Ruskie reklamy na Steam

[krulwody]

Od paru dni pojawiają mi się dziwne ruskie reklamy na platformie Steam i czasami na przeglądarce Chrome.

Próbowałem rozwiązać problem używając AdwCleaner, jednak ten nie dał sobie rady, ponieważ przestał wyszukiwać w/w wirusa. Niestety raporty z AdwC straciłem (raporty jak i sam AdwCleaner zniknęły z komputera po użyciu programu delfix, który był polecany na jakimś forum, którego nazwy nie pamiętam).

Próbowałem również zeskanować komputer używając programu GMER, jednak ten po 15 minutach skanowania odmawiał posłuszeństwa i wyskakiwał błąd, po czym program się zamykał.

Udało mi się natomiast zeskanować komputer używając programu FRST.

 

Proszę o pomoc w rozwiązaniu problemu, te reklamy są naprawdę uciążliwe i spowalniają działanie platformy Steam.

 

 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Problemem są zmodyfikowane serwery DNS Windows, poniższy adres jest rosyjski. Ale w systemie są też inne odpadki adware, w tym fałszywy profil adware podstawiony w Chrome.

 

Tcpip\..\Interfaces\{B9A4709D-CAD1-4D70-A8D2-701D8F79555C}: [NameServer] 188.120.239.115,8.8.8.8

 

Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Tcpip\..\Interfaces\{B9A4709D-CAD1-4D70-A8D2-701D8F79555C}: [NameServer] 188.120.239.115,8.8.8.8
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-9055292-1167892610-523672942-1005\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-9055292-1167892610-523672942-1005 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
BHO: Search App by Ask -> {41444150-2D43-322D-4700-7A786E7484D7} -> "C:\Program Files\AskPartnerNetwork\Toolbar\ADAP-C2-G\Passport.dll" => Brak pliku
Toolbar: HKLM - Search App by Ask - {41444150-2D43-322D-4700-7A786E7484D7} - "C:\Program Files\AskPartnerNetwork\Toolbar\ADAP-C2-G\Passport.dll" Brak pliku
HKLM\...\Run: [app] => C:\Program Files\sbqh\uc.exe
HKU\S-1-5-21-9055292-1167892610-523672942-1005\...\Run: [svchost0] => C:\Program Files\sbqh\uc.exe
HKU\S-1-5-21-9055292-1167892610-523672942-1005\...\Run: [YVZBPWPC77] => "C:\Program Files\DPower\YI85EFO924.exe"
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
U0 aswVmm; Brak ImagePath
Task: {276D1BBC-EE53-48D6-A993-0B850CACF29A} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Adrian_) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe
Task: {3352BBEA-3BE7-454E-ABCD-F8F8229B0EA5} - System32\Tasks\psv_JobTom => /c regedit.exe /s "C:\ProgramData\Quoteex\Superplus.reg" & del "C:\ProgramData\Quoteex\Superplus.reg" & SCHTASKS /Delete /TN "psv_JobTom" /F 
Task: {907F05C0-2188-44D6-BD66-4C67B4280855} - System32\Tasks\{5048F14A-E7AE-4543-A652-3B5200E80BB0} => pcalua.exe -a "C:\Program Files\EA GAMES\Need for Speed Underground 2\speed2.exe" -d "C:\Program Files\EA GAMES\Need for Speed Underground 2"
Task: {957B0DFA-A14E-4C16-B17B-4740E2432128} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-10-18] (AVAST Software)
Task: {A66513DC-5CF9-4ED7-8F39-C9ED2F4F813A} - System32\Tasks\psv_Quadflex => /c regedit.exe /s "C:\ProgramData\Quoteex\Zimdubron.reg" & del "C:\ProgramData\Quoteex\Zimdubron.reg" & SCHTASKS /Delete /TN "psv_Quadflex" /F 
Task: {D19458E6-E2D7-4C59-AB88-113E74138132} - System32\Tasks\Jizergh Launcher => C:\Program Files\Ferqesp\qegph.exe
Task: {D4133C22-34C7-487B-871C-100A66112F8B} - System32\Tasks\{86A2A04B-91BD-426B-8845-78DD2BCD2646} => pcalua.exe -a "C:\Program Files\Common Files\Strongcof\uninstall.exe" -c shuz -f "C:\Program Files\Common Files\Strongcof\uninstall.dat" -a uninstallme AFF3C7A7-3361-477E-A838-2B7FE6745842 DeviceId=f7a6bf77-5f56-946d-f24a-4cf0c4d45424 BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet
Task: {F8B32AA2-8B86-4155-8CE6-24C9DA1C4D23} - System32\Tasks\psv_Stimlux => /c regedit.exe /s "C:\ProgramData\Quoteex\Golden-Lam.reg" & del "C:\ProgramData\Quoteex\Golden-Lam.reg" & SCHTASKS /Delete /TN "psv_Stimlux" /F 
Task: C:\Windows\Tasks\SlimCleaner Plus (Scheduled Scan - Adrian_).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files\UCBrowser\Application\update_task.exe 
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files\UCBrowser\Application\update_task.exe 
ShortcutWithArgument: C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\mozilla.org
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
DisableService: Mobile Partner. RunOuc
C:\Program Files\Ferqesp
C:\Program Files\McAfee
C:\Program Files\Mozilla Firefox
C:\Program Files\Common Files\AV\avast! Antivirus
C:\Program Files\Common Files\McAfee
C:\ProgramData\AVAST Software
C:\ProgramData\McAfee
C:\ProgramData\mntemp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Otwórz plik Readme gry Twierdza Krzyżowiec.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Otwórz podręcznik gry Twierdza Krzyżowiec (PDF).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Twierdza Krzyżowiec Extreme HD .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Twierdza Krzyżowiec HD .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Zainstaluj program GameSpy Arcade (Vista SP1).lnk
C:\TOSTACK
C:\Users\Administrator
C:\Users\Adrian\AppData\Local\UCBrowser
C:\Users\Adrian\AppData\Local\Ulighthazertion
C:\Users\Adrian\AppData\Roaming\*.*
C:\Users\Adrian\AppData\Roaming\Clumick
C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\Nero TuneItUp.lnk
C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\Optymalizacja 1 kliknięciem.lnk
C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\True Key.lnk
C:\Users\Adrian\Desktop\Muzyka\Wszystko razem\ACDC*skrót.lnk
C:\Users\Adrian_
C:\Users\Public\Thunder Network
C:\Windows\system32\Drivers\etc\Hosts.old
C:\Windows\System32\Tasks\AVAST Software
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Konieczna wymiana całego profilu Google Chrome. Ustawienia > karta Ustawienia > Osoby > na liście powinien być widoczny profil o nazwie user0 i ten należy usunąć, a po tym zamknąć Chrome. Uruchom ponownie przeglądarkę i sprawdź czy po usunięciu profilu pojawił się nowy. Jeśli nie, trzeba go stworzyć ręcznie opcją Dodaj osobę.

 

3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń martwy wpis adware Search App by Ask.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[krulwody]

Po reklamach nie ma śladu, bardzo dziękuję
Pisałem do pani admin wieczorem o to, czy normalnością jest, że FRST naprawiał system 3 godziny, ale było już w sumie późno, więc spodziewałem się tego, że może pani admin spać. Zdenerwowałem się trochę na program i włączyłem go od nowa około północy i poszedłem spać, przebudziłem się o około 3 i naprawa została ukończona, więc dołączam fixlog z pełnej naprawy oraz inne potrzebne dokumenty z nowego loga z opcji Scan. Jeszcze raz bardzo dziękuję za pomoc :3

 

Fixlog.txt Addition.txt FRST.txt

 

[picasso]

Widzę że Fix był uruchamiany aż trzy razy. Ten opisywany przestój musiał się wydarzyć na przetwarzaniu linii C:\Users\Adrian_ (niepoprawny folder konta prawdopodobnie utworzony przez adware), gdyż do tej linii wszystko jest "nie znaleziono" (Fix nie przetworzy ponownie tego samego). Kończymy:

 

1. Nowy profil Google Chrome pomyślnie założony. Jeśli brakuje Ci zakładek, możesz je ewentualnie odzyskać z folderu martwego już pierwotnego profilu Chrome. Zamknij Google Chrome. Przekopiuj plik Bookmarks z folderu:

 

C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default

 

do:

 

C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Profile 2

 

Uruchom Google Chrome i sprawdź czy zakładki są na miejscu.

 

2. Następnie przez SHIFT+DEL (omija Kosz) skasuj poniższe foldery z dysku, pierwszy to odpadek fałszywego profilu, a drugi to martwy obiekt:

 

C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\ChromeDefaultData

C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default

 

Usuń także C:\uxldrpog.sys od GMER, folder C:\MATS oraz FRST i jego logi z "Nowego folderu" + folder "Frst" na Pulpicie.

 

3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

4. Odinstaluj stare wersje (luki prowadzące do infekcji, w tym szyfrujących dane): Adobe Reader 9.3 - Polish, Java 8 Update 71, Java 8 Update 101. Pobieranie najnowszych wersji także w w/w linku.