Laptop zamula

[Pacjent]

Dzien dobry,

 

Mam problem z laptopem a konkretnie wolno pracuje ciężko jest robić cokolwiek na tym komputerze strony internetowe uruchamiają się koszmarnie wolno. Podkreślę ten laptop nie jest mój lecz mojej siostry i mamy więc spodziewam się ,ze na komputerze mogą znajdować się wirusy. Poniżej zamieszczam raporty z gmera 2.2 oraz skan z FRST.

 

EDIT: Print screeny z hwinfo dodam za kilka godzin jak bede mial dostep do laptopa. Nie wiem czy to problem sprzetowy czy systemowy dlatego daje logi.

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[Miszel03]

System jest kolosalnie zainfekowany przez infekcje adware. Fałszywa przeglądarką podszywająca się pod Google Chrome, zarażone skróty LNK, instalacje fałszywego oprogramowania zabezpieczającego i wiele, wiele więcej.
 
Temat jest w ogóle założony w złym dziale, ale spokojnie już mnie moderator inny uprzedził Uporządkuję go jakiś inny moderator bo ja nie mam dostępu do tego dział forum.
P.S: Log GMER niepotrzebny, nie wymagamy już go od kilku tygodni ze względu na spadek infekcji rootkit oraz liczne problemy z obsługą programu.   
 
1. Uruchom funkcję przywracania systemu, ale nie próbuj przywracać systemu, czyli: Start > Komputer > PPM > Właściwości > Z panelu bocznego wejdź do Ochrona Systemu > Zaznacz dysk C:\ > Konfiguruj > Przywróć ustawienia systemu oraz poprzednie wersje plików.
 
2. Deinstalacje.

• Oprogramowanie adware / PUP: Booking.com version 1.1.0.5019, WarThunder.
• Fałszywe oprogramowanie zabezpieczające: YAC(Yet Another Cleaner!).

Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.  
 
3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1769923494-3148577438-2251075067-1001\...\ChromeHTML: -> "C:\Program Files (x86)\Bossship\Application\chrome.exe" "%1" C:\Users\katar\AppData\Roaming\Bossship
C:\Users\katar\AppData\Local\Bossship
C:\Program Files (x86)\Bossship
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {7D38FC5C-4813-430F-8EA4-AF1BD541B69A} - System32\Tasks\LogNata for CD Pro => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\LogNata for CD Pro\LogNata for CD Pro.dll",agYbwmRYhHpt C:\Program Files\LogNata for CD Pro
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mylucky123.com/?type=sc&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX
ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> 
C:\Users\katar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKU\S-1-5-21-1769923494-3148577438-2251075067-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
Edge HomeButtonPage: HKU\S-1-5-21-1769923494-3148577438-2251075067-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX
FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\katar\AppData\Roaming\Mozilla\Firefox\Profiles\88tmelis.default\extensions\arthurj8283@gmail.com => nie znaleziono
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx 
HKU\S-1-5-21-1769923494-3148577438-2251075067-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bossship\Application\chrome.exe CHR StartupUrls: Default -> "hxxp://www.nicesearches.com?type=hp&ts=1475909305&from=fb081008&uid=hgstxhts545050a7e680_tm8514gl30dzgp30dzgpx&z=21080f64cde7f3e86bc3b7cg0zam2w2t7ebt9c6e5o"
CHR NewTab: Default ->  Not-active:"chrome-extension://hoephahehngknjmiphndipnckhhdkjho/stubby.html", Not-active:"chrome-extension://eaefeocpbhmeliomnhdbolpidpcdkjdc/stubby.html", Not-active:"chrome-extension://bkgkclakjomadncofjgnekkfhkalpkpo/stubby.html", Not-active:"chrome-extension://fcfenmboojpjinhpgggodefccipikbpd/newTab.html", Active:"chrome-extension://mallpejgeafdahhflmliiahjdpgbegpk/stubby.html", Not-active:"chrome-extension://ojfkehjclaeiedfhhbjndggmjgiaieef/redirect.html"
C:\Users\katar\Desktop\Star Stable.lnk
DeleteKey: HKCU\Software\Bossship
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bossship
CMD: netsh advfirewall reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\katar\AppData\Local
CMD: dir /a C:\Users\katar\AppData\LocalLow
CMD: dir /a C:\Users\katar\AppData\Roaming
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
4. Zostaną usunięte wszystkie skróty fałszywych przeglądarek. Odtwórz w wybranych miejscach skróty do prawdziwego Google Chrome. Uruchom przeglądarkę i wyczyść ją z adware:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. 
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje.
• Ustaw przeglądarkę jako domyślną.

5. Wyczyść przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

6. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).
 

bossship

 
Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 
 
7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Pacjent]

Dzień dobry

 

Przepraszam za moją długą nieobecność, ale nie miałem dostępu do komputera. Dziękuje za pomoc oraz proszę o dalsze wskazówki.

 

ad1. Ochrona systemu włączona

ad2. Booking.com version 1.1.0.5019 usunięte,

WarThunder nie chce sie usunąć  (Nie można znaleźć pliku skryptu  ''C:\Users\katar\AppData\Roaming\WarThunder\osutils.vbs'')

YAC(Yet Another Cleaner!) usunięte

ad3. Skrypt wykonany

ad4. Google zostało oczyszczone

ad5. Firefox został oczyszczony

ad6. załączam skan

ad7. logi zrobione

 

Po kliknięciu np. w  ''dział pomocy doraźnej'' wyskakuje reklama apple-panda oraz reklamy jakiś gier.

Addition.txt

Fixlog.txt

FRST.txt

SearchReg.txt

[Miszel03]

WarThunder nie chce sie usunąć  (Nie można znaleźć pliku skryptu  ''C:\Users\katar\AppData\Roaming\WarThunder\osutils.vbs'')

 

Powtórz tą operacje za pomocą Program Install and Uninstall Troubleshooter.

Przy okazji: widzę nową instalację Driver Updater Plus flagowaną przez FRST. Sugeruję deinstalacje, no chyba, że ufasz temu programowi.

 

Jak pisałem tamten post to generalnie chyba byłem nieprzytomny, bo pominąłem trochę instalacji adware.

Odinstaluj jeszcze:

• Opera_helper
• PC Purifier
• PCPurifier

Następnie wygeneruj nowe raport FRST (FRST + Addition).

[Pacjent]

Dzień dobry

przepraszam za mój brak aktywności ale nie miałem dostępu do komputera.

 

Nie mogę usunąć aplikacji WarThunder program nie wyszukuje jej, a nie mam pojęcia gdzie mogę sprawdzić kod produktu (program przechodzi do kolejnego okienka i prosi o jakiś kod produktu).

Programy:

- Opera_helper

- PC Purifier

- PCPurifier

Zostały usunięte.

Nadal po kliknięciu na odnośniki cały czas są reklamy, ta dziwna panda.

Raport (FRST + Addition) zostały wygenerowane.

Proszę o kolejne wskazówki.

Addition.txt

FRST.txt

[Miszel03]

Tym razem to ja przepraszam za pożną odpowiedz, ale od 19 miałem urlop.
 
WarThunder wygląda na resztkę, choć to się mija z moimi przypuszczeniami. Klucz z logu Addition usunie AdwCleaner w kolejnym moim poście.
Robimy poprawki i skan przeciw infekcją typu adware, co usunie ewentualne resztki. Myślę, że dużymi krokami zbliżamy się do końca.
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
S3 iSafeKrnlBoot; C:\WINDOWS\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\WINDOWS\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) C:\WINDOWS\System32\DRIVERS\iSafeKrnlBoot.sys
C:\WINDOWS\System32\DRIVERS\iSafeNetFilter.sys
2017-08-16 23:36 - 2016-09-02 18:49 - 000000000 ____D C:\Program Files (x86)\PC Purifier
C:\Program Files (x86)\PCPurifier
Task: C:\WINDOWS\Tasks\PC Purifier_DEFAULT.job => C:\Program Files (x86)\PC Purifier\PCPurifier.exe
Task: C:\WINDOWS\Tasks\PC Purifier_UPDATES.job => C:\Program Files (x86)\PC Purifier\PCPurifier.exe
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  
C:\Users\katar\AppData\Roaming\Elex-tech
C:\Users\katar\AppData\Roaming\gplyra
C:\Users\katar\AppData\Roaming\opera_helper
C:\Users\katar\AppData\Roaming\PC Purifier
DeleteKey: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\8342b33a_0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\"SOFTWARE\Clients\StartMenuInternet\ChromeHTML"\InstallInfo|C:\Program Files (x86)\Bossship\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Bossship\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\ActivatableClasses\Package\DefaultBrowser_NOPUBLISHERID\Server\DefaultBrowserServer|C:\Program Files (x86)\Bossship\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\Extensions\ContractId\Windows.File\PackageId\DefaultBrowser_NOPUBLISHERID\ActivatableClassId\DefaultBrowser.DefaultBrowserActivatableClass|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\Extensions\ContractId\Windows.Launch\PackageId\DefaultBrowser_NOPUBLISHERID\ActivatableClassId\DefaultBrowser.DefaultBrowserActivatableClass|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\Extensions\ContractId\Windows.Protocol\PackageId\DefaultBrowser_NOPUBLISHERID\ActivatableClassId\DefaultBrowser.DefaultBrowserActivatableClass|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\Extensions\ContractId\Windows.Search\PackageId\DefaultBrowser_NOPUBLISHERID\ActivatableClassId\DefaultBrowser.DefaultBrowserActivatableClass|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\ftp\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\http\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\https\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\irc\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\irc\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\mailto\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\mms\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\mms\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\news\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\news\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\nntp\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\nntp\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\sms\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\sms\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\smsto\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\smsto\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\urn\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\urn\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\webcal\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0
DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\webcal\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Uruchom AdwCleaner z opcji Szukaj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner.
 
3. Dostarcz plik Fixlog, raport FRST i Addition.

[Pacjent]

Dzień dobry

 

1.Wykonane

2.Wykonane

3.Wykonane

 

Logi zamieszczam poniżej. Reklamy nadal się pojawiają po kliknięciu czegokolwiek na jakiejkolwiek stronie nie po pierwszym kliknięciu lecz co 2 - 3 kliknięcie.

Fixlog.txt

FRST.txt

AdwCleanerS0.txt

Addition.txt

[Miszel03]

Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść), a następnie wygeneruj nowe raport FRST (FRST, Addition, Shortcut).