Brak możliwości instalacji antywirusa

[Calmstar]

Witam, 

 

od jakiegoś czasu przeglądarka chrome i inne dziwnie się zachowują. Mianowicie mimo adblockera czasem wyświetlają się reklamy w okienku "Advertising" na całą stronę. Kliknięcie na stronę czasem powoduję otwarcie dziwnego linku z niechcianymi informacjami itp. oraz czasem otwierana strona zawiesza się. 

 

Chciałem zainstalować program anti malware niestety po ściągnięciu instalacji i próbie włączenia pliku instalacyjnego  wyświetla się komunikat "Żądane zasoby są w użyciu" taki komunikat wyświetla się tylko dla instalek różnych programów antywirusowych ( próbowałem na wielu )

 

Załączam logi z FRST oraz OTL ,  pełne skanowanie GMER-em powoduje blue screena, ale będę dalej próbował ( załączam początkowy scan z GMER-a)

 

Pozdrawiam ,

 

Edit:

dokładam scan z GMER-a

 

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

GMER scan.txt

[Miszel03]

System jest zainfekowany infekcją Trojan.SmartSerives blokującą oprogramowanie zabezpieczające. Widoczne są również istotne instalacje adware.

 

1. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj: Browser-Security.

Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.  

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\.scr: EAGLESCR => "C:\EAGLE 8.0.1\eagle.exe" "%1" <===== UWAGA
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [cpx] => "C:\Users\Kacper\AppData\Local\ntuserlitelist\cpx\cpx.exe" -starup <===== UWAGA
HKLM-x32\...\Run: [svcvmx] => C:\Users\Kacper\AppData\Local\ntuserlitelist\svcvmx\svcvmx.exe [884224 2017-04-21] ()
C:\Users\Kacper\AppData\Local\ntuserlitelist
HKU\S-1-5-21-4043991316-322300738-1598774976-1001\...\Run: [NEFPMCZBZG.exe] => C:\Users\Kacper\AppData\Local\Temp\65-8a05c-481-70c91-cd38301bfb72a\NEFPMCZBZG.exe m_5 L_1 <===== UWAGA
HKU\S-1-5-21-4043991316-322300738-1598774976-1001\...\StartupApproved\Run: => "NEFPMCZBZG.exe"
GroupPolicy: Ograniczenia <======= UWAGA
R2 Dataup; C:\Users\Kacper\AppData\Local\ntuserlitelist\dataup\dataup.exe [77824 2017-01-05] () [Brak podpisu cyfrowego] <==== UWAGA
R2 windowsmanagementservice; C:\Users\Kacper\AppData\Local\fdceag\ct.exe [689152 2017-05-17] () [Brak podpisu cyfrowego] <==== UWAGA
C:\Users\Kacper\AppData\Local\fdceag
S4 NvStreamSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe" [X]
S3 niwdk; Brak ImagePath
S3 niimaqk; system32\drivers\niimaqk.sys [X]
S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X]
U3 uxroqfow; \??\C:\Users\Kacper\AppData\Local\Temp\uxroqfow.sys [X] <==== UWAGA
Unlock: HKLM\SYSTEM\ControlSet001\Services\drmkpro64
R5 drmkpro64;  
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox.

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.
• Zainstaluj (pod koniec rozwiązywania problemów) rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[Calmstar]

Pkt 1. nie było dostępnego Browser-Security

 

Pkt 2. Zrobione, logi załączone ( Pkt 4.)

 

Pkt 3. Zrobione Mozilla ok , chrome nie chciał zainstalować dodatku , przerywało download.

 

Shortcut.txt

FRST.txt

Fixlog.txt

Addition.txt

[Miszel03]

Już moglibyśmy kończyć temat, gdyby nie to, że głowna gwiazda wieczoru, czyli Trojan.SmartService to twardy zawodnik. Spróbujemy potraktować skyptem wykonanym z poziomu Tryby Awaryjnego. Reszta działań została pomyślnie wykonana, a uBlock może być blokowany przez omawianego nieproszonego gościa. Browser-Security zniknął również z raportów, więc to była tylko resztka.

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
HKLM-x32\...\Run: [cpx] => "C:\Users\Kacper\AppData\Local\ntuserlitelist\cpx\cpx.exe" -starup <===== UWAGA
HKLM-x32\...\Run: [svcvmx] => "C:\Users\Kacper\AppData\Local\ntuserlitelist\svcvmx\svcvmx.exe" -starup
RemoveDirectory: C:\Users\Kacper\AppData\Local\ntuserlitelist
S2 Dataup; C:\Users\Kacper\AppData\Local\ntuserlitelist\dataup\dataup.exe [X] <==== UWAGA
S2 windowsmanagementservice; C:\Users\Kacper\AppData\Local\fdceag\ct.exe [X] <==== UWAGA
RemoveDirectory: C:\Users\Kacper\AppData\Local\fdceag
Unlock: HKLM\SYSTEM\ControlSet001\Services\drmkpro64
R5 drmkpro64;  
EmptyTemp:

 

Z klawiatury CTRL+S, by zapisać zmiany. Wejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt.

 

* Przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

[Calmstar]

skrypt wykonał się bez problemu , załączam pliki

 

Edit. problem z ublockiem nie zniknął, oraz nadal nie mogę żadnego antywirusa zainstalować

 

FRST.txt

Addition.txt

Fixlog.txt

[Miszel03]

Bez wątpienie to gadzina niezła jest, bo znowu nie chcę się usunąć (nałożyła blokady).

 

Teraz się uda na bank.

 

1. Odładuj pamięciowe elementy Trojan.SmartService za pomocą narzędzia RKill (nie wolno Ci po tym zabiegu zrestartować systemu!).

 

2. Wykonaj skrypt z mojego poprzedniego posta (pkt. 1).

[Calmstar]

Niestety RKill też nie chce się uruchomić

 

[Miszel03]

1. Uruchom Registry DeleteEx *. Zaznacz opcję "Recursively delete all subkeys". W pasku adresów wklej poniższy klucz i usuń go.

 

HKLM\SYSTEM\CurrentControlSet\Services\drmkpro64

Zresetuj system.
 
2. Wykonaj skrypt FRST, ten sam, co w pkt. 1 mojego 1 posta. Dostarcz Fixlog.
 
3. Zrób nowy zestaw raportów FRST.

 

 

 

* Jeśli będzie problem to usuń, następnie pobierz jeszcze raz i przed uruchomieniem zmień nazwę np. na asd123 (i zostawiasz .exe).

[Calmstar]

Niestety "Failed to delet registry key" usunąłem i pobrałem jeszcze raz , zmieniłem nazwę i nadal to samo .

[Miszel03]

Jedyne co mi jeszcze przychodzi do głowy, żeby usunąć gada to chyba jedynie z poziomu środowiska zewnętrznego WinRe (wtedy obrona klucza nam może skoczyć).

 

Skonsultuje się z picasso i nie wykluczone, że ona przejmie sterty. 

[picasso]

Szkoda, że nie widziałam tego tematu wcześniej, to szybko by poszło usuwanie. drmkpro64 to znany rootkit blokujący programy podpisane cyfrowo. Jest potrzebna specjalna niepodpisana cyfrowo wersja narzędzia usuwającego, orientowana na infekcje rootkit.

 

1. Uruchom specjalną wersję Malwarebytes Anti-rootkit. Wykonaj skan i usuwanie. Dostarcz log końcowy narzędzia.

 

2. Następnie zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut.

[Calmstar]

1. Udało się usunąć   chociaż były problemy. Mianowicie przy pierwszym uruchomieniu tyle tego znalazł że aż się zawiesił program.. odnajdywał ok 3000 infekcji typu [clicker] w folderze [\AppData\Local\llssoft] .. wykorzystałem jeszcze jeden program MalwareBytes AdwCleaner który usunął całkowicie ten folder, później znowu uruchomiłem Anti-rootkita i już dokończył skanowanie bez problemu nie znajdując tak porażającej ilości [clickerów]

 

2. Skany poniżej

 

Dzięki przeogromne za pomoc i poświęcony czas ! Sam nigdy nie byłbym w stanie dojść do takiego etapu.

 

FRST.txt

Addition.txt

AdwCleanerC0.txt

mbar-log-2017-06-22 (16-31-46).txt

mbar-log-2017-06-22 (17-09-39).txt

mbar-log-2017-06-22 (17-24-09).txt

[picasso]

Wg raportów wszystko usunięte. Natomiast mam uwagę co do tego kwiatka:

 

2017-06-20 18:38 - 2017-06-20 18:38 - 01594072 _____ ( ) C:\Users\Kacper\Downloads\uBlock Origin 1.12.4 dla Google Chrome.exe

2017-06-20 18:38 - 2017-06-20 18:38 - 00003354 _____ C:\Users\Kacper\Downloads\uBlock Origin 1.12.4 dla Google Chrome.html

 

To na pewno nie jest oryginalny instalator uBlock Origin (nie występuje w postaci EXE tylko w formacie pod konkretną przeglądarkę), i wygląda na śmiecia typu "Asystent pobierania" jakiegoś portalu. uBlock Origin i to w nowszej wersji 1.13.2 dostępny dla głównych linii przeglądarek na stronie domowej projektu: KLIK. Do wglądu też ogólna lista oprogramowania: KLIK.

 

 

---

 

Działania końcowe:

 

1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres gazeta.pl (o ile nie był wprowadzany ręcznie, to może być wtręt sponsorowany), następnie przełącz z powrotem na "Nową kartę".

 

2. Drobny kosmetyczny skrypt na szczątkowe wpisy oraz usuwający wszystkie stare pluginy z Firefox (od wersji FF 52 jedyny obsługiwany plugin zewnętrzny to Adobe Flash, reszta niewykrywalna). Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

HKU\S-1-5-21-4043991316-322300738-1598774976-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Kacper\Downloads\rkill.scr [2030536 2017-06-21] (Bleeping Computer, LLC)
HKLM\...\StartupApproved\Run: => "TUCCDUtil"
HKU\S-1-5-21-4043991316-322300738-1598774976-1001\...\StartupApproved\Run: => "NIRegistrationWizard"
Task: {384C9C45-F183-461F-8162-99C8490D5081} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
GroupPolicyScripts: Ograniczenia <======= UWAGA
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\!KillBox
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins
RemoveDirectory: C:\ProgramData\F-Secure
RemoveDirectory: C:\ProgramData\Malwarebytes
RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable)
RemoveDirectory: C:\Users\Kacper\AppData\Local\F-Secure
RemoveDirectory: C:\Users\Kacper\AppData\Local\FSDART
RemoveDirectory: C:\Users\Kacper\Desktop\mbar
RemoveDirectory: C:\Users\Kacper\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\Kacper\Downloads\FRST-OlderVersion
StartBatch:
del /q C:\Users\Kacper\AppData\Local\report
del /q C:\Users\Kacper\Downloads\SpyHunter-Installer.exe
del /q C:\Users\Kacper\Downloads\uBlock*.*
del /q C:\Windows\system32\Drivers\mbamchameleon.sys
del /q C:\Windows\system32\Drivers\MBAMSwissArmy.sys
netsh advfirewall reset
EndBatch:

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

3. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. Z folderu Pobrane dokasuj ręcznie przez SHIFT+DEL (omija Kosz) wszystkie inne używane ostatnio narzędzia usuwające których nie zaadresuje DelFix.

 

4. Poniżej wyliczone programy do deinstalacji i zastąpienia najnowszymi wersjami: KLIK. Wątek o wymianie uTorrent na Qbittorent jak najbardziej aktualny.

 

==================== Zainstalowane programy ======================

Adobe Flash Player 24 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 24.0.0.221 - Adobe Systems Incorporated)
Adobe Reader XI - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated)
Apple Software Update (HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.)
Java 8 Update 101 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180101F0}) (Version: 8.0.1010.13 - Oracle Corporation)
Java SE Development Kit 8 Update 101 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0180101}) (Version: 8.0.1010.13 - Oracle Corporation)
Obsługa programów Apple (HKLM-x32\...\{46F044A5-CE8B-4196-984E-5BD6525E361D}) (Version: 2.3.6 - Apple Inc.)
QuickTime 7 (HKLM-x32\...\{FF59BD75-466A-4D5A-AD23-AAD87C5FD44C}) (Version: 7.79.80.95 - Apple Inc.)

 

[Calmstar]

Fix zakończył się tylko zaraz potem uruchomiłem Delfix-a i usunął fixlog :/

Foldery poczyszczone , programy aktualizuje właśnie.

 

W zamian za fixloga.. dołączam jeszcze skany z FRST ale po zachowaniu przeglądarek widzę że już jest wszystko w normie.

 

Dzięki Wielkie !

[picasso]

Nowe logi z FRST już zbędne i je usuwam. Brak zmian mających znaczenie do oceny. I w związku z tym że znowu uruchomiłeś FRST, ponownie poczęstuj się DelFix by skasował komponenty FRST. Na koniec do usunięcia plik C:\DelFix.txt.

[Calmstar]

Ok,

 

Jeszcze raz dzięki za pomoc !