pcalua.exe -a C:\Users\aaa\Desktop\Sims3EP05Setup.exe -d C:\Users\aaa\Desktop
Task: {71CD52D7-ACE5-4CBF-B262-5417FD849E46} - System32\Tasks\{A65177A1-9E44-4C8B-BA34-DB6FF70E684C} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe
Task: {72BB8ED2-6DB9-4FC8-A40C-37D5CC5C937B} - System32\Tasks\{4A7EAF56-4EB8-4412-8423-E576D9D50DAA} => pcalua.exe -a C:\Windows\snuninst.exe -c /name='USB2.0 UVC VGA WebCam'
Task: {78239E01-BDB8-4866-AC19-288EB4D6C2D8} - System32\Tasks\{1A998398-0486-411F-A34C-E2D83B909C0D} => pcalua.exe -a C:\Users\aaa\Downloads\wlsetup-web.exe -d C:\Users\aaa\Downloads
Task: {7D38F400-1AB1-4E92-A27B-B04C3DC17BC6} - System32\Tasks\{831FD31F-DF1F-44CF-A719-E0126BD80A05} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe
Task: {835614CA-CD0D-48B8-AD10-1ABA42A5AA75} - System32\Tasks\{8AAC17AC-ED58-4C59-BE07-D79B38777749} => pcalua.exe -a "D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe" -d "D:\DOWNLOAD\TH3\Island Paradise"
Task: {8558D3C4-C340-42E3-80CD-277C3304A82F} - System32\Tasks\{9FCE15D3-4BBF-4516-8E8D-3529430E9B64} => pcalua.exe -a C:\Users\aaa\Downloads\setup-PDB-ED1.5.exe -d C:\Users\aaa\Downloads
Task: {869D5DB2-E5A6-4F45-A348-86BBEF1F04CB} - System32\Tasks\{1B2CA23A-FC5B-4E3B-875F-33B0DB238FFE} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe
Task: {8EDCA5CB-7AF7-4A3E-9E21-7BF29F75735B} - System32\Tasks\GridinSoft Anti-Malware => D:\AAAProgramy\GridinSoft Anti-Malware\gsam.exe
Task: {995DBEE1-D998-4B05-AE60-EF23649404E8} - System32\Tasks\{310F7921-44F9-418D-8D0A-2494BFE6F8A9} => pcalua.exe -a D:\AAAProgramy\Steam\steam.exe -c steam://uninstall/42680
Task: {99FD482C-1883-4D5E-93BF-3F8E0607E0AA} - System32\Tasks\{E2532236-7AA2-49C9-8274-C27956E264F1} => pcalua.exe -a E:\SETUP.EXE -d E:\
Task: {9FB0DEF5-8CA0-4FB0-B670-DFFA9C0FF35D} - System32\Tasks\{EF22C505-4693-4E4F-9AF2-70B49EC1B506} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe
Task: {C93C9D92-3BCD-420F-8016-DBCEC08DFBE4} - System32\Tasks\{E31CE0F1-7BD8-4D6E-A3E0-FCAC46D8F3FF} => pcalua.exe -a "D:\Prawo Jazdy 2011\unins000.exe" -d "D:\Prawo Jazdy 2011"
Task: {D9B7F75A-DFE3-4C37-B83E-A843967E5859} - System32\Tasks\{E36B74A3-3B47-46AB-9ACF-A5C0EEDB27ED} => pcalua.exe -a C:\Users\aaa\Downloads\msicuu2.exe -d C:\Users\aaa\Downloads
Task: {F57AC501-B2ED-46A1-B56D-C78F5A4FA6BD} - System32\Tasks\{9E9618DE-E449-438C-9B0B-A468AA7701A4} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe
CustomCLSID: HKU\S-1-5-21-993321323-3193323119-4218094022-1001_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-993321323-3193323119-4218094022-1001_Classes\CLSID\{D166BD15-03AF-413A-BEFD-0679FF410B49}\InprocServer32 -> C:\Users\aaa\AppData\Local\Dropbox\Update\1.3.27.29\psuser.dll => Brak pliku
HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> none
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com
HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com
HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com
URLSearchHook: HKU\S-1-5-21-993321323-3193323119-4218094022-1001 - (Brak nazwy) - {60c4696a-e4eb-4d2d-9060-38928dd0b6a2} - Brak pliku
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-993321323-3193323119-4218094022-1001 -> DefaultScope {A3EA6799-929E-48C6-936C-25F0A789F20A} URL =
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku]
FF Plugin HKU\S-1-5-21-993321323-3193323119-4218094022-1001: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku]
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eKWEJK
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mpck_en_005030252
C:\Program Files\Common Files\Net4Switch.ico
C:\ProgramData\GridinSoft
C:\ProgramData\TEMP
C:\Users\aaa\AppData\Local\{8E66D97F-D53A-4214-B72D-A5D8BC1E0956}
C:\Users\aaa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Osoba 1 - Chrome.lnk
C:\Users\aaa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Popcorn Time.lnk
C:\Users\aaa\Desktop\Programy\Google Chrome.lnk
C:\Users\aaa\Desktop\Programy\GridinSoft Anti-Malware.lnk
C:\Users\aaa\Desktop\Programy\Popcorn Time.lnk
C:\Users\aaa\Desktop\Programy\Program uruchamiający aplikacje Chrome.lnk
C:\Users\aaa\Desktop\Różne\Niepotrzebne\Drivery ASUS\Adobe Reader 9.lnk
C:\Users\aaa\Desktop\Różne\Niepotrzebne\Drivery ASUS\Gadu-Gadu 10.lnk
C:\Users\aaa\Downloads\FRST.exe.part
C:\Users\aaa\Downloads\gsamDV.exe
C:\Windows\~INSX362.EXE
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\aaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso