Problem z liveadexchanger

[pjeruk]

Witam, przy instalacji programów niestety natknąłem się na jakiegoś wirusa i od tego czasu mam problem z licznymi przekierowywaniami(21.08) do różnych dziwnych stron, głownie reklamy itd. Malwarebytes skutecznie je blokuje, ale tak czy siak pasowałoby się tego pozbyć. ADWCleaner pokazuje ciągle jedno wykryte zagrożenie lecz niestety nie jest wstanie go usunąć. Próbowałem reinstalować chroma i zresetować ustawienia, ale to również nic nie dało. Dołączam logi i proszę o pomoc. 

 

Edit. Dodam że przekierowywania również występują w przeglądarce na steamie, może to coś pomoże.

 

FRST.txt

Addition.txt

AdwCleanerC5.txt

[jessica]

1. Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

RemoveDirectory: C:\Program Files (x86)\YeaDesktop
RemoveDirectory: C:\Users\Pjeruk\AppData\Local\Microsoft\TaskPlay
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> No File
ContextMenuHandlers6: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> No File
Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> No File <==== ATTENTION
Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> No File <==== ATTENTION
Task: {2077CDFB-E983-411A-8871-4DDFB24CC787} - System32\Tasks\{E2A0D7B5-CF6E-4195-B01B-D74E5B0FE54F} => C:\Windows\system32\pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_17_0_0_190_Plugin.exe -c -maintain plugin
Task: {385F5F17-E35F-439F-9DF7-035027BBB4AA} - System32\Tasks\{24EC6635-04CA-4656-80A2-7CAB131AD7A9} => rundll32.exe "C:\Users\Pjeruk\AppData\Local\Microsoft\TaskPlay\caches.dat",StaticCache
Task: {3C270B3F-5352-4087-8358-ED05DAC987C7} - System32\Tasks\{AFC2BF7D-BB52-42AC-8505-CCEE0D465A8B} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\YeaDesktop\BearUnInstall.exe"
Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> No File <==== ATTENTION
Task: {7D36B294-0D88-4C3E-AE11-3DFFF696AC29} - System32\Tasks\{397B38DA-E238-4411-BC57-76FF4C675DFD} => C:\Windows\system32\pcalua.exe -a C:\Users\Pjeruk\Downloads\ignition\ignition\SETUP.EXE -d C:\Users\Pjeruk\Downloads\ignition\ignition
Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> No File <==== ATTENTION
Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> No File <==== ATTENTION
Task: {E3276ECC-7EE2-4052-A1F2-C90E45DDC56E} - System32\Tasks\{AFD8786D-F746-46B2-B6AE-1A6F1CCDA72C} => C:\Windows\system32\pcalua.exe -a "E:\Gta\SA-MP - San Andreas Multiplayer 0.3.7 [1].exe" -d E:\Gta
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2017-08-21 18:00 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\zla0nz04gh4
2017-08-21 17:59 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\hpnqo1wlfs3
2017-08-21 17:58 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\czbgr5tkqlz
2017-08-21 17:58 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\a4e3exeydm5
2017-08-21 17:58 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\50apdqtiqzb
2017-08-21 17:55 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\itf05c12nqx
2017-08-21 17:55 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\iceyupgb4st
2017-08-21 17:55 - 2017-08-21 18:34 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\5umud1luvqv
2017-08-21 17:55 - 2017-08-21 16:39 - 001954304 ___SH (Micrasaft Carparation) C:\Windows\C_iRUX.dat
2017-08-21 17:54 - 2017-08-21 17:55 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\chroma
2017-08-21 17:30 - 2017-08-21 17:30 - 000140800 _____ C:\Users\Pjeruk\AppData\Local\installer.dat
2017-08-06 17:54 - 2017-08-06 17:54 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\baidu
2017-08-06 17:54 - 2017-08-06 17:54 - 000000000 ____D C:\Users\Pjeruk\AppData\Roaming\360se6
2015-10-06 19:06 - 2015-10-06 19:06 - 000000057 _____ () C:\ProgramData\Ament.ini
HOSTS:
EmptyTemp:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

 

2. Zrób nowe logi FRST - przed skanem zaznacz: Additional.txt Shortcut.txt,

 

jessi

[pjeruk]

Dziękuję za szybko odpowiedź, w załączniku nowe logi.

 

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

FF Plugin-x32: @haitao.com/npHaitaoPlugin -> C:\Users\Pjeruk\AppData\Local\htyh\application\htwebHelper.dll [No File]
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Wg mnie - powinno już być OK.

 

jessi

[pjeruk]

Niestety przekierowywania dalej występują zarówno w przeglądarce jak i na steamie. ADWCleaner ciągle znajduje ten sam plik oraz rejestr.
 

AdwCleanerC0.txt

RaportMalwarebytes.txt

[jessica]

Deleted: [Data] - HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces| [208.67.222.222,208.67.220.220]

 

To są OpenDNS. Ale rzeczywiście u Ciebie nie są potrzebne, bo korzystasz z 192.168.0.1 - 192.168.0.2

 

 

1. Uruchom FRST. W polu Szukaj wklej:

 

liveadexchanger.com

Kliknij na przycisk Szukaj Plików. Raport z tego będzie tam, gdzie jest FRST.

2. Uruchom FRST. W polu Szukaj wklej:

 

liveadexchanger

Kliknij na przycisk Szukaj w Rejestrze. Raport z tego będzie tam, gdzie jest FRST.

 

 

jessi

[picasso]

Skoro problem jest zarówno w Chrome jak i Steam, to przyczyna nie jest w obszarze przeglądarki i być może właśnie DNS i/lub jego bufor to clou. A Firefox tu w ogóle nie jest zainstalowany, więc Fix z posta #4 nie miał żadnego znaczenia.

 

Kolejna sprawa to dużo domyślnych usług Windows bez podpisu cyfrowego:

 

S3 AxInstSV; C:\Windows\System32\AxInstSV.dll [111104 2014-10-29] (Microsoft Corporation) [File not signed]
S3 EFS; C:\Windows\system32\efssvc.dll [41472 2014-10-29] (Microsoft Corporation) [File not signed]
S3 fhsvc; C:\Windows\system32\fhsvc.dll [121856 2014-10-29] (Microsoft Corporation) [File not signed]
S4 SCardSvr; C:\Windows\System32\SCardSvr.dll [194048 2014-10-29] (Microsoft Corporation) [File not signed]
S3 ScDeviceEnum; C:\Windows\System32\ScDeviceEnum.dll [131072 2014-10-29] (Microsoft Corporation) [File not signed]
S3 SCPolicySvc; C:\Windows\System32\certprop.dll [156160 2014-10-29] (Microsoft Corporation) [File not signed]
R2 Winmgmt; C:\Windows\system32\wbem\WMIsvc.dll [230400 2014-10-29] (Microsoft Corporation) [File not signed]
S3 WinRM; C:\Windows\system32\WsmSvc.dll [2608640 2014-10-29] (Microsoft Corporation) [File not signed]
S3 wlidsvc; C:\Windows\system32\wlidsvc.dll [1639424 2014-10-29] (Microsoft Corporation) [File not signed]
S3 wmiApSrv; C:\Windows\system32\wbem\WmiApSrv.exe [201728 2014-10-29] (Microsoft Corporation) [File not signed]

 

 

1. Z klawiatury klawisz z flagą Windows + X > Połączenia sieciowe > Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na połączenie > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

 

2. Z klawiatury klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep komendę sfc /scannow i ENTER. Gdy skan zostanie ukończony:

 

3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

StartBatch:
ipconfig /flushdns
netsh advfirewall reset
findstr /c:"[SR]" %windir%\logs\cbs\cbs.log
EndBatch:
StartRegedit:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"DisplayName"="@ieframe.dll,-12512"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
EndRegedit:
BootExecute: sdnclean64.exe
SearchScopes: HKLM-x32 -> DefaultScope value is missing
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
ContextMenuHandlers2: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
HKLM\...\StartupApproved\Run32: => "HP Software Update"
HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui"
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Pjeruk\AppData\Local\Mozilla
C:\Users\Pjeruk\AppData\Roaming\Mozilla
C:\Windows\System32\config\systemprofile\appdata\local\installationconfiguration.xml
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart Przedstaw wynikowy fixlog.txt. I wypowiedz się czy problem przekierowań nadal występuje.