Zainfekowany komputer - new heur, hold page

[ArsAdamant]

Cześć. Uprzejmie proszę o pomoc - mój wiekowy komputer powoli przestaje dawać sobie radę z męczacymi go infekcjami. Od dawna obserwuję znaczące spowolnienie pracy komputera, ale to jest powodowane zawalonym dyskiem twardym, starzejącym się hardwarem i ogólnym bałaganem. Od jakiegoś czasu natomiast pojawiają się poważniejsze "choroby", z którymi samodzielnie niestety nie daję sobie rady.

 

Problemy, które występują/występowały:

1. Padające łącze internetowe, które uniemożliwiało dostęp do sieci wszystkim komputerom do niej podłączonym. Pomogła deinstalacja sterowników karty sieciowej i rozpoczęcie używania adaptera wi-fi. Mimo to, później przez jakiś czas komputer wciąż rozłączał się z siecią. Ostatnio jednak problem ustapił, stąd piszę o tym tylko informacyjnie.

2. Mozilla firefox: po pierwsze, przeglądarka bardzo "muli". Zgaduję, że jest to powodowane adwarem "hold page". Przy wielu uruchamianych stronach wyświetlała się reklama na cały ekran, niemożliwa do wyłączenia, z podpisem "ads by hold page". Dodatkowo, przy każdym starcie firefoxa wskakiwała na sekundę ikonka pobierania, a w folderze pobrane pojawiał się plik "FreeMp3WmaConverter_downloader-Qdi26KYel". Klikanie na ikonę pobierania nie powodowało otwarcia okna pobierania, po prostu nie działo się nic. 

3. Dodatkowo, przy próbach pobrania programów do diagnostyki (FRST, OTL) lub innych antywirusowych, ESET Smart Security blokował pobrane pliki i poddawał je kwarantannie, wyświetlając komunikat o "nieznanym wirusie NewHeur_PE".

 

"C:\Users\Bartek\Desktop\Pobrane\AdwCleaner.exe.part » AUTOIT » C:\Users\Matthieu\Documents\dev\AdwCleaner\AdwQuarantine.exe - prawdopodobnie nieznany wirus NewHeur_PE wirus [7] - był częścią usuniętego obiektu"

 

Próby podjęte w celu wyeliminowania problemu:

 

1. Skany za pomoca programów i poddanie kwarantannie/usunięciu plików, które program wskazywał jako zainfekowane.

• IObit Malware Fighter
• Malwarebytes Anti-Malware
• ESET Smart Security
• AdwCleaner

Stan na chwilę obecną:

 

1. Deinstaluję niepotrzebne programy, w tym część "podejrzanych".

2. Deinstaluję przeglądarkę Mozilla Firefox. Na tę chwilę, w niejasny sposób problemy wymienione wcześniej zniknęły - nie ma reklam page hold, sama przeglądarka natomiast jest b. powolna w działaniu. Przy jej starcie nie uruchamia się też pobieranie, okno pobierania znów mozna uruchomić. Podejrzane pliki "FreeMP3" zostały usunięte. 

3. Tymczasowo dezaktywowałem zaporę ESET, pobrałem programy i zrobiłem logi. Uruchomiłem zaporę ponownie.

4. Komunikaty o wirusie New_Heur tymczasowo się nie pojawiają. 

 

Zaznaczam, że mój komputer jest zaniedbany. Sprzęt ma prawie dziesięć lat, na HDD zapełnione jest 470gb z 500 dostępnych, niestety dysk podzielony jest pomiędzy dwie partycje, stąd na systemowej jest 200gb danych - programów, muzyki, filmów. Dyski były defragmentowane, przez ostatnie lata działał też antywirus - wyżej wymiony ESET. Komputer za parę miesięcy będzie wymieniany na nowy, zależy mi na zachowaniu większej częśći danych. Chciałbym w tym momencie zadbać o jego "zdrowie", to znaczy możliwie dokładnie przeskanować wszystkie zakamarki, tak, by ewentualnych wirusów i nieprawidłowości nie przerzucić później na nowy komputer. 

Jeżeli brakuje jeszcze jakichkolwiek informacji, udzielę najdokładniejszej odpowiedzi, jakiej tylko potrafię. Proszę mnie tylko nakierować na konkretne działania.

Dodaję wszystkie logi. Uprzejmie proszę o sprawdzenie ich, bo tak naprawdę nie wiem do końca, jakie nieprawidłowości mogą występować w moim systemie.

 

Pozdrawiam i z góry dziękuję,
Bartosz.

 

Checkup.txt:

 

Results of screen317's Security Check version 0.99.93
Windows 7 x86 (UAC is disabled!)
Out of date service pack!!
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
CCleaner
Java 6 Update 26
Java 7 Update 55
Java version 32-bit out of Date!
Adobe Flash Player 16.0.0.235
Adobe Reader XI
Mozilla Firefox (34.0)
Mozilla Thunderbird (31.3.0)
````````Process Check: objlist.exe by Laurent````````
ESET NOD32 Antivirus egui.exe
ESET NOD32 Antivirus ekrn.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````
 

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

gmer.txt

[picasso]

1. Skany za pomoca programów i poddanie kwarantannie/usunięciu plików, które program wskazywał jako zainfekowane.

IObit Malware Fighter

Malwarebytes Anti-Malware

ESET Smart Security

AdwCleaner

- IObit Malware Fighter: Zdecydowanie nie polecam. IOBit to nie jest marka godna pełnego zaufania: KLIK. Adware w instalatorach, podejrzane związki partnerskie i dziwne praktyki, w przeszłości złapani na kradzieży bazy danych MBAM. Po tej ostatniej aferze wszystkie zachodnie fora typu "Security" stosują ostrzeżenia do użytkowników używających jakiekolwiek produkty IOBit. Użytkownik sam podejmuje oczywiście decyzję, czy zostawia te instalacje. One są "legalne" i nie można tego podważyć, ale producent wątpliwy, należy rozważyć czy mu dowierzasz.

- AdwCleaner: - zaprezentuj wszystkie logi z folderu C:\AdwCleaner.

 

 

Stan na chwilę obecną:

 

1. Deinstaluję niepotrzebne programy, w tym część "podejrzanych".

2. Deinstaluję przeglądarkę Mozilla Firefox. Na tę chwilę, w niejasny sposób problemy wymienione wcześniej zniknęły - nie ma reklam page hold, sama przeglądarka natomiast jest b. powolna w działaniu. Przy jej starcie nie uruchamia się też pobieranie, okno pobierania znów mozna uruchomić. Podejrzane pliki "FreeMP3" zostały usunięte.

3. Tymczasowo dezaktywowałem zaporę ESET, pobrałem programy i zrobiłem logi. Uruchomiłem zaporę ponownie.

4. Komunikaty o wirusie New_Heur tymczasowo się nie pojawiają.

"Deinstaluję" oznacza dopiero zamiar, czy czas przeszły i logi już mają to przedstawiać? Wg logów adware w Firefox siedzi nadal: Hold Page 1.0.1 + FoxxIt-B. Trzymam się podanych raportów zakładając, że to stan po wszystkich opisanych działaniach i żadne inne nie zostały podjęte po. Na tej podstawie czyszczenie odpadków adware oraz innych (w tym puste skróty różnych programów - wpisy typu (No File) z Shortcut):

 

 

1. Odinstaluj stare dziurawe wersje: Adobe Flash Player 12 ActiveX, Java 7 Update 55, Java™ 6 Update 26.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
ShortcutWithArgument: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408459294&from=smt&uid=SAMSUNGXHD502HI_S1VZJ9BZC08744
ShortcutWithArgument: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408459294&from=smt&uid=SAMSUNGXHD502HI_S1VZJ9BZC08744
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-3105551624-3281779802-1797148407-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
SearchScopes: HKU\S-1-5-21-3105551624-3281779802-1797148407-1001 -> {54521799-693E-4BD8-B4CC-F2FD6CFB30C6} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms}
SearchScopes: HKU\S-1-5-21-3105551624-3281779802-1797148407-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Plugin HKU\S-1-5-21-3105551624-3281779802-1797148407-1001: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
HKU\S-1-5-21-3105551624-3281779802-1797148407-1001\...\Run: [VidSpeak] => [X]
HKU\S-1-5-21-3105551624-3281779802-1797148407-1001\...\Run: [AdobeBridge] => [X]
Task: {09CA2359-29D5-4D92-936B-F5C51A128509} - System32\Tasks\YTAUpdate => C:\PROGRA~1\YouTube 
Task: {936F951D-7F17-46A5-9708-870026B6EB72} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files\IObit\Game Booster 3\AutoUpdate.exe
Task: {AF5E9090-51BA-4AB4-B476-0801C71B7B2D} - System32\Tasks\{105F7530-8BDE-4D7E-AEF9-9FB9962FB82A} => pcalua.exe -a "C:\Program Files\NETGEAR\WNA1000M\InstallSvc.exe" -d "C:\Program Files\NETGEAR\WNA1000M"
Task: {FCFDC6C3-D862-4BA8-BA94-4FAE44053A67} - \SPBIW_UpdateTask_Time_333239353831393234332d3437415a556c2a3223346c41 No Task File 
S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X]
R4 RegFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\win7_x86\regfilter.sys [X]
S3 RTL8192cu; system32\DRIVERS\RTL8192cu.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
S3 WinRing0_1_2_0; \??\C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X]
C:\Program Files\Free mp3 Wma Converter
C:\Program Files\Freemake
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\ProgramData\hash.dat
C:\ProgramData\AVAST Software
C:\ProgramData\Freemake
C:\ProgramData\McAfee
C:\ProgramData\McAfee Security Scan
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3d Girlz Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MixPad Audio Mixer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Tone Generator.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3D SexVilla 2 - Everlust + Addons
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CodeBlocks
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fiszki mp3 aktywny trening
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE
C:\Users\Bartek\AppData\Local\*.exe
C:\Users\Bartek\AppData\Local\nsy36FC.tmp
C:\Users\Bartek\AppData\Local\Google\Chrome
C:\Users\Bartek\AppData\Roaming\temp.ini
C:\Users\Bartek\AppData\Roaming\Ashampoo
C:\Users\Bartek\AppData\Roaming\avidemux
C:\Users\Bartek\AppData\Roaming\DAEMON Tools Lite
C:\Users\Bartek\AppData\Roaming\DarkWave Studio
C:\Users\Bartek\AppData\Roaming\DVDVideoSoft
C:\Users\Bartek\AppData\Roaming\FreeAudioPack
C:\Users\Bartek\AppData\Roaming\iFunbox_UserCache
C:\Users\Bartek\AppData\Roaming\F-Secure
C:\Users\Bartek\AppData\Roaming\Greyfirst
C:\Users\Bartek\AppData\Roaming\Kalypso Media
C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V4.6.lnk
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Free mp3 Wma Converter.lnk
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkWave Studio
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LIMBO
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk
C:\Users\Bartek\AppData\Roaming\Might & Magic Heroes VI
C:\Users\Bartek\AppData\Roaming\Mount&Blade Warband
C:\Users\Bartek\AppData\Roaming\Polynomial
C:\Users\Bartek\AppData\Roaming\REAPER
C:\Users\Bartek\AppData\Roaming\redsn0w
C:\Users\Bartek\AppData\Roaming\Softinterface, Inc
C:\Users\Bartek\AppData\Roaming\Thinstall
C:\Users\Bartek\AppData\Roaming\Unity
C:\Users\Bartek\AppData\Roaming\WebTest
C:\Users\Bartek\Desktop\Programy\Adobe Reader 9.lnk
C:\Users\Bartek\Desktop\Programy\Advanced SystemCare 6.lnk
C:\Users\Bartek\Desktop\Programy\Anki.lnk
C:\Users\Bartek\Desktop\Programy\Ashampoo Burning Studio 2010 Advanced.lnk
C:\Users\Bartek\Desktop\Programy\Chmura Osobista.lnk
C:\Users\Bartek\Desktop\Programy\CodeBlocks.lnk
C:\Users\Bartek\Desktop\Programy\DAEMON Tools Lite.lnk
C:\Users\Bartek\Desktop\Programy\DVDVideoSoft Free Studio.lnk
C:\Users\Bartek\Desktop\Programy\foobar2000.lnk
C:\Users\Bartek\Desktop\Programy\Free YouTube Download.lnk
C:\Users\Bartek\Desktop\Programy\Free YouTube to MP3 Converter.lnk
C:\Users\Bartek\Desktop\Programy\Freemake Video Downloader.lnk
C:\Users\Bartek\Desktop\Programy\Game Booster 3.lnk
C:\Users\Bartek\Desktop\Programy\iFunbox.lnk
C:\Users\Bartek\Desktop\Programy\IObit Malware Fighter.lnk
C:\Users\Bartek\Desktop\Programy\iTunes.lnk
C:\Users\Bartek\Desktop\Programy\Last.fm.lnk
C:\Users\Bartek\Desktop\Programy\NCH Tone Generator.lnk
C:\Users\Bartek\Desktop\Programy\Nexus Mod Manager.lnk
C:\Users\Bartek\Desktop\Programy\Prawo Jazdy ABCDT - egzamin wewnętrzny.lnk
C:\Users\Bartek\Desktop\Programy\REAPER.lnk
C:\Users\Bartek\Desktop\Programy\Skrzyżowania.lnk
C:\Users\Bartek\Desktop\Programy\Skype.lnk
C:\Users\Bartek\Desktop\Programy\Smart Defrag 2.lnk
C:\Users\Bartek\Desktop\Programy\Steam.lnk
C:\Users\Bartek\Desktop\Programy\Uninstaller.lnk
C:\Users\Bartek\Desktop\Programy\Uplay.lnk
C:\Users\Bartek\Desktop\Programy\Tor Browser\Tor Browser.exe — skrót.lnk
C:\Users\Bartek\Desktop\Programy\Lektoring\MixPad Audio Mixer.lnk
C:\Users\Bartek\Desktop\Programy\Lektoring\WavePad Sound Editor.lnk
C:\Users\Bartek\Desktop\Gry\Risen 3 - Titan Lords.lnk
C:\Users\Bartek\Desktop\Gry\The Sims 3.lnk
C:\Users\Bartek\Desktop\Gry\Total War Rome II.lnk
C:\Users\UpdatusUser\Desktop\*.lnk
C:\Windows\patsearch.bin
C:\Windows\system32\mp3tagv265asetup.exe
C:\Windows\system32\Drivers\Msft_Kernel_webinstrNewH_01009.Wdf
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YouTube Accelerator" /f
Reg: reg delete HKU\S-1-5-21-3105551624-3281779802-1797148407-1001_Classes\CLSID /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Bartek\AppData\Local
CMD: dir /a C:\Users\Bartek\AppData\LocalLow
CMD: dir /a C:\Users\Bartek\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Firefox w Rozszerzeniach odinstaluj adware FoxxIt-B, Hold Page 1.0.1.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[ArsAdamant]

Dzięki za szybką odpowiedź. Odpowiadam dopiero teraz, bo trzeba było 8 godzin na przeskanowanie 200gb partycji, by uzyskać log GMER. Załączam go przy tym oraz przy pierwszym poście.
 

- AdwCleaner: - zaprezentuj wszystkie logi z folderu C:\AdwCleaner.

 

Załączam wszystkie logi AdwCleanera. Jest ich trochę, bo korzystałem z tego narzędzia wielokrotnie przy samodzielnym radzeniu sobie z mniej natarczywym infekcjami. Jesli ma to znaczenie, to kiedyś (miesiące, lub lata temu) używałem też ComboFixa. Nie robiłem tego jednak przy omawianym tutaj problemie, ani w ogóle w ostatnim czasie. IObit został usunięty wraz z większością programów, których powodu istnienia na moim dysku nie kojarzyłem. Dzięki za ostrzeżenie.

 

"Deinstaluję" oznacza dopiero zamiar, czy czas przeszły i logi już mają to przedstawiać? Wg logów adware w Firefox siedzi nadal: Hold Page 1.0.1 + FoxxIt-B. Trzymam się podanych raportów zakładając, że to stan po wszystkich opisanych działaniach i żadne inne nie zostały podjęte po. Na tej podstawie czyszczenie odpadków adware oraz innych (w tym puste skróty różnych programów - wpisy typu (No File) z Shortcut):

 

To mój błąd, logi były sprzed dezinstalacji Firefoxa. Po utworzeniu tego tematu zainstalowałem tę przeglądarkę ponownie, okazało się, że wszystkie moje preferencje, wtyczki i dodatki zostały, stąd musiałem też usunąć Hold Page i FoxxIt-B. Zrobiłem to. Przy uruchamianiu Mozilli wciąż przeskakuje ikonka pobierania, ale nie pojawiają się już żadne pliki w folderze "pobrane".

 

 

1. Odinstaluj stare dziurawe wersje: Adobe Flash Player 12 ActiveX, Java 7 Update 55, Java 6 Update 26.
2. Otwórz Notatnik i wklej w nim: (kod)
3. W Firefox w Rozszerzeniach odinstaluj adware FoxxIt-B, Hold Page 1.0.1.
4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

Odinstalowałem programy z punktu pierwszego. Wykonałem fix w FRST. Załączam wskazane logi.

Uprzejmie dziękuję za udzielaną pomoc, czekam na dalsze instrukcje i informacje.
 

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerR2.txt

AdwCleanerR3.txt

AdwCleanerR4.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

AdwCleanerS3.txt

Fixlog.txt

FRST.txt

gmer.txt

[picasso]

IObit został usunięty wraz z większością programów, których powodu istnienia na moim dysku nie kojarzyłem.

W podanym nowym raporcie nadal widać sterownik IOBit Protected Folder. I jeśli deinstalowałeś coś więcej niż było omawiane, to podaj nowy log FRST Addition.

 

 

To mój błąd, logi były sprzed dezinstalacji Firefoxa. Po utworzeniu tego tematu zainstalowałem tę przeglądarkę ponownie, okazało się, że wszystkie moje preferencje, wtyczki i dodatki zostały, stąd musiałem też usunąć Hold Page i FoxxIt-B. Zrobiłem to. Przy uruchamianiu Mozilli wciąż przeskakuje ikonka pobierania, ale nie pojawiają się już żadne pliki w folderze "pobrane".

Odinstalowałeś Firefox omijając usuwanie profilu (deinstalator zadaje pytanie czy "usuwać dane użytkownika"), a wtyczki na poziomie rejestru w ogóle nie są usuwane deinstalacją Firefox. Jeśli chcesz przeładować Firefox całkowicie zera, to zestaw instrukcji podam.

[ArsAdamant]

W załączniku podaję nowy log addition.

Firefox po odinstalowaniu zbędnych dodatków stoi w miarę stabilnie i bezawaryjnie.

 

 

Addition.txt