adserve.cpmba.se Kaspersky wariuje przy używaniu przeglądarek

[Bryan]

Witam

 

Wczoraj w godzinach wieczornych zauważyłem wyskakujące okienka kasperskiego o zablokowanych zagrożeniach i trwa to non stop, okienka z tą informacją wyskakują tak często że jest to strasznie uciążliwe. Poza tym zauważyłem że na rożnych stronach zablokowane zostały niektóre elementy, przez co nie mogę nawet kliknąć aby przejść pod konkretny link bo on staje się nieaktywny(brak reakcji)

Skanowałem różnymi skanerami, hitmanpro, cureit i wieloma innymi ale nic nie znajduje, tylko jakieś niewinne pliki cookies. Te cyrki dzieją się na chrome ale też na operze i IE.

Dodam że na niektórych stronach mam poblokowane grafiki czy avatary, czasami w tle, bez wyskakujących okienek słyszę głos lektora o wygranych i tym podobnych rzeczach, czasami na onecie lub innej stronie u góry wyskakują mi jakieś dziwne reklamy na 1/3 strony. Odinstalowałem nawet Chrome i wyczyściłem folder w C:/Users i zainstalowałem ponownie ale nic sie nie zmieniło. Kasperski jak szalał tak szaleje i nie da się korzystać z przeglądarki

Przesyłam  screeny oraz wymagane logi

 

http://images81.fotosik.pl/53/adec44928fb09b92.jpg

http://images82.fotosik.pl/53/cbb52af0a2fd4b2b.jpg

http://images81.fotosik.pl/56/e1a455b9df304e8c.jpg

http://images83.fotosik.pl/57/23532e5763a4777d.jpg

 

Proszę o pomoc bo to strasznie uciążliwe, nie da się korzystac z internetu przez blokowanie i niewczytywanie wielu plików. Widac z jaka częstotliwościa to wyskakuje(ostatnio wyskoczyło 24 informacje po kolei).  Z góry dziękuję za okazaną pomoc i rady, pozdrawiam

 

Edit:// To chyba nie wina Kasperskiego bo bez niego (odinstalowałem na chwilę) mam nadal poblokowane różne linki, avatary, strony, czaty, płatności, itp więc to musi być coś innego, mimo że żona mi mówiła że u niej na lapku jest KAV i tez to samo jej wyskakuje, dziwne

 

Edit2:// Odinstalowywałem tez chrome i robiłem różne kombinacje i nic nie pomaga

 

Shortcut.txt FRST.txt Addition.txt log z gmera.txt

[picasso]

W przedstawionych raportach brak jawnych oznak infekcji. Problem występuje na różnych przeglądarkach (Chrome, Opera, IE) oraz dwóch różnych komputerach. Wnioski: infekcja adserve.cpmba.se jest w routerze a nie Windows. Wprawdzie w FRST nie widać żadnych dziwnych IP pobieranych z routera, tylko wewnętrzne routera, ale to nie jest 100% dowód:

 

Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{34C1E4AC-9043-4907-8A33-4AFB60C7718A}: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{E962043B-2B7C-4984-956A-67E3F832DDED}: [DhcpNameServer] 192.168.1.1

 

 

W związku z tym proponuję reset routera do ustawień fabrycznych.

 

1. Zresetuj ustawienia routera do fabrycznych. Następnie zaloguj się do routera i go zabezpiecz: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Dopiero gdy router zostanie zresetowany i zabezpieczony działania poboczne:

 

2. Deinstalacje starych wersji i zbędnych programów:

- Przez Panel sterowania: Adobe Flash Player 22 NPAPI (wersja dla nieistniejącego tu Firefoxa), Adobe Reader 8.1.0 - Polish, HP Customer Participation Program 8.0, Java 8 Update 31.

- Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń szczątkowy ukryty wpis RealDownloader po odinstalowanym już RealPlayer.

 

3. Czyszczenie cache DNS w Windows oraz usunięcie szczątkowych wpisów. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll => Brak pliku
BHO: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files\Norton AntiVirus\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku
BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2013\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku
Toolbar: HKU\S-1-5-21-3206272504-2604669584-193565620-1004 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
CustomCLSID: HKU\S-1-5-21-3206272504-2604669584-193565620-1004_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku
CHR HKLM\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx <nie znaleziono>
MSCONFIG\startupreg: Unattend0000000001{70EB91E7-FAAB-44A4-BA19-C0A45B228BC0} => C:\Windows\test.bat
R2 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [38608 2012-11-29] ()
S3 npggsvc; C:\Windows\system32\GameMon.des -service [X]
Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku <==== UWAGA
Task: {425CDC2F-CA06-4AC2-82F5-AADDCEAAE474} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files\Norton Identity Safe\Engine\2014.7.11.42\SymErr.exe
Task: {561375CB-FF5A-417B-B297-BA73DE149581} - System32\Tasks\Microsoft\Windows\Wired\GatherWiredInfo => C:\Windows\system32\gatherWiredInfo.vbs
Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku <==== UWAGA
Task: {60A1F2A9-CFF3-445C-A40C-46D4C0EC9E02} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3206272504-2604669584-193565620-1004 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe
Task: {90649E9F-D32C-40E2-BFB7-0C410E42D5E4} - System32\Tasks\{513A9C95-CE80-47BA-9DB4-8BC65BC1190B} => pcalua.exe -a "C:\Gry\NFS Carbon\Setup.exe" -d "C:\Gry\NFS Carbon"
Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku <==== UWAGA
Task: {B53BD937-B43B-4AED-AF87-6EF16B7BB7E0} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3206272504-2604669584-193565620-1004 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe
Task: {B74F8835-CEC6-4949-82B7-5AF54D0D5C65} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files\Norton Identity Safe\Engine\2014.7.11.42\SymErr.exe
Task: {BF3310F4-231B-449D-A5DB-E02F539F5739} - System32\Tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar => C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku <==== UWAGA
Task: {E5150B95-F9B4-4D5D-95A2-7EC1ACBA95F8} - System32\Tasks\Microsoft\Windows\Wireless\GatherWirelessInfo => C:\Windows\system32\gatherWirelessInfo.vbs
Task: C:\Windows\Tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar.job => C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
AlternateDataStreams: C:\Users\Hero\Downloads\Film0002.mp4:TOC.WMV [130]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\mozilla.org
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
C:\Program Files\RealNetworks
C:\Users\Hero\AppData\Local\Microsoft\Windows\GameExplorer\{C4919800-09EE-4FAB-BD9A-97E2258E618E}
C:\Users\Hero\AppData\Local\Microsoft\Windows\GameExplorer\{9E8E125D-D485-48C5-A5AC-00EF859E269B}
C:\Users\Hero\AppData\Local\Microsoft\Windows\GameExplorer\{48DE2B25-A3A2-4121-808D-5DD991D9FEBB}
C:\Users\Hero\AppData\Local\Microsoft\Windows\GameExplorer\{430519F8-F13A-4EA1-8C08-B4A45E22F31D}
C:\Users\Hero\AppData\Local\Mozilla
C:\Users\Hero\AppData\Roaming\Mozilla
C:\Windows\System32\Tasks\Norton Identity Safe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy objawy ustąpiły.

 

[Bryan]

Witam

Dziękuję za zajęcie się moim problemem.

Wczoraj zacząłem intensywnie zajmować się tym wszystkim i porobiłem porządki, nawet rejestr lekko przeczyściłem ze  śmieci. Na chwilę obecną, po zastosowaniu Twojego fixa, wszystko wróciło do normy, opiszę w  następnych zdaniach.

Jak już pisałem, wczoraj zacząłem czyścic system i odinstalowałem wiele niepotrzebnych rzeczy, w tym wszystko od HP(drukarka na śmietniku), wszystkie wersje Flash Player i Java, etc...

Zrobiłem tak jak pisałaś, zrestartowałem router i zmieniłem hasła i powiem ci że wczoraj też na to wpadłem tylko poszedłem złym śladem bo ściągnąłem salitykiller a to nic nie wykryło.

Bardzo dziękuję ci za pomoc, powiedz mi tylko co zrobić z pozostałymi komputerami, tzn jednym stacjonarnym i jednym lapkiem bo tam tez to samo się działo, czy trzeba je też skanować i wklejać logi?

Dołączam nowe skany, czekając na sugestie i ocenę

 

Pozdrawiam

 

Addition.txt FRST.txt Fixlog.txt

[picasso]

Cytat

powiedz mi tylko co zrobić z pozostałymi komputerami, tzn jednym stacjonarnym i jednym lapkiem bo tam tez to samo się działo, czy trzeba je też skanować i wklejać logi?

 

Został tu wytypowany router jako przyczyna, czyli na każdym systemie należałoby wykonać polecenie ipconfig /flushdns czyszczące cache DNS. Niemniej dostarcz logi FRST z wszystkich systemów po kolei.

 

Jeśli chodzi o tu widziany komputer, to prawie kończymy roboty:

 

1. Nie odinstalowałeś Adobe Reader 8.1.0 - Polish. To stara wersja z krytycznymi lukami i zagrożenie infekcjami szyfrującymi dane. Program należy odinstalować. Następnie, o ile potrzebny, zamontować najnowszą wersję listowaną w przyklejonym: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\ProgramData\HitmanPro
RemoveDirectory: C:\Users\Hero\Doctor Web
RemoveDirectory: C:\Users\Hero\.oracle_jre_usage
RemoveDirectory: C:\Users\Hero\AppData\Roaming\Sun

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

3. Usuwałam foldery Mozilla od nieistniejącego tu Firefoxa, a FRST nadal wykrywa jego profil. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj plików (Search Files). Przedstaw wynikowy Search.txt.

 

profiles.ini

 

[Bryan]

Dzięki za odpowiedź, odinstalowałem Adobe Readera i wykonałem Twoje polecenia, logi z pozostałych komputerów dołączę niebawem jak tylko będę miał możliwość je przeskanować(żona w pracy z lapkiem).

Przy okazji nadmienie że do tego routera mamy podłączonych sporo urządzeń, jak juz nadmieniłem 2 lapki i 1 komputer stacjonarny ale także 2 tablety i 4 smartfony(na smartfonie żony wyskakiwało ze 2 dni temu że wykryto wirusa(zainstalowany był tam kiedyś darmowy Kaspersky)), to co robić z tymi wszystkimi urzadzeniami na Androidzie i jednym smartfonem z windows mobile?

Dołączam logi z usuwania i szukania

 

Fixlog.txt Search.txt

[picasso]

Jeśli chodzi o skan w poszukiwaniu "profilu Firefox", to jest tylko jeden plik w folderze GG:

 

C:\Users\Hero\AppData\Roaming\GG\profiles.ini

 

Otwórz plik w Notatniku i przeklej jego zawartość do posta.

 

 

Cytat

Przy okazji nadmienie że do tego routera mamy podłączonych sporo urządzeń, jak juz nadmieniłem 2 lapki i 1 komputer stacjonarny ale także 2 tablety i 4 smartfony(na smartfonie żony wyskakiwało ze 2 dni temu że wykryto wirusa(zainstalowany był tam kiedyś darmowy Kaspersky)), to co robić z tymi wszystkimi urzadzeniami na Androidzie i jednym smartfonem z windows mobile?

 

Na urządzeniach innego typu niż lapek czy PC należy wyszukać analogiczne do ipconfig /flushdns ustawienia czyszczenia bufora DNS. A jeśli takowych brak, trzeba resetować urządzenia metodą "twardego resetu", czyli do ustawień fabrycznych.

[Bryan]

[General]
StartWithLastProfile=1
 
[Profile0]
Name=default
IsRelative=1
Path=Profiles/xlla4zjh.default
Default=1

 

Dzięki za odpowiedź, komputer stacjonarny własnie jest skanowany, niedługo wkleję logi

 

Cytat

Na urządzeniach innego typu niż lapek czy PC należy wyszukać analogiczne do ipconfig /flushdns ustawienia czyszczenia bufora DNS. A jeśli takowych brak, trzeba resetować urządzenia metodą "twardego resetu", czyli do ustawień fabrycznych.

 

To niedobrze bo niektóre urządzenia mają sporo plików i  innych rzeczy. Gdyby się okazało ze na którymś urządzeniu zostanie jakiś syf to może on(komputer, tablet, smartfon) zainfekować znowu router? Urządzenia maja stały dostęp do wifi więc logicznie myśląc pewnie tak się stanie?

[picasso]

1. Tak, to ten plik powoduje detekcję "Firefox" w FRST. Spokojnie do wywalenia ten plik profiles.ini. Nie wiadomo skąd on się znalazł w folderze GG, to plik z danymi Firefox a nie GG...

 

2. Na koniec przez SHIFT+DEL (omija kosz) skasuj FRST i jego logi z folderu "pomoc" na Pulpicie. Następnie zastosuj jeszcze DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

To wszystko w kwestii analizowanego tu kompa.

 

 

Cytat

Gdyby się okazało ze na którymś urządzeniu zostanie jakiś syf to może on (komputer, tablet, smartfon) zainfekować znowu router? Urządzenia maja stały dostęp do wifi więc logicznie myśląc pewnie tak się stanie?

 

Nie, tu jest na odwrót, to router infekuje urządzenia działające pod jego kontrolą, a nie urządzenia podeń podpinane. Przy infekcji routera rekordy DNS są buforowane na każdym urządzeniu, po wyczyszczeniu routera mogą więc nadal być przekierowania z powodu tego cache i po to należy jeszcze robić reset cache DNS po stronie urządzenia, które było pod kontrolą wcześniej zarażonego routera. W Windows jest to łatwe do wdrożenia, ale na innych platformach niestety głównie takich opcji brak...

[Bryan]

Ok, dziękuję, piszę teraz z komputera stacjonarnego, na tamtym lapku zrobiłem to co pisałaś, przesyłam logi z tego komputera, gdy będę mógł wkleję też logi z kolejnego lapka na którym również działy się takie same cyrki jak na moim

Jakby coś to na razie nie będę mógł odpisać z tego komputera bo syn chce grać, wszystkie instrukcje wykonam po godz 18-19

 

Addition.txt FRST.txt Shortcut.txt skan Gmer.txt

[picasso]

I tu brak widocznych oznak infekcji, tylko odpadki adware/PUP i po odinstalowanych programach niedokładnie wyczyszczone w przeszłości. Czyli do wykonania tylko czyszczenie bufora DNS, Tempów i wpisów odpadkowych.

 

 

1. Odinstaluj starocie i zbędne aplikacje: Adobe Flash Player 23 NPAPI (wersja dla Firefox), Akamai NetSession Interface, Flvto Youtube Downloader, Java 7 Update 45, Real Alternative 2.0.2. Ten Flvto Youtube Downloader od Hotger to niepożądany program...

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => Brak pliku
HKLM-x32\...\Run: [mobilegeni daemon] => [X]
HKLM-x32\...\Run: [TrustPortDiskProtectionWatchDog] => "C:\Program Files (x86)\TrustPort\DiskProtection\bin\TDWatch.exe"
HKLM\...\StartupApproved\Run32: => "StereoLinksInstall"
HKLM\...\StartupApproved\Run32: => "avgnt"
HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched"
HKLM\...\StartupApproved\Run32: => "AvgUi"
HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "Mobile Partner"
HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => ""
HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "EADM"
HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "Akamai NetSession Interface"
HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "Flvto Youtube Downloader"
Task: {0BAD1663-8792-4556-ABB9-47DB8177DF25} - \Yahoo! Search Updater -> Brak pliku <==== UWAGA
Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku <==== UWAGA
Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku <==== UWAGA
Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku <==== UWAGA
Task: {40525C58-79C2-47A1-9AA2-F1D7FC4F0691} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku <==== UWAGA
Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku <==== UWAGA
Task: {9F7F1BF5-6118-4C36-9C13-FA5B2384E43B} - \Yahoo! Search -> Brak pliku <==== UWAGA
Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku <==== UWAGA
Task: {CB5D670A-CC37-4F1C-9305-DC526F2BB5F0} - System32\Tasks\{07C8D4AB-E61A-48A8-A064-D9714A1D7A7F} => pcalua.exe -a D:\Gry\Elitemt2\EliteMT2.exe -d D:\Gry\Elitemt2
Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku <==== UWAGA
DisableService: PLAY ONLINE. RunOuc
S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X]
S2 EncDisk; \??\C:\Program Files (x86)\TrustPort\DiskProtection\bin\EncDsk.sys [X]
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /svc [X] <==== UWAGA
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /medsvc [X] <==== UWAGA
S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X]
S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X]
S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avasdmft => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avas_service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avss_service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\gozer => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdifw => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpavdrw_service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpmgma_service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpsec => ""="Driver"
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
GroupPolicy-x32: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1410885360&from=ild&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms}
HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms}
HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://rts.dsrlte.com?affID=na
HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {67C334C0-408D-4E6D-B5A7-0ADD6AFFA252} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms}
BHO: TheTorntv V10 -> {11111111-1111-1111-1111-110611331111} -> Brak pliku
BHO-x32: Brak nazwy -> {11111111-1111-1111-1111-110611331111} -> Brak pliku
Toolbar: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\program files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449081789&z=2b50b37e3ad3e2187e8c275g8zdzftae5b7gem2b7b&from=cornl&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WarThunder
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{e69d1012-40d1-4e26-9fe9-35d6c0e296a0}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\AVG
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ace of Spades
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Origins
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis\Action!\User Manual JP.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nostale(PL)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\osu!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zcom ÔÓÖľ¶©ÔÄĆ÷
C:\Users\User\AppData\Local\{19C1719E-AD4C-4E5F-89A4-7A343DE0D572}
C:\Users\User\AppData\Local\{BBC1798E-D615-4AED-B8B0-BA1298FF796C}
C:\Users\User\AppData\Local\{BD8C80B8-D4BF-47E3-8C08-6C9323B4B073}
C:\Users\User\AppData\Local\housecall.guid.cache
C:\Users\User\AppData\Local\AvgSetupLog
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b244525f330c1697\Mighty Quest mqel-live.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo\AnySend.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flvto Youtube Downloader
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mirillis
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_22845055.lnk
C:\Users\wangjihua
C:\Users\wangzhisong
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

 

[Bryan]

Dziękuję bardzo za pomoc, wszystko wykonałem wg. instrukcji, daję nowe logi.

Jeśli chodzi o logi z lapka żony to niestety pojechała do matki na weekend, zabierając go ze sobą i dopiero w niedzielę wieczorem będę mógł go przeskanować

 

Fixlog.txt Addition.txt FRST.txt

[picasso]

Plik Hosts nie został zresetowany (nadal brak pliku), może Kaspersky to zablokował, ale na razie pomijam ten wątek. Wykonaj teraz te poprawki:

 

1. Czy na pewno resetowałeś ustawienia Chrome? W logu nadal przekierowania Bing (one były przypuszczanie wynikiem aktywności niepożądanej sponsorowanej wersji Bing):

 

CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl
CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms}
CHR DefaultSearchKeyword: Default -> bing.com 

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

 

[Bryan]

Zresetowałem ustawienia ale teraz wykonałem to ponownie

AdwCleaner znalazł 247 zagrożeń ale tego nie widać w tym pliku z folderu C:\AdwCleaner: zrzut ekranu.

chyba że o inny plik chodzi?

 

Nie klikałem oczyść, czy mam to zrobić? czekam na dalsze instrukcje

 

AdwCleanerS0.txt

[picasso]

Cytat

AdwCleaner znalazł 247 zagrożeń ale tego nie widać w tym pliku z folderu C:\AdwCleaner

 

Dostarczony log pokazuje to co na obrazku, więc nie wiem skąd Ci przyszło do głowy, że nie widać tych wyników. Dużo odpadkowych śmieci po adware/PUP, czyli teraz zastosuj sekwencję Skanuj + Oczyść i dostarcz log z czyszczenia.

[Bryan]

Wybacz, zasugerowałem się wpisami "nie wykryto...", więcej już nie będę analizował po swojemu bo jak widać nie mam o tym pojęcia, dodaję log z czyszczenia

Przy okazji tych operacji (wcześniej chyba nic takiego nie wyskakiwało) Kaspersky wykrył zagrożenie i dodałem to do kwarantanny, nie wiem czy mam to usunąć czy przywrócić?

 

Przeskanowałem jeszcze raz i wyszukało 2 zagrożenia, folder ze screenu i jakiś klucz rejestru, dodałem jako załącznik

 

Edit:// Dałem oczyść i dołączam log z czyszczenia ale Kaspersky nadal krzyczy czyżby nie wszystko poszło ok?

 

AdwCleanerC0.txt AdwCleanerS2.txt AdwCleanerC2.txt

[picasso]

Cytat

Przy okazji tych operacji (wcześniej chyba nic takiego nie wyskakiwało) Kaspersky wykrył zagrożenie i dodałem to do kwarantanny, nie wiem czy mam to usunąć czy przywrócić?

 

Kaspersky powinien zostać wyłączony podczas usuwania AdwCleaner. Konflikt detekcji. Nagle się obudził, bo obiekt adware próbował przetwarzać AdwCleaner. Ten folder miał być usunięty przez AdwCleaner. Pewnie z powodu ingerencji Kasperskiego kosztowało to aż dwie tury.

 

 

Cytat

Dałem oczyść i dołączam log z czyszczenia ale Kaspersky nadal krzyczy czyżby nie wszystko poszło ok?

 

Ale co pokazuje Kaspersky? Klikij w Details i przedstaw co widać.

[Bryan]

Witaj

Chodzi o ten folder niby usunięty przez AdwCleaner który tak naprawdę nie został usunięty bo cały czas jest a Kaspersky już 2 razy dodawał z niego pliki do kwarantanny.

czyszczenie adwcleaner pokazywało

 

Cytat

***** [ Foldery ] *****

 

Folder usunięto podczas ponownego uruchomienia: C:\Program Files (x86)\miuitab

 

tymczasem folder jest tam cały czas i pliki w nim również, jest tam nawet niby uninstall.exe ale w panelu sterowanie nie ma żadnego takiego programu więc po co ten deinstalator?, czy to jest adware?

 

Mam coś z tym robić? podać jakieś nowe logi?

[picasso]

Tak, to jest definitywne adware, w postaci szczątkowej więc "uninstall" to tu już nic nie zdziała. Jak mówię, mnie się wydaje, że AdwCleaner nie usuwa go właśnie dlatego, że dobiera się do niego Kaspersky i jest kolizja działań. Wyłącz Kasperskiego na czas operacji, następnie ręcznie przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\Program Files (x86)\miuitab.

[Bryan]

folder skasowałem tak jak pisałaś natomiast klucz jest oporny, adwcleaner niby kasuje go a po kolejnym skanie nadal go wykrywa. patrzyłem fizycznie ale nie znalazłem takiego klucza który podaje adwcleaner.

wyłączyłem kasperskiego na czas usuwania ale to nic nie dało

 

Edit:// znalazłem przez wyszukiwanie w rejestrze ten klucz podawany przez adwcleaner ale nie da się go usunąć manualnie

 

AdwCleanerC3.txt

[picasso]

Klucza nie możesz znaleźć w rejestrze, gdyż bierzesz ścieżkę bezpośrednio z raportu AdwCleaner. AdwCleaner to program 32-bitowy i w skanie na systemie 64-bit są przekłamania ścieżek. AdwCleaner znajduje klucz 32-bit i przedstawia go w formacie ścieżki 64-bit. To nie ma znaczenia dla AdwCleaner, bo on stosuje obejścia, by przetworzyć ścieżki. Ale ma znaczenie dla programów natywnie 64-bitowych (systemowe regedit i np. FRST). By usuwać ręcznie z poziomu regedit lub przy udziale FRST, należy przekonwertować ścieżkę do poprawnej postaci.

 

Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Wow6432Node\07a488c3-b6fd-4a99-bfa4-d80aa677d417
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[Bryan]

Albo znowu coś źle wkleiłem albo...nie wiem, w rejestrze też nadal pokazuje ten klucz i adwcleaner też go widzi

Czy on jest aż tak groźny że musimy go usuwać za wszelką cenę?

 

Fixlog.txt

[picasso]

Klucz się nie usuwa, gdyż jest w jakiś sposób zablokowany. Nie dał mu nawet rady FRST - komenda DeleteKey jest bardzo silna i omija uprawnienia oraz nieprawidłowości, a tu zwrot "Odmowa dostępu". Przejdź w Tryb awaryjny Windows i wykonaj skrypt o zawartości:

 

ListPermissions: HKLM\SOFTWARE\Wow6432Node\07a488c3-b6fd-4a99-bfa4-d80aa677d417
DeleteKey: HKLM\SOFTWARE\Wow6432Node\07a488c3-b6fd-4a99-bfa4-d80aa677d417

 

[Bryan]

Brawo, dziękuję bardzo, operacja powiodła się

Tylko proszę Cię nie zamykaj jeszcze tematu bo jutro wkleję logi z lapka żony, tam na pewno też jest sieczka bo działy się te same cyrki co na moim lapku i na tym kompie dzieci, więc jutro wieczorem przeskanuję jej lapka i wkleję logi 

Gdyby jeszcze coś trzeba było wykonać na tym komputerze dzieci to napisz, wykonam jak wrócę ze sklepu bo teraz muszę wyjść na godzinę

Jeszcze raz dziękuję za poświęcony czas i pomoc 

 

Fixlog.txt

[picasso]

Jeśli chodzi o ten komputer, to kończymy:

 

1. Był problem z resetem pliku Host, który odłożyłam. W Trybie awaryjnym zapuść skrypt o zawartości:

 

Hosts:

 

Jeśli skrypt się pomyślnie wykona:

 

2. Skasuj z Pulpitu z "POMOC" narzędzia i ich logi. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

[Bryan]

Wszystko wykonane, plik host się przywrócił, folder pomoc skasowany, narzędzie delfix użyte, punkty przywracania usunięte,  jutro postaram się wrzucić logi z laptopa żony, dziękuję za pomoc i poświęcony czas i życzę udanego weekendu

 

Edit:// przy okazji mam pytanie, czy adware i walka z nim może mieć związek z samoczynnymi restartami komputera? bo syn mi dziś powiedział że wczoraj i dziś komputer mu się restartował, na przykład po graniu w grę lub podczas oglądania filmów na YouTube.