Problem z Greatdeals oraz Guntony

[rmk83]

Cześć. Od pewnego czasu przy korzystaniu z Chrome mam problem z pojawiającymi się reklamami z greatdeals i innym syfem, który pojawia się w przeglądarce. Skanowanie i usuwanie za pomocą adwcleaner nic nie daje - problem wraca. W raporcie adwcleaner cały czas pojawiają się często pliki powiązane z guntony, z tego co doczytałem to jakiś trojan. 

Mój system to WIN 7 64bit.

 

Z góry dzięki za poradę co z tym zrobić.

 

Dołączam wymagane logi FRST oraz GMER.

 

remik

 

--edit

Przeglądając forum trafiłem na tematy podobne do mojego i wiem na 100%, że działa u mnie w systemie fałszywy klon Chrome. Od oryginału różni się tym, że nie wyświetlają się w nim zakładki (po tym zorientowałem się na początku, że coś jest nie tak...). Na chwilę obecną nie odpalam Chrome ze skrótu i wydaje się ok. Poniżej tematy, na które trafiłem na forum, związane z greatdeals:

 

 

 

 

 

 

 

 

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

[picasso]

Tak jest, fałszywy klon Chrome - u Ciebie pod nazwą Guntony. Operacje do wdrożenia:

 

1. Odinstaluj stare niebezpieczne wersje z lukami (zagrożenie m.in. infekcjami szyfrującymi dane): Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Shockwave Player 11.6, Java 7 Update 9, Java(TM) 6 Update 29, Mozilla Firefox 4.0.1 (x86 pl), OpenOffice.org 2.4, QuickTime. Przy deinstalacji archaicznego Firefoxa zatwierdź usuwanie profilu z dysku, a resztę doczyści skrypt poniżej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000 -> {644638E9-444B-4B17-8513-404DA05AC99D} URL =
Task: {3637AC12-5F59-43B1-84B0-260D8F44510B} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe
Task: {5F873854-AD3A-4CD8-8983-18FE1E18B6DF} - System32\Tasks\{E5FA13B1-BAF6-4EC1-A0EC-0DF74AF1D912} => pcalua.exe -a D:\Azuon\bin\Azuon.exe -d D:\Azuon\bin\
Task: {69BD1CE5-5F2C-41A5-B639-F793A0166481} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files (x86)\e-file\e-pity2012\signxml.exe
Task: {69C8C4DF-6092-4AAC-92CB-550193AC2B4A} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe
Task: {91D4C876-F967-4652-B1E4-5B14F5C0CCB5} - System32\Tasks\e-pity2012_styczen => C:\Program Files (x86)\e-file\e-pity2012\signxml.exe
Task: {BA949E13-8740-4216-82BD-5309A4125287} - System32\Tasks\{945CCC1A-9EAE-47AE-A370-5A56F71971A8} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.22.64.106&LastError=404
HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\...\Run: [AdobeBridge] => [X]
S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X]
MSCONFIG\startupfolder: C:^Users^rmk^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Rejestracja FIFA 11.lnk => C:\Windows\pss\Rejestracja FIFA 11.lnk.Startup
MSCONFIG\startupreg: AdobeBridge => "C:\Program Files (x86)\Adobe\Adobe Bridge CS5\Bridge.exe" -stealth
MSCONFIG\startupreg: DAEMON Tools Lite => "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\Guntony
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\imgdoc2.dll
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FM Genie Scout 14
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PIT Format 2012
C:\ProgramData\Mozilla
C:\Users\rmk\Desktop\Google Chrome.lnk
C:\Users\rmk\AppData\Local\Guntony
C:\Users\rmk\AppData\Local\Mozilla
C:\Users\rmk\AppData\Local\Microsoft\Windows\GameExplorer\{A3B0A0BD-02FE-48E9-8F12-5F9CE6BA4111}
C:\Users\rmk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\rmk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\rmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\rmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player
C:\Users\rmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker
C:\Users\rmk\AppData\Roaming\Mozilla
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Uruchom Google Chrome i wyczyść:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice oraz niepożądane LiveVDO plugin, vshare plugin.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Ustaw jako domyślną przeglądarkę Internet Explorer. Nie można na razie ustawić prawdziwego Chrome, dopóki nie zostanie wyczyszczony rejestr ze skojarzeń klona.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

 

Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt.

 

Guntony

 

[rmk83]

Dzięki za odpowiedź i porady.

 

Zrobione:

1 i 2.

W punkcie 3 nie znalazłem tego co napisałaś:

 

Cytat

Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice oraz niepożądane LiveVDO plugin, vshare plugin.

4 i 5 zrobione, przedstawiam poniżej.

 

Czekam na dalsze instrukcje

remik

 

--

Paypalem się odwdzięcze

 

 

SearchReg.txt

Fixlog.txt

Addition.txt

[picasso]

Fix pomyślnie wykonany, ale dostarczyłeś podwójny Fixlog.txt (jeden usuwam), za to brakuje nowego skanu FRST.txt. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Classes\ChromeHTML
DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Guntony
DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\55e7cc3e_0
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Reg: reg delete "HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Guntony\Guntony\chrome.exe" /f
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Powstanie kolejny fixlog.txt.

 

2. Po w/w akcji możesz już ustawić Google Chrome jako domyślną przeglądarkę.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[rmk83]

Przeoczyłem FRST jak załącznik.

 

1. zrobione

2. zrobione

3. zrobione - logi załączam do postu

 

FRST.txt

Fixlog.txt

[picasso]

Wszystko wygląda dobrze. Jeszcze ostatnia poprawka na szczątki widoczne w nowym FRST.txt. Otwórz Notatnik i wklejw nim:

 

BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1448217005&z=b25c7c69d0c483d491944a6g7z4zebbofg3q6q7q3q&from=cor&uid=SAMSUNGXSP2514N_S08BJ1LP300284
StartBatch:
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
del /q C:\Users\rmk\Desktop\GMER.txt
del /q C:\Users\rmk\Downloads\i7ib141w.exe
del /q C:\Users\rmk\Downloads\adwcleaner*.exe
EndBatch:
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4
RemoveDirectory: C:\Program Files (x86)\Java
RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 2.4
RemoveDirectory: C:\Users\rmk\Downloads\FRST-OlderVersion

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw fixlog.txt. Nowe skany FRST zbędne.

[rmk83]

Nowy:

 

Fixlog.txt

[picasso]

Kończymy:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST oraz wszystkie logi FRST z folderu Pobrane.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. System wymaga gruntownej aktualizacji. Stan obecny:

 

Platform: Windows 7 Home Premium (X64) Język: Polski (Polska)

Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

 

Brak SP1, IE11 i ogromnej ilości innych łat wydanych między SP1 a dniem dzisiejszym.

[rmk83]

1. zrobione

2. zrobione

3. SP1, IE 11 zaraz będę aktualizował. Łat poszukam i też to zrobię.

 

Na marginesie - jakiego antywirusa polecasz, może być płatny. Zbyt dużo rzeczy robię na kompie abym to bagatelizował. 

 

Jeszcze raz dzięki za pomoc. Niedługo się odwdzięczę

[picasso]

Cytat

3. SP1, IE 11 zaraz będę aktualizował. Łat poszukam i też to zrobię.

 

By uzyskać wierną listę wszystkich brakujących łat, należy uruchomić Windows Update, a nie szukać ich ręcznie, bo jest tego zastraszająca ilość (kilka lat aktualizacji do nadrobienia). Jako że jest tu kompletnie nieaktualizowany system, jest pewne uproszczenie dostępne, tzn. po instalacji SP1 i IE11 możesz załadować zbiorczy pakiet zawierający większość łat wydanych między SP1 a kwietniem 2016. Czyli montujesz po kolei: KB3020369 + KB3125574. To jednak niestety nie wszystko (np. aktualizacje IE nie są uwzględnione), i tak wymagane będzie uruchomienie po tym Windows Update.

 

EDIT: Microsoft Catalog działa teraz już we wszystkich głównych przeglądarkach, tylko URL jest inny. Podstawiłam go powyżej. Dodałam też łatę wymaganą, by ten zbiorczy pakiet dało się nałożyć.