Infekcja - reklamy GreatDeals

[Adi]

Witam! W przeglądarce Opera wyświetlają się reklamy z opisem "brought by GreatDeals". Jak sobie z tym poradzić? Pozdrawiam.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

Akcje do przeprowadzenia:

 

1. Przez Dodaj/Usuń programy odinstaluj:

- Adware/PUP: BlockAndSurf, Component Touch, ConvertAd, Style Beach, WinZip, YAC(Yet Another Cleaner!).

- Stare programy: ACE Mega CoDecS Pack, Apple Software Update, JavaFX 2.1.1, Obsługa programów Apple, QuickTime, Windows Media Player Firefox Plugin. QuickTime/Apple nie jest bezpieczny, ostatnio wykryte poważne luki, które już nie zostaną naprawione (wycofane wsparcie dla Windows), nie wspominając o tym że dla XP i tak jest dostępna tylko stara wersja (jeszcze bardziej dziurawa).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {55dce8ba-9dec-4013-937e-adbf9317d990}t; C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys [55184 2014-08-10] (StdLib)
R1 {69b2a7fb-60a8-4ce6-8aeb-423ac97a1ad2}Gt; C:\WINDOWS\System32\drivers\{69b2a7fb-60a8-4ce6-8aeb-423ac97a1ad2}Gt.sys [55824 2015-01-09] (StdLib)
R1 {a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt; C:\WINDOWS\System32\drivers\{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt.sys [55832 2014-12-30] (StdLib)
S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2945312 2016-01-14] (IObit)
HKLM\...\Run: [ROC_roc_ssl_v12] => "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12
HKLM\...\Run: [ROC_ROC_NT] => "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT
HKLM\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot
HKLM\...\Run: [gmsd_pl_14] => [X]
HKLM\...\Run: [upgmsd_pl_14.exe] => C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\gmsd_pl_14\upgmsd_pl_14.exe -runhelper
HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [DriverUpdaterPro] => C:\Program Files\oTweak\DriverUpdaterPro\DriverUpdaterPro.exe /ot /as /ss
HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [updateMyDrivers] => C:\Program Files\SmartTweak\UpdateMyDrivers\UpdateMyDrivers.exe /ot /as /ss
HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [speedUpMyComputer] => C:\Program Files\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as /ss
HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot
HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [FixMyRegistry] => C:\Program Files\SmartTweak\FixMyRegistry\FixMyRegistry.exe /ot /as
Task: C:\WINDOWS\Tasks\ASC Task (One-Time).job => C:\Program Files\IObit\Advanced SystemCare\ASCPromote.exe
Task: C:\WINDOWS\Tasks\Browser Updater Task(Core).job => C:\Program Files\QQBrowser\Update\050A00EDD3F6FCC847968E0BD165782A\Update\BrowserUpdate.exe 
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\WINDOWS\Tasks\Style Beach2.job => C:\WINDOWS\system32\rundll32.exe C:\Documents and Settings\PC\Local Settings\Application Data\Style Beach\{B664DB93-2543-E0FE-5385-64DEDDDF95B0}\sdoed.dll 
Task: C:\WINDOWS\Tasks\WinTaske.job => C:\Program Files\WinTaske\WinTaske\WinTaske.exe
Task: C:\WINDOWS\Tasks\yellow_cabs_notification_service.job => C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\yellow cabs\yellow_cabs_notification_service.exeǧ/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='yellow cabs' /appid='73143' /srcid='2913' /bic='78d5c8e7d70ec162e242e7b35f4cca15' /verifier='ff6ab3e9ce69543d5630ea7832f5c169' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif 
Task: C:\WINDOWS\Tasks\yellow_cabs_updating_service.job => C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\yellow cabs\yellow_cabs_updating_service.exe¬ /campid=2913 /verid=1 /url=hxxp:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=yellow_cabs_updating_service /funurl=hxxp:/stats.buildomserv.com 
Task: C:\WINDOWS\Tasks\YTDownloader.job => C:\Program Files\YTDownloader\YTDownloader.exe 
ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Program Files\Opera\launcher.exe (Opera Software) -> hxxp://www.piesearch.com/?uid=478a465d-3f7c-486c-8c17-608e197276bb
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1419976961&from=obw&uid=SAMSUNGXHD403LJ_S0NFJ1MQ101544&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1419976961&from=obw&uid=SAMSUNGXHD403LJ_S0NFJ1MQ101544&q={searchTerms}
SearchScopes: HKU\S-1-5-21-117609710-507921405-1801674531-1003 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = hxxp://www.mystart.com/results.php?gen=ms&pr=vmn&id=mystarttb&v=5_4&ent=ch_5224&q={searchTerms}
SearchScopes: HKU\S-1-5-21-117609710-507921405-1801674531-1003 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
SearchScopes: HKU\S-1-5-21-117609710-507921405-1801674531-1003 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms}
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll => Brak pliku
BHO: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~1\ALLPLA~1\Iplex\IPLEXT~1.DLL => Brak pliku
CustomCLSID: HKU\S-1-5-21-117609710-507921405-1801674531-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\PC\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll => Brak pliku
AV: IObit Malware Fighter (Disabled - Out of date) {0ED16AC2-4656-4907-BD42-21EA693640D6}
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Google\Chrome
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\mozilla.org
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
C:\Documents and Settings\All Users\Dane aplikacji\ProductData
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{31505C44-7CED-49C2-B290-4AFC14A0E156}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{37E50060-D7B2-402E-A5A5-D9271BB2FE37}
C:\Documents and Settings\All Users\Menu Start\Programy\WinZip
C:\Documents and Settings\PC\TempWmicBatchFile.bat
C:\Documents and Settings\PC\Dane aplikacji\BBHJ.exe
C:\Documents and Settings\PC\Dane aplikacji\BxhA5NMH7bmv9J7J
C:\Documents and Settings\PC\Dane aplikacji\hWvjBDreh1v2KUsCyYeBg63W
C:\Documents and Settings\PC\Dane aplikacji\SCOWI.exe
C:\Documents and Settings\PC\Dane aplikacji\IObit
C:\Documents and Settings\PC\Dane aplikacji\Mozilla
C:\Documents and Settings\PC\Dane aplikacji\TSv
C:\Documents and Settings\PC\Dane aplikacji\WinZiper
C:\Documents and Settings\PC\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Documents and Settings\PC\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk
C:\Documents and Settings\PC\Local Settings\Application Data\Style Beach
C:\Documents and Settings\PC\Menu Start\Programy\WorldofTanks
C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\nsqF3.tmp
C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\CRE
C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\Mozilla
C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\yellow cabs
C:\Program Files\Enigma Software Group
C:\Program Files\IObit
C:\Program Files\jIxmRfR
C:\Program Files\Mozilla Firefox
C:\Program Files\WinTaske
C:\Program Files\WinZipper
C:\Program Files\SearchesToYesbnd
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7
C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys
C:\WINDOWS\System32\drivers\{69b2a7fb-60a8-4ce6-8aeb-423ac97a1ad2}Gt.sys
C:\WINDOWS\System32\drivers\{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt.sys
CMD: netsh firewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Documents and Settings\PC\Menu Start\Programy\Akcesoria\Narzędzia systemowe

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemów.

[Adi]

Dziękuję za pomoc. Wydaje się, że problemy ustąpiły. 

 

Addition.txt

Fixlog.txt

Edytowane 13 Maja 2016 przez Adi

[picasso]

Brakuje jeszcze głównego pliku FRST.txt. Dorzuć.

 

A Fix FRST wykonałeś aż dwa razy, to jednorazowy skrypt i nie zrobi po raz drugi tego samego.

[Adi]

Przy pierwszej próbie pojawił się komunikat, że wystąpił nieoczekiwany błąd i program zostanie zamknięty, dlatego uruchomiłem jeszcze raz, nie wiedziałem, że skrypt jest jednorazowy.

FRST.txt

[picasso]

Fixlog sugeruje, że błąd musiał nastąpić już po wykonaniu wszystkich linii ze skryptu, gdyż FRST w drugim podejściu nic nie znalazł. Gdyby błąd wystąpił gdzieś "wyżej", to miałoby to odbicie w Fixlog (wykonanie poleceń od miejsca błędu). To tylko uwagi poboczne, gdyż w sumie wszystkie akcje wykonane. Małe poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{9563BC59-9556-4805-8CD4-886781779D8D}
HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_16_0_0_310_pepper.exe -update pepperplugin
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\ACE Mega CoDecS Pack
CMD: del /q "C:\Documents and Settings\PC\Moje dokumenty\ttfggdwi.exe"
CMD: del /q "C:\Documents and Settings\PC\Moje dokumenty\qno8pw1w.exe"

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom ponownie (wcześniej używany już) AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[Adi]

Okey, zrobione.

AdwCleanerS2.txt

Fixlog.txt

[picasso]

Fix FRST pomyślnie wykonany.

 

1. AdwCleaner znalazł jeszcze dużo odpadków po adware. Uruchom program ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie:

 

2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz ręcznie zainstaluj najnowszą łatkę dla Adobe Reader (XP nie aktualizuje już wyżej niż wersja 11.0.08): KLIK.

 

To wszystko.