Samoczynne otwieranie niechcianych stron & błąd "ta aplikacja została zablokowana"

[p08]

Witam, od wczoraj mam problem z kompem, otwierają mi się jakieś dziwne stronki, do tego nie mogę zainstalować programów typu eset czy malware, ponieważ pojawia się błąd(załącznik) próbowałem kilka metod ale żadna nic nie dała, więc zakładam u Was temat, dodam jeszcze że nie mogę w ogóle włączyć defendera, sam się wyłączył i nie da się go włączyć nie wiem dlaczego, do tego dzisiaj wywaliło mi mozille i automatycznie zainstalowało opere, nie wiem czy to coś da, ale piszę bo dziwna sytuacja

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Sporo infekcji adware. Blokada instalacji antywirusa również jest spowodowana przez te infekcje (została wykorzystana metoda blokowania certyfikatów). Oprócz tego przeglądarka Mozilla FireFox została podmieniona na fałszywą i jej profile - musimy w tym kierunku podjąć sporo kroków.

W ogóle: szybko się z tym uporamy.

Proszę przeczytaj lekturę jak uniknąć podobnych sytuacji w przyszłości: KLIK.
 
1. Przez panel sterowania odinstaluj:

• Programy adware / PUP: YoutubeAdBlock.
• Podejrzane nazwy programów / niezidentyfikowane: eset.
• Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj: Google Update Helper, bo to ogólny aktualizator produktów Google, których Ty nie posiadasz. 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
Task: {4D04664E-D746-4DD6-84B5-4F705E0948E2} - System32\Tasks\DentaCopy Race Contract => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\DentaCopy Race Contract\DentaCopy Race Contract.dll",zaOcqA C:\Program Files\DentaCopy Race Contract
HKLM\...\RunOnce: [DESKTOP-M3GD7NQ] => C:\WINDOWS\TEMP\gC3AD.tmp.exe [212992 2017-10-09] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia R2 SecureIM; C:\ProgramData\SecureIM.exe [2908824 2017-10-08] (Adobe Systems Incorporated) C:\ProgramData\SecureIM.exe
C:\Program Files (x86)\Everness
C:\Users\Adrian\AppData\Local\Everness
C:\Users\Adrian\AppData\Roaming\Everness
C:\Program Files (x86)\Firefox
C:\Users\Adrian\AppData\Local\Firefox
C:\Users\Adrian\AppData\Roaming\Firefox
HKU\S-1-5-21-1123165568-1724948108-1352480687-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Everness\Application\chrome.exe IFEO\DisplaySwitch.exe: [Debugger] 
IFEO\taskmgr.exe: [Debugger] 
2017-10-09 16:54 - 2017-10-09 16:54 - 000245776 _____ (Mozilla) C:\Users\Adrian\Downloads\Firefox Installer.exe
2017-10-09 16:52 - 2017-10-09 16:52 - 000000000 ____D C:\Program Files (x86)\TQoarIXzU
2017-10-09 16:52 - 2017-10-09 16:52 - 000000000 ____D C:\Program Files (x86)\ICBaloCIDxXU2
2017-10-09 16:52 - 2017-10-09 16:52 - 000000000 ____D C:\Program Files (x86)\CKCpTyVyQIE
2017-10-09 16:52 - 2017-10-09 16:52 - 000000000 ____D C:\Program Files (x86)\AvMVIUoBwtUn
2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\Users\Adrian\AppData\Roaming\lp2p5taby2n
2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\Users\Adrian\AppData\Roaming\34ylgubbfdc
2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\Users\Adrian\AppData\Roaming\0gmhtlqkfnc
2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\ProgramData\f8e566b8-7433-0
2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\ProgramData\f8e566b8-0ba1-1
2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\Program Files\R5HMV2S75W
2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\Program Files\2ZR0WTQQ80
C:\ProgramData\Microleaves
C:\Users\Adrian\AppData\Roaming\Microleaves
C:\Program Files (x86)\ShutdownTime
C:\Users\Adrian\AppData\Local\Microsoft\Windows\GameExplorer\{A20033EC-848B-4990-955E-D40CD74FFC50}\PlayTasks\2\Readme.lnk
C:\Users\Adrian\AppData\Local\Microsoft\Windows\GameExplorer\{A20033EC-848B-4990-955E-D40CD74FFC50}\PlayTasks\1\Manual.lnk
C:\Users\Adrian\AppData\Local\Microsoft\Windows\GameExplorer\{A20033EC-848B-4990-955E-D40CD74FFC50}\PlayTasks\0\Play.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PLAY\Warlords Battlecry III\Podręcznik Gracza.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PLAY\Warlords Battlecry III\Warlords Battlecry III.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Warlords Battlecry 3\Uninstall Warlords Battlecry 3.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Warlords Battlecry 3\Warlords Battlecry 3.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Warlords Battlecry 3\Documents\Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Warlords Battlecry 3\Documents\Readme.lnk
DeleteKey: HKCU\Software\Eastness
DeleteKey: HKCU\Software\Firefox
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Eastness
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Adrian\AppData\Local
CMD: dir /a C:\Users\Adrian\AppData\LocalLow
CMD: dir /a C:\Users\Adrian\AppData\Roaming
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 
 
3. Kompleksowo wymień profile w przeglądarce Mozilla FireFox.

• Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj.
• Utracisz wszystko z tej przeglądarek, więc ewentualnie możesz wyeksportować zakładki i ważne linki.
• Ważne, abyś jakąś z przeglądarek ustawił jako domyślną - inaczej nie cofnie się modyfikacja infekcji.

4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).
 

eastness;firefox

 
Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.
 
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[p08]

Wszystkie kroki wykonane, dołączam załączniki

Fixlog.txt

SearchReg.txt

Addition.txt

Shortcut.txt

FRST.txt

[Miszel03]

Lada moment będziemy kończyć. Teraz wdrażam poprawki i usuwam wcześniej pominiętą infekcję. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\Capabilities|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\InstallInfo|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\InstallInfo|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\InstallInfo|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Classes\FirefoxHTML\Application
Task: {62BA5BB4-76E1-459B-996A-0DEFA2F1BDDB} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Adrian\AppData\Roaming\Adobe\Manager.exe [2017-10-08] ()
C:\Users\Adrian\AppData\Roaming\Adobe\Manager.exe
Task: {3D4A3688-51FF-4085-8E86-A80AFC4C139D} - System32\Tasks\Microsoft\Windows\Multimedia\Logon => C:\Users\Adrian\AppData\Roaming\Windows_x64_nheqminer-5c\Zcash.exe
C:\Users\Adrian\Desktop\programy\AC3D.lnk
VirusTotal: C:\Users\Adrian\AppData\Roaming\Windows_x64_nheqminer-5c\Zcash.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 
 
2. Uruchom AdwCleaner z opcji Szukaj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner.
 
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
4. Dołącz plik Fixlog, nowe raporty FRST zbędne.

[p08]

trochę śmiecia się znalazło.

Fixlog.txt

AdwCleanerS0.txt

malwarebytes.txt

[Miszel03]

Większość to odpady, które są niewidoczne z poziomu raportów.

Wszystkie detekcje zarówno w AdwCleaner jak i Malwarebytes daj do kasacji (pomimo, że kilka detekcji jest takich samych w obu programach) i podsumuj obecny stan systemu, napisz czy problem ustąpił itd.

[p08]

Póki co wszystko jest ok, stronki się nie otwierają, programy się instalują, także problem ustąpił dziękuje za pomoc i pozdrawiam

[Miszel03]

OK, miło mi to słyszeć. 

 

Na koniec zastosuj DelFix oraz odpal aktualizacje systemu i ważnych programów.