FRST potrzebny skrypt

[chojny1980]

Bardzo proszę o skrypt. Pozdrawiam

 

GMER 2.2.19882 - http://www.gmer.net

Rootkit scan 2016-06-15 15:56:52

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 HGST_HTS545050A7E680 rev.GG2OAF10 465,76GB

Running: n6w1ei6j.exe; Driver: C:\Users\Mariolka\AppData\Local\Temp\kgldrpob.sys

 

 

---- User code sections - GMER 2.2 ----

 

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17 0000000075a01401 2 bytes JMP 74d8b263 C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17 0000000075a01419 2 bytes JMP 74d8b38e C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17 0000000075a01431 2 bytes JMP 74e090f1 C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42 0000000075a0144a 2 bytes CALL 74d648ad C:\Windows\syswow64\kernel32.dll

.text ... * 9

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17 0000000075a014dd 2 bytes JMP 74e089ea C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17 0000000075a014f5 2 bytes JMP 74e08bc0 C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17 0000000075a0150d 2 bytes JMP 74e088e0 C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17 0000000075a01525 2 bytes JMP 74e08caa C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17 0000000075a0153d 2 bytes JMP 74d7fce8 C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17 0000000075a01555 2 bytes JMP 74d86937 C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17 0000000075a0156d 2 bytes JMP 74e091a9 C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17 0000000075a01585 2 bytes JMP 74e08d0a C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17 0000000075a0159d 2 bytes JMP 74e088a4 C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17 0000000075a015b5 2 bytes JMP 74d7fd81 C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17 0000000075a015cd 2 bytes JMP 74d8b324 C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20 0000000075a016b2 2 bytes JMP 74e0906c C:\Windows\syswow64\kernel32.dll

.text C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe[1844] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31 0000000075a016bd 2 bytes JMP 74e08839 C:\Windows\syswow64\kernel32.dll

 

---- Threads - GMER 2.2 ----

 

Thread C:\Windows\system32\svchost.exe [1268:1312] 000007fef9cc341c

Thread C:\Windows\system32\svchost.exe [1268:1320] 000007fef9cc3a2c

Thread C:\Windows\system32\svchost.exe [1268:1324] 000007fef9cc3768

Thread C:\Windows\system32\svchost.exe [1268:1328] 000007fef9cc5c20

Thread C:\Windows\system32\svchost.exe [1268:1808] 000007fef8f8bd70

Thread C:\Windows\system32\svchost.exe [1268:1184] 000007fef9cc3900

Thread C:\Windows\system32\svchost.exe [1268:2376] 000007fef7265170

Thread C:\Windows\system32\WLANExt.exe [1404:1652] 00000000003a86e4

Thread C:\Windows\system32\WLANExt.exe [1404:1656] 00000000003a86e4

 

---- Registry - GMER 2.2 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\240a64524fac

Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\240a64524fac (not active ControlSet)

 

---- EOF - GMER 2.2 ----

Addition.txt

FRST.txt

[picasso]

Temat sprzątam. W zasadach jest także wzmiankowane, by opisać problem. Raporty są bardzo ograniczone tylko do specyficznych miejsc i wymagam tekstowego opisu. W skrócie opisz swój problem, tytuł tematu zostanie zmieniony na odpowiedniejszy pasujący do problemu. Działania nie ograniczą się przecież do "skryptu". Jeśli rzecz o brakujących raportach (choć GMER już uzupełniony):

- FRST nie działa na tym samym poziomie co GMER (nie ma własnego sterownika wysokiego dostępu), co powoduje że mogą się przed nim określone obiekty ukryć i nie będą w ogóle widoczne w raporcie. Stąd też obowiązkowym logiem jest i GMER.

- Shortcut jest potrzebny, gdyż w Addition są tylko niektóre skróty wyliczane.

 

 

---

 

W raportach widać szkodliwe proxy, zmodyfikowane skróty przeglądarek oraz kilka obiektów startowych adware. Poza tym, adware wstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData. Przyczyną problemów był poniższy plik, pomijając już to że miał być związany z crackiem, to nawet nie jest poprawny instalator cracka tylko downloader z adware:

 

2016-06-10 23:18 - 2016-06-10 23:18 - 04084912 _____ (WrldNtn inc) C:\Users\Mariolka\Downloads\Axure_RP_8_Crack__downloader.exe.

 

Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 QifiryplohelebuilderSrv; "C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X]
Task: {DC2FD428-B3BB-42B9-80DB-1B56886040CD} - System32\Tasks\{B0F9E0DB-ADCB-40EC-8441-ECBBAC543866} => pcalua.exe -a "C:\Program Files (x86)\Common Files\BioIty\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\BioIty\uninstall.dat" -a uninstallme 06B018B8-ED67-471B-91D8-11F9A80D0AA1 DeviceId=e7cbb34f-0f7e-2c4e-4128-676836156ed0 BarcodeId=51129011 ChannelId=11 DistributerName=APSFSWAds
HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe
HKLM-x32\...\Run: [sun21] => "C:\Program Files (x86)\SunnyDay21\SunnyDay.exe"
HKLM\...\RunOnce: [WINDOWS_SCREEN_MANAGER_UPDATER_1] => C:\Users\Mariolka\AppData\Roaming\ahtSR\Windows screen manage updater.exe [16896 2016-06-10] (Wizzservices)
HKLM\...\RunOnce: [WEPRODUCT618F5] => C:\Users\Mariolka\AppData\Local\Temp\7E3RP1EXJ6.exe [22016 2016-06-10] (Animal) 
HKU\S-1-5-21-887697183-1252705721-1128697598-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-887697183-1252705721-1128697598-1000\...\MountPoints2: {d4142762-fc36-11e5-a951-240a64524fac} - F:\HTC_Sync_Manager_PC.exe
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
FirewallRules: [{0700FDCC-0BA7-42F2-A238-CB4005D1D093}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe
ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600"
ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600"
ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600"
ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600"
ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600"
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06B018B8-ED67-471B-91D8-11F9A80D0AA1}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\Bmotain
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Puntehesy
C:\Program Files (x86)\Common Files\BioIty
C:\ProgramData\{055B5F86-6866-40AB-BB69-EDC73E70E893}
C:\ProgramData\{358C58B0-8ACD-4AFC-A78E-F60204B67F56}
C:\ProgramData\Utatitys
C:\Users\Mariolka\AppData\Local\*.*
C:\Users\Mariolka\AppData\Roaming\*.*
C:\Users\Mariolka\AppData\Roaming\ahtSR
C:\Users\Mariolka\AppData\Roaming\Mozilla
C:\Users\Mariolka\Downloads\Axure_RP_8_Crack__downloader.exe
C:\Users\Mariolka\Downloads\Niepotwierdzony 322688.crdownload
C:\Users\Mariolka\Downloads\Hola-Setup.exe
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome: Ustawienia > karta Ustawienia > Osoby > na liście powinien być user0 (to profil utworzony porzez adware). Jeśli widać inny profil prócz wymienianego, to się od razu na niego zaloguj. Jeśli jednak to jedyna widoczna "Osoba", skorzystaj z opcji Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0".

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz brakujące pole Shortcut. Dołącz też plik fixlog.txt.

[chojny1980]

Dziękuję. Będę pamiętał te zasady. Już kobiecie wytłumaczyłem, że crack tak nie wygląda

Shortcut.txt

FRST.txt

[picasso]

Nie dołączyłeś pliku fixlog.txt z wynikami usuwania. Doczep go, plik jest tam skąd uruchamiałeś FRST. Nie uruchamiaj przypadkiem skryptu ponownie.

 

Nie został wykonany ten punkt:

 

2. W Google Chrome: Ustawienia > karta Ustawienia > Osoby > na liście powinien być user0 (to profil utworzony porzez adware). Jeśli widać inny profil prócz wymienianego, to się od razu na niego zaloguj. Jeśli jednak to jedyna widoczna "Osoba", skorzystaj z opcji Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0".

Nadal wg FRST domyślnym profilem jest profil adware "ChromeDefaultData" (nazwa wyświetlana przypuszczalnie user0). Tego nie załatwisz żadnym "skryptem do FRST", jest konieczna operacja na profilach w opcjach Google Chrome.

Edytowane 19 Lipca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso