Wyskakujące reklamy w przeglądarce - DNS Unlocker, safe finder itp.

[lukaszo85]

Po otwarciu przeglądarki ponoć otwierało się pełno różnych reklam, czego nie miałem okazji sprawdzić bo odinstalowałem programy, które zapewne to powodowały: DNS unlocker, Price Fountain, Safe finder, System healer, dnswalters.exe.

Część pewnie została zainstalowana przy okazji, gdy były instalowane inne rzeczy, nie było też żadnego antywirusa, zrobiłem skan Esetem on-line, znalazł 98 zagrożeń, usunął chyba 93 (z tym, że było to prawie dwa miesiące temu i po paru dniach znowu zaczęły wyskakiwać te reklamy).

Ikonka połączenia sieciowego jest przekreślona na czerwono, choć internet działa, nie działa natomiast np. pole wyszukiwania w menu start, cokolwiek wpisać, nic się nie pojawia, nie można niczego w ten sposób znaleźć.

EDIT

Wczoraj Eset online znalazł jednego wirusa i usunął.

 

Addition.txt FRST.txt gmer.txt Shortcut.txt

[picasso]

Użyłeś starej wersji FRST Wersja:05-03-2016, najnowsza w momencie zakładania przez Ciebie tematu pochodziła z lipca, a obecnie jest dostępna wersja z dziś. W raportach nadal widać izraelskie serwery DNS oraz różne szczątki adware. Ale problem z Menu Start nie wydaje się w ogóle powiązany z infekcją. W Dzienniku zdarzeń błąd wskazujący na uszkodzenie konta użytkownika, co będzie wymagać założenia nowego konta w Windows:

 

Dziennik Aplikacja:
==================
Error: (07/22/2016 06:31:57 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT)
Description: System Windows nie może załadować pliku rejestru klas.
SZCZEGÓŁY — Nieokreślony błąd.

 

Nie będę więc czyścić żadnych obiektów strony użytkownika (omijam wszystkie wpisy HKU i C:\Users\komputer), gdyż nowe konto Windows zostanie założone.

 

 

Działania do wykonania:

 

1. Odinstaluj stare wersje: Adobe Flash Player 21 NPAPI, Adobe Flash Player 9 ActiveX, Java 8 Update 60, OpenOffice.org 3.4.1.

 

2. Pobierz najnowszy FRST z oficjalnego linka: KLIK. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{A57061D2-CCE9-454A-9CC3-2D968C7D0AB3}: [NameServer] 82.163.143.171 82.163.142.173
AppInit_DLLs: C:\ProgramData\Quotenamron\Freelight.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Quotenamron\ScotTam.dll => Brak pliku
S2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe -f "C:\ProgramData\\DCHP\\DCHP.dat" -l -a
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
U4 WMCoreService; Brak ImagePath
Task: {0CF3DA40-3F15-4FAF-A027-263B4B803EDC} - System32\Tasks\{F5EE0A90-3391-47C9-87D6-ED4F633EC525} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe
Task: {10483E06-8D55-4707-9377-AEFACEFC69C0} - System32\Tasks\{A67DADB8-8F33-498F-8B8B-1A31131924F6} => pcalua.exe -a "C:\Users\komputer\Desktop\Nowy folder (3)\Setup\MS Windows\Installer\Installer.exe" -d "C:\Users\komputer\Desktop\Nowy folder (3)\Setup\MS Windows\Installer"
Task: {120EE37F-555D-4B64-BF7E-A54C2DE2A2C7} - System32\Tasks\{67BCE7EA-B3B7-47BD-9757-3A9C37D60A4A} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe
Task: {23589E06-3CDF-4C72-A32C-D2FF41E2FB96} - System32\Tasks\PriceFountainUpdateVer => C:\Users\komputer\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
Task: {2407C96D-1CE2-4295-B20A-26AAB7978673} - System32\Tasks\{4730AFEB-6094-4591-AE39-A7600F38550D} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe
Task: {26521CF5-0B89-459C-8A19-DA113ADE1515} - System32\Tasks\{FA2314AF-EA35-4EDE-9DDB-59501346226A} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe
Task: {448D5EFA-E9EA-4102-B7AF-88062BB806B7} - System32\Tasks\{40EB2E7E-4FF2-4CC1-9252-9B85439077F9} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe
Task: {466E467E-C9FE-4DC4-A8A3-314D3F5C5E67} - System32\Tasks\{AF719FED-808F-44E6-83F6-27D1DA358455} => pcalua.exe -a "D:\Program Files (x86)\Rockstar Games\GTAIV_spolszczenie_1.0.exe" -d "D:\Program Files (x86)\Rockstar Games"
Task: {727AD63C-05DF-42EF-A03F-775A7E700CCF} - System32\Tasks\{8D53EAC8-9281-41DE-9A3E-1DCC9511D782} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe
Task: {7AF3BC6F-A300-4536-9684-F5634CDAF29B} - System32\Tasks\{2466FBA6-09B6-492A-BCFB-36698DA79F4B} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe
Task: {8A4B7266-B61D-4F36-AC3B-AB303DBCF82E} - System32\Tasks\{0669DFEE-0A40-4879-A9A6-1334D830D97D} => pcalua.exe -a "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe" -d "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic"
Task: {9220FF89-970A-4738-9AA1-D5FD393256C1} - System32\Tasks\komputerAppelsArcV2 => Rundll32.exe TundrasBusying.dll,main 7 1 <==== UWAGA
Task: {B64A3209-4549-4ED5-A70C-77749B8025CF} - System32\Tasks\UNELEVATE_10983 => C:\Program Files (x86)\ShopperPro\JSDriver\1.39.0.1578\jsdrv.exe <==== UWAGA
Task: {C1227162-2578-480F-A527-A31A53F7BA3F} - System32\Tasks\{475646AC-6818-4E1B-8D1C-908B023BBE15} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe
Task: {C12D577F-7517-4F70-8037-6F2FCB90B5C8} - System32\Tasks\{FB3CD85A-BE88-4531-89CE-D979D19EBCB8} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe
Task: {DFC21632-B8A2-462B-85A6-633C44C4DF2A} - System32\Tasks\{155B90CB-B2C4-4DC8-AFA3-EBA5A2BFFB91} => pcalua.exe -a "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\vista_32\setup.exe" -d "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\vista_32"
Task: {E3DB4D26-7EF1-476E-B765-E2A283EA1819} - System32\Tasks\{8394803F-EE5E-456A-B5E4-8199980F04A5} => pcalua.exe -a C:\Users\komputer\Downloads\GTAIV_spolszczenie_1.0_www.INSTALKI.pl.exe -d C:\Users\komputer\Downloads
Task: {FA85D766-4093-48F6-BFC7-410316BB1DCF} - System32\Tasks\{2DE04FF9-3A41-4A13-AE8A-ECB66B0F9691} => pcalua.exe -a "F:\Setup\MS Windows\Installer\Installer.exe" -d "F:\Setup\MS Windows\Installer"
Task: C:\Windows\Tasks\PriceFountainUpdateVer.job => C:\Users\komputer\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-05-27]
CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [knnaihaddpogmkclkahpcnhppgapinpe] - hxxps://clients2.google.com/service/update2/crx
C:\ProgramData\{00a46192-012c-0}
C:\ProgramData\{01975234-712c-1}
C:\ProgramData\{058fc7b2-612c-1}
C:\ProgramData\{0626c1d3-312c-1}
C:\ProgramData\{0720e27c-612c-1}
C:\ProgramData\{07602a3f-712c-0}
C:\ProgramData\{0dab637d-612c-0}
C:\ProgramData\{1f896676-412c-0}
C:\ProgramData\{1f941f93-412c-0}
C:\ProgramData\{35cf4080-112c-1}
C:\ProgramData\03e1102d-4b77-1
C:\ProgramData\03e1102d-3e33-0
C:\ProgramData\f9dd7f44
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnvSoft
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto IV
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MP4 Converter
C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Załóż nowe konto Windows, a stare usuń poprzez Panel sterowania (z zatwierdzeniem usuwania plików z dysku). Nie kopiuj ze starego konta profilów przeglądarek Firefox i Chrome do nowego, bo są zanieczyszczone. Tylko zakładki wyeksportuj przed usunięciem konta.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.