Skocz do zawartości

Wirus s-1-5-21, zablokowany AdwCleaner


Rekomendowane odpowiedzi

Witam,

Ostatnimi czasy wydaje mi się, że mój komputer działa wolniej niż powinien i podczas korzystania z pełnoekranowych aplikacji jestem dosyć często wyrzucany do pulpitu bez przyczyny.
Przeskanowałem komputer 2 antywirusami i usunąłem zagrożenia co nie przyniosło skutku, MalwareBytes również nic nie znalazło.
Kiedy zeskanowałem komputer AdwCleanerem w rejestrach znalazło parę zagrożeń, spróbowałem je usunąć niestety program w połowie przestawał działać, stwiedziłem, że wygoogluje te nazwy i z tego co znalazłem tylko to wydaje się być wirusem "hku s-1-5-21", niestety nie potrafiłem znaleźć tematu, który byłby mi w stanie pomóc.
Chciałbym podkreślić, że próbując uruchomić AdwCleanera moim oczom ukazał się komunikat znadujący się poniżej w miniaturach, żeby uruchomić program musiałem przenieść go na pulpit i zrobić to za pomocą cmd.
Załączam również pliki tekstowe po zeskanowaniu programem FRST.

Prosiłbym o pomoc w znalezieniu rozwiązania.

post-19352-0-71960000-1496673284_thumb.jpg

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Kiedy zeskanowałem komputer AdwCleanerem w rejestrach znalazło parę zagrożeń, spróbowałem je usunąć niestety program w połowie przestawał działać, stwiedziłem, że wygoogluje te nazwy i z tego co znalazłem tylko to wydaje się być wirusem "hku s-1-5-21", niestety nie potrafiłem znaleźć tematu, który byłby mi w stanie pomóc.

 

"HKU\S-1-5-21-*" to nie wirus tylko normalny identyfikator konta użytkownika, obecny w każdym Windows. Problem leży gdzie indziej, malware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów, dlatego m.in. AdwCleaner nie działa (blokada certyfikatu Malwarebytes).

 

Działania do przeprowadzenia:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
StartBatch:
netsh advfirewall reset
reg export HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates C:\Users\Gibon\Desktop\cert.reg
EndBatch:
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) 
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) 
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (U)
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (U)
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (U)
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) 
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (U)
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) 
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (U)
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) 
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) 
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) 
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) 
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) 
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) 
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (U)
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) 
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) 
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (U)
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) 
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) 
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) 
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) 
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) 
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) 
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) 
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (U)
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) 
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (U)
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) 
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) 
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) 
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) 
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (U)
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (U)
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) 
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) 
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) 
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (U)
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) 
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) 
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) 
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) 
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) 
GroupPolicy: Ograniczenia 
GroupPolicyScripts: Ograniczenia 
HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\Run: [AMDDVR] => "C:\Program Files\AMD\CNext\CNext\amddvr.exe"
HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\Run: [AceStream] => C:\Users\Gibon\AppData\Roaming\ACEStream\engine\ace_engine.exe
SearchScopes: HKU\S-1-5-21-1068828578-3051605171-1808777383-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
IE trusted site: HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\hola.org -> hxxp://hola.org
CHR HomePage: Default -> hxxps://www.google.com/?trackid=sp-006
CHR StartupUrls: Default -> "hxxps://www.google.com/?trackid=sp-006"
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\_acestream_cache_
C:\ProgramData\23134L12724y42610N90718
C:\ProgramData\24706L95268y64492N99499
C:\ProgramData\70954L64362y73548N59425
C:\ProgramData\Kaspersky Lab Setup Files
C:\ProgramData\SoftwareUpdateTemp.xml
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Video Downloader professional. To niezaufane rozszerzenie, powiązane z aktywnością adware.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstał też plik cert.reg, shostuj go gdzieś i podaj link do tego pliku.

Odnośnik do komentarza

Wszystko pomyślnie usunięte, AdwCleaner i inne programy zabezpieczające odblokowane, obecnie brak oznak infekcji. Jeśli nadal system wolno działa, problem nie leży w infekcji.

 

I sugeruję deinstalację Baidu Antivirus, który pojawił się w trakcie próby rozwiązania problemu. Jest to przeciętny i nierozwijany (w wersji anglojęzycznej) antywirus, powiązany też z kontrowersyjnymi technikami instalacji PUP (np. AdwCleaner usuwa niektóre komponenty Baidu). Na Windows 10 nie jest nawet potrzebny dodatkowy AV, wbudowany Windows Defender spełnia rolę całkiem dobrze. Poza tym, w Dzienniku zdarzeń są notowalne błędy związane z tym software:

 

Dziennik System:
=============
Error: (06/05/2017 08:07:07 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Nie można uruchomić usługi Baidu Hook Base z powodu następującego błędu:
Urządzenie dołączone do komputera nie działa.

 

Po wykonaniu deinstalacji potrzebne nowe raporty FRST (bez Shortcut), by potwierdzić, że wszystkie startowe obiekty Baidu zostały odinstalowane.

Odnośnik do komentarza

Do usunięcia szczątki po Baidu. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx64.dll -> Brak pliku
Task: {3C078223-94F7-447C-A454-2CE0D63E53EF} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js"
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Baidu Security
RemoveDirectory: C:\ProgramData\Baidu
RemoveDirectory: C:\ProgramData\Baidu Security
RemoveDirectory: C:\Users\Gibon\AppData\LocalLow\BAVData
RemoveDirectory: C:\Users\Gibon\AppData\Roaming\Baidu
RemoveDirectory: C:\Users\Gibon\AppData\Roaming\BavMini
RemoveDirectory: C:\Users\Gibon\Downloads\FRST-OlderVersion
RemoveDirectory: C:\Users\Public\Documents\Baidu
StartBatch:
del /q C:\Users\Gibon\Downloads\cert.reg
del /q C:\Windows\system32\bdhookx64.dll
del /q C:\Windows\system32\BdSandboxDll64.dll
del /q C:\Windows\system32\Drivers\Bprotect.sys.1496687251
del /q C:\Windows\system32\Drivers\Bfilter.sys.1496687249
del /q C:\Windows\system32\Drivers\Bfmon.sys.1496687249
del /q C:\Windows\system32\Drivers\bnbasex64.sys.1496687250
del /q C:\Windows\system32\Drivers\bndef64.sys.1496687251
del /q C:\Windows\SysWOW64\bdhookx86.dll
del /q C:\Windows\SysWOW64\BdSandboxDll32.dll
EndBatch:

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

I podsumuj jak działa obecnie system.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...