Zainfekowany komputer, wyskakujące reklamy, problemy z internetem.

[DetVers]

Witam.

Mam problem gdyż zainfekowałem komputer jakimś syfem, którego nie mogę się pozbyć. Objawami są wyskakujące reklamy, duże zużycie procesora, dziwne procesy w tle, chwilowe braki internetu z komunikatem w chromie o błędzie DNS. Wirus ten zablokował mi możliwość skanowania domyślnym narzędziem (Windows Defender) jak i zawiesza się AdwCleaner podczas usuwania zagrożeń.

Z góry dziękuje za pomoc. 

 

FRST.txt

Addition.txt

Shortcut.txt

[Rucek]

Spróbuj dodać jeszcze raport z GMERa

https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

[picasso]

Nie dodałeś obowiązkowego raportu z GMER, a tu jak najbardziej zasadny. W systemie ofensywne sterowniki Shopperz działające w technice rootkit (FRST nie ma do nich dostępu): KLIK. A prócz tego także kupa innych instalacji adware, w tym infekcja DNS oraz całkowicie podmieniony profil Chrome (wstawiony przez adware, nie ma już w systemie poprawnego poprzedniego profilu).

 

 

Działania do przeprowadzenia:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware groover, HPSewil, trotux - Uninstall. W przypadku błędów deinstalacji kontynuuj dalej.

 

2. Uruchom Zemana AntiMalware. Usuń wszystko co wykryje program i zapisz log z usuwania. Po usuwaniu zresetuj system.

 

3. W Google Chrome wymagane stworzenie nowego profilu od zera. CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML, o ile jest cokolwiek do eksportowania (brak poprzedniego poprawnego proflu). Ustawienia > karta Ustawienia > Osoby > usuń widoczną tam osobę, następnie Dodaj nową osobę i otwórz okno Chrome na nowym profilu, okna poprzedniego zamknij.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut, oraz GMER. Dołącz też plik fixlog.txt i raport utworzony przez Zemana.

[DetVers]

Przeprowadziłem skan GMER. Ogólnie rzecz biorąc kilku rzeczy się  pozbyłem dzięki czemu komputer chodzi w miarę dobrze ale nie został rozwiązany problem z internetem jak i  dalej nie jestem wstanie włączyć Windows defendera. Dlatego tez wrzucam razem z logiem z gmera jeszcze jeden skan FRST. Mogę tez już uruchomić AdwCleaner i dzięki niemu pozbyłem się dużej  ilości tego badziewia ale dalej znajduje jeden problem z dnsapi.cll, którego nie jest w stanie usunąć. Chciałem od razu przystąpić do wykonywania działań ale nie mogłem zainstalować Zemana AntiMalware. Na początku wyskakuje kilkukrotnie błąd o braku wcześniej wypomnianego dll (dnsapi.dll) i na końcu ze zainstalowane jest AntiLogger lub SafeOnline lecz nigdzie nie widzę tego by moc usunąć.

GMER1.txt

FRST1.txt

Addition1.txt

AdwCleanerS101.txt

[picasso]

Podane tu logi wykazują nowe niekorzystne zmiany których nie było w pierwszym zestawie, tzn. pojawiła się infekcja systemowego pliku dnsapi.dll: 64-bitowe wystąpienie zainfekowane, a 32-bitowy plik całkowicie usunięty i obawiam się że to drugie to efekt Twojego nieumiejętnego czyszczenia. Tej infekcji nie było wcześniej. Poza tym nadal startują określone obiekty adware, a problem z fałszywym profilem w Chrome nierozwiązany (tu nie ma innej solucji niż wywalenie całego profilu).

 

1. Uruchom sfc /scannow zgodnie z instrukcją: KLIK. Poczekaj aż skan się ukończy. Fitrowanego raportu nie musisz tworzyć, wyniki SFC wydrukuję sobie poniżej w skrypcie FRST.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-423933081-1692630651-1468072290-1001\...\Run: [sSMaker2] => C:\Users\adaml\AppData\Roaming\ScreenMaker2\SSMaker.exe [592896 2016-10-06] (Logirfy Internatuonal)
R2 Coerlasy; C:\Program Files (x86)\Ghoputain\procaentvlotCollector.dll [276992 2016-10-06] () [brak podpisu cyfrowego]
S4 Viokdojvaf; C:\Users\adaml\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe [170496 2016-08-11] () [brak podpisu cyfrowego]
S2 Citdhwa; "C:\Users\adaml\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X]
S1 hgqrgpgj; \??\C:\WINDOWS\system32\drivers\hgqrgpgj.sys [X]
S1 jsnrfkmo; \??\C:\WINDOWS\system32\drivers\jsnrfkmo.sys [X]
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S1 orqktznp; \??\C:\WINDOWS\system32\drivers\orqktznp.sys [X]
S1 wlaeexmd; \??\C:\WINDOWS\system32\drivers\wlaeexmd.sys [X]
S1 xnyjgutm; \??\C:\WINDOWS\system32\drivers\xnyjgutm.sys [X]
Task: {4B09B2B0-FCDF-4195-AC41-A9C345F6B9D7} - System32\Tasks\{CB3E53BF-B013-432C-A033-8F192A0922D2} => Chrome.exe hxxp://ui.skype.com/ui/0/7.10.0.101/pl/abandoninstall?source=lightinstaller&page=tsMain
Task: {8116640F-0B5A-4A7F-852E-853E88A8210A} - System32\Tasks\Fakthertuverge Controls => C:\Program Files (x86)\Ghoputain\mple.exe [2016-10-06] (Glarysoft Ltd)
Task: {E7E79FA1-994F-479B-8D9F-A79B648626F9} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku 
CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku
HKLM\...\StartupApproved\StartupFolder: => "Symfonia® PDF.lnk"
HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui"
GroupPolicy: Ograniczenia - Chrome 
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\Ghoputain
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android SDK Tools
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio
C:\TOSTACK
C:\Users\adaml\AppData\Local\Drerterry
C:\Users\adaml\AppData\Local\Tempfolder
C:\Users\adaml\AppData\Local\Google\Chrome\User Data\System Profile
C:\Users\adaml\AppData\LocalLow\Company
C:\Users\adaml\AppData\Roaming\BrowserModule
C:\Users\adaml\AppData\Roaming\Ghasetion
C:\Users\adaml\AppData\Roaming\Hemkajdoa
C:\Users\adaml\AppData\Roaming\ScreenMaker2
C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\deb74e6ef302b553\Sрееd Diаl [FVD] - Nеw Таb Раgе, 3D, Synс.lnk
C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\ffcf275a553b47cd\Gооglе Сhrоmе.lnk
C:\Users\adaml\Desktop\yyyyy rozne\LCode.lnk
C:\Users\adaml\Desktop\yyyyy rozne\VCDS-PL 15.7.lnk
C:\WINDOWS\system32\sesb
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML, o ile jest cokolwiek do eksportowania. Ustawienia > karta Ustawienia > Osoby > usuń widoczną tam osobę, następnie Dodaj nową osobę i otwórz okno Chrome na nowym profilu, okna poprzedniego zamknij.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[DetVers]

Ok wszytko zrobiłem tak jak w instrukcji. Od razu widzę ze kwestia z internetem została naprawiona. Oczywiscie przesylam logi z prac.

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Pliki dnsapi.dll naprawione. Natomiast z pośpiechu zapomniałam poinstruować, by skrypt zapisać w innym kodowaniu, bo zainfekowane skróty zawierają Cyrylicę. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\deb74e6ef302b553\Sрееd Diаl [FVD] - Nеw Таb Раgе, 3D, Synс.lnk
C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\ffcf275a553b47cd\Gооglе Сhrоmе.lnk
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Czy nadal występuje problem z instalacją Zemany?

 

(...) nie mogłem zainstalować Zemana AntiMalware. (...) na końcu ze zainstalowane jest AntiLogger lub SafeOnline lecz nigdzie nie widzę tego by moc usunąć.

[DetVers]

Tak, nic nie sprawia problemów. Zainstalowałem i usunąłem wszystko co znalazł Zemana oraz zrobiłem ponowny skan FRST.

2016.10.07-14.39.12-i0-t92-d2.txt

FRST.txt

Addition.txt

[picasso]

Miałeś mi dostarczyć plik fixlog.txt a nie nowe skany FRST. Ale już to pomińmy. Zemana natomiast wykryła w preferencjach Google Chrome konfigurację Trotux, tylko że profil Chrome był przecież usuwany, a posunąłeś się nawet dalej niż zalecałam, czyli deinstalowałeś Chrome z pełnym usunięciem profilu.

 

Działania końcowe:

 

1. Odinstaluj stare wersje: Adobe Flash Player 22 NPAPI (to edycja dla nieistniejącego tu Firefoxa), Java SE Development Kit 7 Update 55, Java SE Development Kit 8 Update 60 (64-bit), Java SE Development Kit 8 Update 91 (64-bit).

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. Materiał edukacyjny na co uważać: KLIK.

[DetVers]

Ok wszystkie czynności przeprowadzone. Rozumiem ze to będzie już wszystko także serdecznie dziękuje za udzielana fachowa pomoc. Tak dla pewności wrzucę jeszcze log z DelFix, który usuną tylko FRST.

DelFix.txt

[picasso]

Skasuj z dysku plik raportu C:\delfix.txt.

 

Temat rozwiązany. Zamykam.