VIDSqaure z historią

[MariuszM]

Witam,

 

Zaczęło się od programu Super Video Converter, zachciało mi się go użyć a starsza wersja wygasła, podrałem nową "z dodatkami".

Większość została zablokowana przez Pandę, od pierwszego komunikatu o wirusach próbowałem zrezygnować z instalacji.

Vidsqare odinstalowany z panelu sterowania.

 

W efekcie Opera i Chrome stały się bezużyteczne, FireFox nie odniósł żadnych obrażeń. Plus komunikat o błędzie w mshtml.tlb

Opera wersja najnowsza

 

Chrome
Podczas sprawdzania dostępności aktualizacji wystąpił błąd: Nie udało się uruchomić sprawdzania aktualizacji (kod błędu 3: 0x80080005 -- system level).
Więcej informacji
Wersja 65.0.3325.181 (Oficjalna wersja) (64-bitowa)

Firefox
wersja 42.0 (ze względu na java i roboform)

 

Zanim dotarłem do FixItPC użyłem ComboFix. Oraz Wise Disk Cleaner v8 regulanie uruchamiany.

 

Przez dwa dni (sob-niedz) odinstalowano Operę i zainstalowano i odinstalowano, efekty vidsqaure widoczne w obu (Opera i Chrome).

 

Mamy poniedziałek, załączam dzisiejsze logi FRST, piątkowy Combofix, i stwierdzam że nie ładują się okienka vidsqaure jakby zgasili "usługę".

Myślę, że mam nadal problem i proszę o pomoc.

 

Korekta: są jakieś niewidzialne treści, efekt jest dopiero po kliknięcu - przekierowania do "innych" stron.

FRST.txt

Addition.txt

ComboFix.txt

[Rucek]

Cześć,
Brakuje jednego raportu z FRST - zasady działu - uzupełnij proszę.
Co do używania ComboFix to tutaj masz informacje, dlaczego lepiej nie używać: KLIK.

[MariuszM]

Dziękuję za podpowiedź.

 

Uzupełniam brakujący plik. Komplet logów z FRST.

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Firefox

wersja 42.0 (ze względu na java i roboform)

 

W kwestii bezpieczeństwa: sugerowałbym jednak używać innej, najnowszej przeglądarki (np. Google Chrome). Korzystanie z nieaktualnej przeglądarki to proszenie się o kłopoty. 

 

---

 

W raportach widać pozostałości po adware / PUP, którymi będziemy się teraz zajmować. Przy okazji posprzątam resztki po oprogramowaniu / martwe wpisy (zostaną także wyczyszczone lokalizacje tymczasowe, w tym kosz). 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Task: {005B4961-582E-4BB6-B645-FA065B776982} - Brak ścieżki do pliku
Task: {376A300C-A60B-40F4-B799-DB5DA12BC243} - \MSIAfterburner -> Brak pliku 
Task: {92554D20-F20A-4BE3-8C10-D3787A9B0774} - \{523CA314-9AD8-4869-92FA-B1C56B5D350B} -> Brak pliku 
Task: {999ED828-DDDB-4BCE-894A-D21DA21273B0} - \{60CA33C0-3D3C-46E1-914F-A1198AA6DC76} -> Brak pliku 
Task: {BE6C77CD-8591-4B2B-973F-4AED9F317847} - \{9D8824BD-9D7D-437C-9111-FAF30F1702A4} -> Brak pliku 
Task: {F163A557-1C18-4A84-A731-5581D77AAA1E} - \Run RoboForm TaskBar Icon -> Brak pliku 
Task: {B0506A1B-1651-464B-AA0B-86293169C43A} - \Run RoboForm Process -> Brak pliku 
GroupPolicyScripts: Ograniczenia 
FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => nie znaleziono
S2 wCpYx9gGumUX Updater; C:\Program Files (x86)\wCpYx9gGumUX Updater\wCpYx9gGumUX Updater.exe [X]
S3 catchme; \??\C:\ComboFix2018\catchme.sys [X]
S2 SSPORT; \??\C:\Windows\system32\Drivers\SSPORT.sys [X]
File: C:\Program Files (x86)\Common Files\kyOWYuA.exe
VirusTotal: C:\Program Files (x86)\Common Files\kyOWYuA.exe
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Domek\AppData\Local
CMD: dir /a C:\Users\Domek\AppData\LocalLow
CMD: dir /a C:\Users\Domek\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zgłaszasz problemy z aktualizacją Google Chrome, a dodatkowo ja w raportach widzę w niej infekcje adware / PUP. Klaruje się tutaj kompleksowa reinstalacja:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

3. Wyczyść przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. 

 

Plus komunikat o błędzie w mshtml.tlb

 

Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows.

[MariuszM]

fixlog.txt po wykonaniu skryptu

chrome jeszcze nie dotykam, może podjęte działania poprawiąsytuację, jeśli nie to zastosuję zalecenie

mwb.txt raport

sfc.txt filtrowany

FRST dwa pliki raportu

Dziękuję,

czekam na diagnozę pośrednią.

Fixlog.txt

mwb.txt

sfc.txt

FRST.txt

Addition.txt

Edytowane 2 Maja 2018 przez Rucek

[Miszel03]

Skan Integralności nie odnalazł naruszeń, czy komunikat błędu związany z mshtml.tlb nadal się pojawia?

 

chrome jeszcze nie dotykam, może podjęte działania poprawiąsytuację, jeśli nie to zastosuję zalecenie

 

W przeglądarce Google Chrome widać adware modyfikujące preferencje i wstawiające szkodliwe rozszerzenie (PUP.Optional.QuickSearcher.Generic). Na przyszłość: proszę wykonywać moje instrukcję jeden do jednego. 

 

Wstępnie zagrożenia wykryte przez Malwarebytes daj do kasacji - jeśli Google Chrome nie ulegnie poprawie to wykonaj reinstalacje. 

 

Po tych operacjach dostarcz końcowy zestaw raportów FRST w celu oceny.

[MariuszM]

Chrome został wyczyszczony (reset ustawień) i zainstalowano najnowszą wersję.

 

Malwarebytes zgłosił ostatnio (chrome_obrazek.JPG) przy wejściu na pierwszy link po wyszukaniu "intel ingres", dziś wcho na stronę bez alarmów.

 

Załączam pliki logów:
 

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Ponawiam pytanie:
 

Skan Integralności nie odnalazł naruszeń, czy komunikat błędu związany z mshtml.tlb nadal się pojawia?

Malwarebytes zgłosił ostatnio (chrome_obrazek.JPG) przy wejściu na pierwszy link po wyszukaniu "intel ingres", dziś wcho na stronę bez alarmów.

 

Ale rozumiem, że została wykonana kasacja wcześniej wykrytych elementów w skanie? 

---

Raporty wyglądają już w porządku. 
 
Napisz proszę jak podsumowujesz obecną sytuację i czy możemy przejść do kroków finalizujących?

[MariuszM]

Tak to co zgłosił Malwarebytes, wyczyszczono.

 

mshtml.tlb, komunikat nie pojawił się ponownie,

Nie pokazały się nowe komunikaty. Nic nie przeszkadzało w oglądaniu stron przez ostatnie 4-5 dni.

 

Od nowa instalowane Opera i Chrome z czyszczeniem danych.

 

Zbliżamy się do końca, słucham.