Zrywanie połączenia w IE + reklamy (maintainer.exe, techgile)

[kronopio]

Witam,
Przed kilkoma dniami postawiłem nowy system, niestety dziś zaczęło zrywać połączenie w IE i pojawiły się "upierdliwe" reklamy oraz nieznana mi ścieżka: "C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe" i program Techgile.

Dziwnym trafem zbiegło się to z faktem zainstalowania przeze mnie w systemie programu do wirtualizacji Returnil System Safe Pro 2011 oraz użycia programu Cameyo.
Kojarząc te fakty usunąłem oba programy (Returnil oraz Techgile) za pomocą Revo uninstallera (czyli wraz z wpisami w rejestrze).

Ścieżka C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe znikneła, jednak nie mam pewności czy coś nie pozostało w systemie, a wiem że moje obawy moga być słuszne. Na razie wygląda na to, że wszystko hula.

BTW co to za plik kisknl.sys?

Poniżej załączam logi:

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

GMER.txtPobieranie informacji ...

[picasso]

  Cytat

Dziwnym trafem zbiegło się to z faktem zainstalowania przeze mnie w systemie programu do wirtualizacji Returnil System Safe Pro 2011 oraz użycia programu Cameyo.

Deinstalacja Returnil nie była potrzebna, program sam w sobie niewinny. Uruchomiłeś coś całkiem innego, objawy wskazują na jedno z dwóch: nieodznaczenie sponsora w którejś instalacji lub użycie portalowego "downloadera" częstującego "bonusami": KLIK. I wg logów czasowo bliżej instalacjom adware do Puran Defrag niż do Returnil, choć to może być mylne wrażenie. Ten Puran owszem od jakiegoś czasu nie ma czystego instalatora i jest wspierany przez adware (należy wszystkiemu "podziękować"). Inne podejrzenie to "Asystent pobierania" dobrychprogramów, widać że conajmniej raz w serwisie byłeś.

 

 

  Cytat

Ścieżka C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe znikneła, jednak nie mam pewności czy coś nie pozostało w systemie, a wiem że moje obawy moga być słuszne. Na razie wygląda na to, że wszystko hula.

Albo dałeś mi nieświeże raporty FRST, albo on się zrekonstruował. Wg FRST maintainer.exe hula w procesach:

 

========================== Services (Whitelisted) =================
 

R2 MaintainerSvc4.29.2173613; C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe [123632 2014-11-19] ()
 

==================== Loaded Modules (whitelisted) =============
 

2014-11-18 14:30 - 2014-11-19 02:49 - 00123632 _____ () C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe

 

I nie tylko to - w systemie działa także aktywny sterownik adware Techgile ({1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys) i to z pewnością on zaburza relacje sieciowe. Poza tym, adware wprowadziło także polityki Google Chrome.

 

 

  Cytat

BTW co to za plik kisknl.sys?

Składnik instalacji Kingsoft Antivirus 2012:

 

R2 kisknl; C:\Windows\system32\drivers\kisknl.sys [165176 2014-11-17] (Kingsoft Corporation)

 

 

 

---

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw; C:\Windows\System32\drivers\{1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys [43152 2014-11-17] (StdLib)
R2 MaintainerSvc4.29.2173613; C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe [123632 2014-11-19] ()
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
C:\Program Files\Temp
C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669
C:\ProgramData\Returnil
C:\Users\rambo\AppData\Roaming\Returnil
C:\Windows\System32\drivers\{1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[kronopio]

  W dniu 19.11.2014 o 03:48, picasso napisał(a):

Puran owszem od jakiegoś czasu nie ma czystego instalatora i jest wspierany przez adware (należy wszystkiemu "podziękować"). Inne podejrzenie to "Asystent pobierania" dobrychprogramów, widać że conajmniej raz w serwisie byłeś.

 

Albo dałeś mi nieświeże raporty FRST, albo on się zrekonstruował. Wg FRST maintainer.exe hula w procesach:

 

Purana nigdy bym nie podejrzewał, a tu jednak... natomiast jeśli chodzi o dobreprogramy.pl itp. nigdy nie korzystam z asystentów ściągania, bo to (jak wspomniałaś) - istna wylęgarnia robactwa. Widocznie Puran cos namieszał (instalator online bez opcji "ptaszkowania")...

Czlowiek broni się jak może przed "syfem" instalatorów uciekając do aplikacji portable, a wystarczy jedna chwila nieuwagi i błędnego zaufania by wpuścić intruza.

 

Co do maintaner.exe, jestem niesamowicie zaskoczony, ponieważ nie tylko się zrekonstruował, ale dodatkowo po usunięciu i restarcie systemu został zmieniony atrybut hidden folderów. Jak zawsze mam wszystko ustawione na widoczne, tak teraz zauważyłem, że po restarcie, system wszystkie foldery z atrybutem hidden po prostu ukrył przed mymi oczyma.

 

 

Poniżej nowe logi. FRST i AdwCleaner wykonali piękne czystki w okowach wroga.

Fixlog.txtPobieranie informacji ...

AdwCleanerR0.txtPobieranie informacji ...

AdwCleanerS0.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

[picasso]

Wszystko zrobione, więc kończymy. Skasuj ręcznie pobrane narzędzia z C:\Users\rambo\Downloads\FIXITPC, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

[kronopio]

Serdeczne podziękowania za pomoc   

Po raz kolejny jestem twoim dłużnikiem.