PriceFountainUpdateVer - problem z usunięciem

[barjan]

Witam,

próbuję się pozbyć z laptopa PriceFountainUpdateVer i niestety problem powraca.

Nieustannie w AppDataW po każdym usunięciu pojawia się katalog PriceFountainUpdateVer zawierający syncversion.exe.

Endpoint Protection każdorazowo wykrywa plik, ale po usunięciu pliku (czy całego katalogu) po jakimś czasie odbudowuje się na nowo, antywirus go wykrywa i tak bez końca...

Wszystkie przeglądarki poza IE odinstalowane.

W załączniku logi ze skanowania FRST.

Z góry dziękuję za pomoc, pozdrawiam.

 

Shortcut.txt FRST.txt Addition.txt

[picasso]

Problemem jest zadanie w Harmonogramie:

 

Task: {981D2CFE-F50A-4955-A69D-1B956FABCEA5} - System32\Tasks\b0635940GamesterSpadicesV2 => Rundll32.exe NutletJuridic.dll,main 7 1

 

 

Działania do przeprowadzenia:

 

1. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą odinstaluj odpadek Google Update Helper.

 

2. To system z nietypowym układem kont i sieciowymi ścieżkami (domena?), więc ręcznie usuń pliki zlokalizowane w tej ścieżce:

 

\\spplfapisp02\profiles\b0635940\AppDataW

 

... oraz folder odinstalowanego Firefoxa:

 

\\spplfapisp02\profiles\b0635940\AppDataW\Mozilla

 

Poszukaj też odpowiednika "AppData\Local" w ścieżce \\spplfapisp02\profiles\b0635940 i zlokalizowanego w nim folderu GamesterSpadices należącego do PriceFountain. Na wszelki wypadek w skrypcie poniżej załączę też "na oko" standardową ścieżkę lokalną.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {2690E24D-3FAA-4DA2-A999-CB315CDF37D9} - System32\Tasks\{68096D73-F096-491E-99EE-D32E0E22A1C3} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar
Task: {6CB26ACD-A878-4EA4-9B22-E7243A62F4A5} - System32\Tasks\{9B4B3B6B-C47C-4EC0-9B93-C10125AA605C} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar
Task: {981D2CFE-F50A-4955-A69D-1B956FABCEA5} - System32\Tasks\b0635940GamesterSpadicesV2 => Rundll32.exe NutletJuridic.dll,main 7 1 
U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [28272 2016-08-16] ()
S1 epp; \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\epp.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
HKLM\...\Run: [] => [X]
Startup: \\spplfapisp02\profiles\b0635940\AppDataW\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk [2016-08-16]
HKU\S-1-5-21-1463549253-2724516119-1591476449-153512\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm
HKU\S-1-5-21-1463549253-2724516119-1591476449-153512\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-1463549253-2724516119-1591476449-153512 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1463549253-2724516119-1591476449-153512 -> {ADB0247F-BFFA-4782-98CE-6AB62EE9DF11} URL =
DPF: HKLM-x32 {E06E2E99-0AA1-11D4-ABA6-0060082AA75C}
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files\Plumbytes Software
C:\Program Files\SecureAge
C:\Program Files (x86)\Google
C:\Users\b0635940\AppData\Local\*.tmp.*
C:\Users\b0635940\AppData\Local\file
C:\Users\b0635940\AppData\Local\GamesterSpadices
C:\Users\b0635940\AppData\Local\Setup1460559
C:\Windows\system32\scan.db
C:\Windows\System32\drivers\TrueSight.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

[barjan]

Witaj,

załączam fixloga.

Niestety albo coś zrobiłem źle, albo...?  Katalog wraz z wspomnianym w pierwszym poście plikiem znowu się odbudował.

 

 

Pozdrawiam

Fixlog.txt

[picasso]

Fix FRST pomyślnie wykonany, ale skoro katalog się odbudował, to mam pytanie na którym koncie występuje PriceFountain? FRST wykrywa tylko standardowe konta lokalne aktualnie załadowane, a tu definitywnie jest system domenowy, więc nawet nie widzę dokładnie w logu ile kont naprawdę jest, poza enigmatyczną informacją w nagłówku że prawdopodobnie są w obrotach 3 konta:

 

Załadowane profile: b0635940 (Dostępne profile: b0635940 & B0635941 & SM61ZZ)

 

Zrób logi FRST (FRST.txt + Addition.txt) z każdego konta na którym jest problem.

[barjan]

Udało się pozbyć problemu.

Między danymi na dysku lokalnym a danymi na dysku sieciowym ustawiona była synchronizacja, która przywracała feralny plik.

Trzeba było zatrzymać synchronizację, usunąć plik i w międzyczasie jeszcze wyczyścić cache.

 

Dziękuję za pomoc.

[picasso]

Między danymi na dysku lokalnym a danymi na dysku sieciowym ustawiona była synchronizacja, która przywracała feralny plik.

Tylko się upewnię: synchronizacja obejmowała tylko element na dysku, czyli zadanie w Harmonogramie nie odtworzyło się?

[barjan]

Tak jest. Zadanie nie odtworzyło się. W wyniku działającej synchronizacji odtwarzał się natomiast element na dysku, co objawiało się alertami z antywirusa.

[picasso]

Czyli wszystko w porządku. Na zakończenie, o ile już tego nie zrobiłeś, przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST z kwarantanną oraz FRST i jego logi. Wyczyść też foldery Przywracania systemu: KLIK.

 

To wszystko.