Reklamy - by counterflix
#1
Witam, problemem są wyskakujące banery z reklamami "by counterflix.com"

Nie ma żadnych rozszrzeń w przeglądarce, żadnych nowych programów w panelu sterowania (choć wydaje mi się, że reklamy pojawiły się po pobraniu programu uTorrent z oryginalnej strony"
Skanowany komputer był za pomocą adw cleanera, ESETa, resetowane ustawienia pzreglądarki
+ nie moge użyć z miejsca adw cleanera, musiałem wyłączyć "ustawienia kontroli konta użytkownika" (pasek całkowicie w dół) oraz uruchamiać program poprzez CMD, ponieważ "temu wydawcy zablokowano możliwość uruchomiania oprogramowania na tym komputerze"
Po usunięciu jakiś tam infekcji żaden program nic nei wyszukuje jednak problem pozostał, a w rejestrze grzebać nei zamierzam bez czyjejś pomocy z powodu braku jakichkolwiek umiejętności xd

liczę na pomoc Smile

linki:
Addition.txt - http://www.wklej.org/id/3361330/
FRST.txt - http://www.wklej.org/id/3361331/
Shortcut.txt - http://www.wklej.org/id/3361332/

Pozdrawiam
Odpowiedz
#2
Infekcja znajduje się w zaplanowanych zadaniach. Wprowadziła blokadę programów zabezpieczających w oparciu o funkcje Niezaufanych certyfikatów.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
CloseProcesses:
CreateRestorePoint:
StartBatch:
netsh advfirewall reset
reg export HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates C:\Users\Admin\Desktop\cert.reg
EndBatch:
HKLM\...\Run: [SERVICE] => [X]
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-18\...\RunOnce: [SPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
GroupPolicy: Restriction <==== ATTENTION
S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\autoexec.bat
C:\WinSys
C:\Applications
Task: {103FE4E2-BD41-47E5-BAA9-860616EFB0B7} - \{7A0F0547-0F0C-040E-0411-0C0E0D0F117A} -> No File <==== ATTENTION
Task: {11C8F733-FACC-4A8D-B302-93D37313DEE0} - System32\Tasks\MSI Wrawjet 801N => C:\Windows\system32\rundll32.exe "C:\Program Files\MSI Wrawjet 801N\MSI Wrawjet 801N.dll",goFmnGZxXNb <==== ATTENTION
Task: {860E55A3-5CFE-48FA-BD9A-DA7D3EB12A47} - System32\Tasks\{ED4B43FA-5D43-4A34-A115-BC8BECFD5B77} => C:\Windows\system32\pcalua.exe -a E:\sp58848.exe -d E:\
Task: {CDB51EF2-01C1-4ABB-97E0-51871B22E49D} - System32\Tasks\5A953438-2037-8640-9876-AED69B328823 => C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/0ac6327cdfc9b309 /q" "C:\Users\Admin\AppData\Local\42948B~1\{CE145~1."
Task: {FB720BC3-A7BB-464E-B577-5D15C7A020D9} - System32\Tasks\{93F03288-0213-F2D1-3CAC-BBC502D9EB25} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\b9f7a554\ce145c54.dll" <==== ATTENTION
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\admin\AppData\Local
CMD: dir /a C:\Users\admin\AppData\LocalLow
CMD: dir /a C:\Users\admin\AppData\Roaming
CMD: dir /a E:\
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go. Na pulpicie utworzy się plik cert.reg też go przedstaw.
Odpowiedz
#3
Przepraszam, za tydzień opóźnienia, tutaj logi

fixlog.txt - http://wklej.org/id/3366359/
cert.reg - wydaje mi się, że miałem go włączyć w notatniku, tak też zrobiłem = http://wklej.org/id/3366361/
Odpowiedz
#4
Wydaje mi się jakby ten cert.reg został scalony i wprowadzony do rejestru ponownie.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
Reg: reg delete HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed
Reg: reg add HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed
Reg: reg add HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates
Reg: reg add HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\CRLs
Reg: reg add HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\CTLs

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości