Brontok, Tok-Cirrhatus, Empty

[mars44]

Na laptopie, który mamy w formacji pojawiły się następujące problemy:

- wolna praca (procesy zżerające zasoby jak csrss.exe, lsaas.exe)

- przy próbie wgooglania nazw procesów wyżej wymienionych procesów restart systemu

- restart systemu przy próbie wejścia na stronę z oprogramowaniem antywirusowym

- samootwierająca się strona z czymś nie po polsku

- tworzenie się folderów o takiej samej nazwie jak folder nadrzędny

- kawałek czarnego ekranu przy starcie systemu

- niska wydajność sieci wifi

 

To co byłam w stanie zrobić sama to przez msconfig->uruchamianie wyłączyć część procesów, których nie potrafiłam powiązać z niczym zainstalowanym na kompie (Empty, Tok-Cirhatus) i te które nie są potrzebne do odpalenia. Wtedy udało mi się zainstalować ESET na wersji próbnej, znalazł dużo infekcji, ale procesy Empty i Tok-Cirhatus z okienka uruchamianie nie zniknęły, a włączenie systemu z nimi powoduje, że część wyżej opisanych problemów ciągle występuje.

 

Bardzo proszę o pomoc i załączam logi z dziennikiem skanowania ESETem.

 

Ze względu na to, że wymieniamy pliki przez USB z Siostrą Wychowawczynią jej komputer też jest zainfekowany (podobne objawy i procesy, wyczyszczony wstępnie ESETem), czy mogę podrzucić logi do tego tematu, czy dla przejrzystości założyć drugi?

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

dziennik ze skanu esetem.txt

[picasso]

To robak Brontok, z tym że wg raportów infekcja nie jest czynna. Widać drobne odpadki po niej oraz również innogogatunkowe śmieci adware. Akcja do wdrożenia:

 

1. Odinstaluj stare wersje Adobe oraz adware: Adobe Flash Player 18 ActiveX, Adobe Flash Player 19 PPAPI, FlvPlayer, YTD Video Downloader 4.9.1.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {16a92140-918d-4afb-9edb-46f22437bb10}w64; C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys [48792 2015-01-26] (StdLib)
R2 HPSLPSVC; C:\Users\młodzidlaJezusa\AppData\Local\Temp\7zS13DD\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [brak podpisu cyfrowego]
S1 eegqukat; \??\C:\Windows\system32\drivers\eegqukat.sys [X]
HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [Tok-Cirrhatus] => "C:\Users\młodzidlaJezusa\AppData\Local\smss.exe"
HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [Flvto YouTube Downloader] => "\FlvtoYoutubeDownloader.exe" /minimize
HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe
HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Policies\system: [DisableCMD] 0
Task: {0E91A5F0-5227-4F9B-B6EE-C200EC0156E7} - System32\Tasks\{A57D1615-6FC7-44F6-B6AA-A685A1B6D92D} => pcalua.exe -a "E:\paluch\Liturgia Godzin\kompleta\kompleta.exe" -d "E:\paluch\Liturgia Godzin\kompleta"
Task: {125C314E-150A-4DF7-B9C8-30162C2A8EFC} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-05] (AVAST Software)
Task: {1661EB8E-2366-4D21-941E-6F8488E8625E} - System32\Tasks\{7D35AEA9-BAFC-42FD-9BAC-67FA666EEE23} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe
Task: {2B6969EF-4D57-4C3D-BFBF-80EDA2BD9D02} - System32\Tasks\{8162338B-D10A-48B2-B449-A5E13A94E05C} => pcalua.exe -a "F:\katedra 30.11.14\katedra 30.11.14`.exe" -d "F:\katedra 30.11.14"
Task: {2C119A37-C4B7-4817-A492-0AB1E55B9920} - System32\Tasks\{5F8BBB5F-378A-442D-8B73-626FAE5DC067} => C:\Users\młodzidlaJezusa\Downloads\winrar-x64-501.exe [2015-02-19] ()
Task: {3389F761-4809-4697-AE41-C33B96DBA9D9} - System32\Tasks\{BFCFCE4D-2A50-434D-9DCC-3F2EFB9E0E6A} => pcalua.exe -a E:\paluch\paluch.exe -d E:\paluch
Task: {43F51063-12A6-4EB9-8C88-3DEF8F1B4F86} - System32\Tasks\{9EDEE8B2-F51B-419A-8C4F-67A592D75D11} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe
Task: {51AF9A58-543C-45E7-90E7-10EECB9FF786} - System32\Tasks\{EEB95FDE-8DF8-45AC-A0CF-B5DEEAE4ACDB} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe
Task: {5753CEF8-1563-4AEB-96EA-44D12FED4F85} - System32\Tasks\{D859E44A-50C9-4836-BB2E-3CDC7280056A} => C:\Users\młodzidlaJezusa\Desktop\Synthesia-0.7.0\Synthesia.exe
Task: {6252E06F-F10A-4FFB-95DE-D06D95831CD1} - System32\Tasks\{4036C51F-3FAC-4C9D-8CF2-7D152278CD19} => pcalua.exe -a "C:\Users\młodzidlaJezusa\Desktop\R0990_40 (D)\Setup.exe" -d "C:\Users\młodzidlaJezusa\Desktop\R0990_40 (D)"
Task: {67D50943-8B95-4685-9ACF-251C09733A32} - System32\Tasks\{8541CE96-6464-4BC8-AAF5-64C136E272B7} => pcalua.exe -a E:\Postulat\1.Arka\1.Arka`.exe -d E:\Postulat\1.Arka
Task: {7EE6BBF3-23C4-4960-A297-CAAEB9D0FB48} - System32\Tasks\{A114DF57-0BC3-4BEE-A94E-779F6DA16EF4} => Firefox.exe
Task: {9799E1F8-06C7-452F-BCF9-A7628D362ED8} - System32\Tasks\{4D3E0D49-8832-474B-8C58-06A4AD1A3A4B} => pcalua.exe -a "F:\adoracja osób konsekrowanych 10.01 Panewniki\adoracja osób konsekrowanych 10.01 Panewniki`.exe" -d "F:\adoracja osób konsekrowanych 10.01 Panewniki"
Task: {AA580F40-53BA-4AD7-86CC-577AEDB54324} - System32\Tasks\{0C3770AB-B6F1-4680-B206-BE6BAC78C489} => C:\Users\młodzidlaJezusa\Desktop\Synthesia-0.7.0\Synthesia.exe
Task: {AEE1F27A-C5D4-4E9E-8A75-05BF145E425B} - System32\Tasks\Price Fountain => C:\Users\MODZID~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
Task: {AFEC1B82-78D7-478F-A5C7-9A243A12B248} - System32\Tasks\{E3A4CBAB-FD7F-4A69-88B5-CF54F873344E} => pcalua.exe -a D:\100KC330.exe -d D:\
Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\MODZID~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1422301960&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1422301960&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {40569913-25E4-44D6-8857-7D12FE1FC9B4} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {B8F9A4C2-1288-4438-AFA2-C6D463BD6652} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
BHO-x32: Brak nazwy -> {1F91A9A1-01BA-4c81-863D-3BA0751E1419} -> Brak pliku
BHO-x32: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku
BHO-x32: Brak nazwy -> {b608cc98-54de-4775-96c9-097de398500c} -> Brak pliku
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MaintainerSvc1.65.3138243
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\RelevantKnowledge
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^młodzidlaJezusa^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\Program Files\Common Files\AV\avast! Antivirus
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\0c3a7392-abfa-41f5-95a9-5e339ac76b7b
C:\ProgramData\AVAST Software
C:\ProgramData\Mozilla
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
C:\Users\młodzidlaJezusa\AppData\Local\Bron.tok.A12.em.bin
C:\Users\młodzidlaJezusa\AppData\Local\Kosong.Bron.Tok.txt
C:\Users\młodzidlaJezusa\AppData\Local\Mozilla
C:\Users\młodzidlaJezusa\AppData\Roaming\FlvPlayer
C:\Users\młodzidlaJezusa\AppData\Roaming\Mozilla
C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flvto YouTube Downloader.lnk
C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url
C:\Users\młodzidlaJezusa\Desktop\postulat\postulantki\materiały\FlvPlayer.lnk
C:\Windows\pss\Empty.pif.Startup
C:\Windows\System32\Drivers\aswNdisFlt.sys
C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys
C:\Windows\System32\Tasks\AVAST Software
CMD: for /d %f in (C:\Users\młodzidlaJezusa\AppData\Local\*bron*) do rd /s /q "%f"
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Obecnie brak ustawionej domyślnej przeglądarki. W opcjach Opery ustaw ją jako domyślną.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

 

 

 

Ze względu na to, że wymieniamy pliki przez USB z Siostrą Wychowawczynią jej komputer też jest zainfekowany (podobne objawy i procesy, wyczyszczony wstępnie ESETem), czy mogę podrzucić logi do tego tematu, czy dla przejrzystości założyć drugi?

Załatwmy to w tym temacie.

[mars44]

Wszystkie kroki wykonano, załączam pliki, o które prosiłaś. Dla porządku pliki z komputera Siostry Wychowawczyni załączę w osobnym poście.
 
Bardzo dziękuję za pomoc

Fixlog.txt

FRST.txt

[mars44]

Logi z komputera Siostry Wychowawczyni

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

POPRZEDNI KOMPUTER:

 

Zadania wykonane. Na koniec:

 

1. Usuń drobny błąd WMI narzędziem Fix-it: KLIK.

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

 

DRUGI KOMPUTER:

 

Czy to na pewno komputer, który był zainfekowany Brontokiem? Nie widzę w raportach żadnych śladów tej infekcji. Do usunięcia tylko drobne śmieci innego typu (szczątki po adware oraz inne odpadki):

 

1. Przez Dodaj/Usuń programy odinstaluj stare i zbędne programy: Adobe Flash Player 20 ActiveX, Adobe Flash Player 20 NPAPI, Adobe Flash Player 20 PPAPI, Adobe Shockwave Player 11.5, Java 7 Update 45. Wersje NPAPI (dla Firefox) i PPAPI (dla Opera) w ogóle nie są tu potrzebne, podane przeglądarki nie są zainstalowane.

 

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej. Chodzi o to wystąpienie, które jest opisane jako BonanzaDeals, nie ruszaj tego opisanego jako Google Inc.:

 

Google Update Helper (Version: 1.3.23.0 - BonanzaDeals) Hidden

Google Update Helper (Version: 1.3.29.5 - Google Inc.) Hidden

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: C:\WINDOWS\Tasks\APSnotifierCA.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\BABSOL~1\Shared\BabMaint.exe 
Task: C:\WINDOWS\Tasks\HPpromotions journeysoftware.job => C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-117609710-854245398-1177238915-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe
Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-117609710-854245398-1177238915-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe
S3 Ambfilt; system32\drivers\Ambfilt.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 Monfilt; system32\drivers\Monfilt.sys [X]
HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe
ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Brak pliku [ ]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&ts=1383837460&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&ts=1383837460&type=default&q={searchTerms}
HKU\S-1-5-21-117609710-854245398-1177238915-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.search.ask.com/?tpid=SGT2-V7&o=APN11006&pf=V7&trgb=CR&p2=%5EB3S%5EYYYYYY%5EYY%5EPL&gct=hp&apn_ptnrs=%5EB3S&apn_dtid=%5EYYYYYY%5EYY%5EPL&apn_dbr=Opera.exe_0_12.16.1860.0&apn_uid=75C488EA-BB53-4D84-AC3A-C4A2EEFE60F8&itbv=12.10.0.3323&doi=2014-01-22&psv=&pt=
URLSearchHook: HKLM -> Domyślne = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
URLSearchHook: HKU\S-1-5-21-117609710-854245398-1177238915-1004 - (Brak nazwy) - {D8278076-BC68-4484-9233-6E7F1628B56C} - Brak pliku
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://rts.dsrlte.com/?m=tab" 
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&q={searchTerms}
SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchdwebs.info/?l=1&q={searchTerms}&pid=630&r=2013/06/24&hid=1503236440&lg=EN&cc=PL&unqvl=22
SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {E3109BAA-76F7-4D48-BC1E-570927110561} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms}
BHO: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\PriceFountain\PriceFountainIE.dll [2014-11-27] ()
BHO: Brak nazwy -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Brak pliku
Toolbar: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> Brak nazwy - {53475432-2D56-3700-76A7-7A786E7484D7} - Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.delta-homes.com/?type=sc&ts=1402571463&from=wpm0612&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX
StartMenuInternet: chrome.exe - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1402571463&from=wpm0612&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BingSvc
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla
C:\Documents and Settings\Administrator\Menu Start\Programy\GIMPshop
C:\Documents and Settings\Administrator\Menu Start\Programy\Mobogenie
C:\Documents and Settings\Administrator\Menu Start\Programy\PriceFountain
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\*.crx
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\PriceFountain
C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\GIMPshop
C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\GoldWave
C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\Mobogenie
C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\PriceFountain
C:\Documents and Settings\Wychowawczyni\Ustawienia lokalne\Dane aplikacji\Microsoft\BingSvc
C:\Program Files\Mozilla Firefox
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: netsh firewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść Google Chrome z adware:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj adware Bing, Extended Protection, Quick start.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Są tu dwa konta:

 

==================== Konta użytkowników: =============================
 

Administrator (S-1-5-21-117609710-854245398-1177238915-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator

Wychowawczyni (S-1-5-21-117609710-854245398-1177238915-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Wychowawczyni

 

Logi z FRST (główny + Addition, bez Shortcut) muszą być zrobione z każdego po kolei.

 

Dołącz też plik fixlog.txt.

[mars44]

Ad. 1. Wykonano

Ad. 2. Niestety na Windows XP wskazane narzędzie nie działa, więc BonanzaDeals ciągle jest

Ad. 3 Wykonano, logi w załączeniu

Ad. 4. Wykonano

Ad. 5 Minęło sporo czasu i w tym czasie Siostra Wychowawczyni zrobiła już jedno konto (oprócz nieaktywnego konta Gość), więc log załączam tylko z jednego

 

Nie wiem czy komputer był zainfekowany brontokiem, założyłam, że może być skoro wymieniałyśmy się USB a na obu komputerach zainstalowany był ten sam antywirus (darmowa wersja Avast).

FRST.txt

Fixlog.txt

Addition.txt

[picasso]

Na koncie Wychowawczyni poprawki:

 

1. Do deinstalacji także zestaw Apple: Apple Software Update, Obsługa programów Apple, QuickTime 7. Wykryte groźne luki, które nie zostaną już załatane. Apple zlikwidowało wsparcie dla Windows.

 

2. Otwórz Notatnik i wklej w nim:

 

CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX
DeleteKey: HKLM\SOFTWARE\Mozilla
C:\Documents and Settings\Wychowawczyni\Dane aplikacji\Mozilla
C:\Documents and Settings\Wychowawczyni\Ustawienia lokalne\Dane aplikacji\Mozilla
C:\WINDOWS\0
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

 

Niestety na Windows XP wskazane narzędzie nie działa, więc BonanzaDeals ciągle jest

Jakiś czas temu już się zorientowałam, że podmienili narzędzie. Wersję XP pobierzesz z przyklejonego opisu Program Install and Uninstall Troubleshooter.

 

 

Minęło sporo czasu i w tym czasie Siostra Wychowawczyni zrobiła już jedno konto (oprócz nieaktywnego konta Gość)

Konto Administrator jest wbudowane w system i nadal istnieje. Nie widać go na ekranie logowania w trybie normalnym, tylko na ekranie podczas wchodzenia w tryb awaryjny.

Edytowane 11 Sierpnia 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso