AdWare.Win32.Agent.hrqg

[Kuba]

Witam,

korzystam z laptopa HP z zainstalowanym systemem Windows 7 Pro x64 oraz Kaspersky Internet Security 2015pl. To właśnie Kaspersky zasygnalizował rootkita, po przeskanowaniu znalazł 1 infekcję i ją usunął.

Po uruchomieniu Firefoxa ładują się jednak niechciane strony (play ollando, pl.aion gameforge, itp) a do tego jeszcze kilka wyskakujących bannerów, które zasłaniają 1/3 ekranu.

Gmera wykonywałem przy wyłączonym Kasperskym ale 3 razy ukazał się komunikat że: "Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces".

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[picasso]

1. Przez Panel sterowania odinstaluj adware, stare wersje i zbędniki: Adobe Flash Player 16 ActiveX, Internet Speed Checker, istartsurf uninstall, Skype Toolbars.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-03-27] (globalUpdate) [File not signed] 
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [493712 2015-03-27] (SysTool PasSame LIMITED) [File not signed]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-360924908-518354685-2704030000-1000\...\Run: [skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms}
HKU\S-1-5-21-360924908-518354685-2704030000-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT
HKU\S-1-5-21-360924908-518354685-2704030000-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms}
BHO: Norton Identity Protection -> {AB4C7833-A6EC-433f-B9FE-6B14B1A2F836} -> C:\Program Files (x86)\Norton Identity Safe\Engine64\2014.7.0.43\coIEPlg.dll No File
BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-03-16] (Thinknice Co. Limited)
Toolbar: HKLM - Norton Identity Safe Toolbar - {A13C2648-91D4-4bf3-BC6D-0079707C4389} - C:\Program Files (x86)\Norton Identity Safe\Engine64\2014.7.0.43\coIEPlg.dll No File
Toolbar: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> Norton Identity Safe Toolbar - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - C:\Program Files (x86)\Norton Identity Safe\Engine64\2014.7.0.43\coIEPlg.dll No File
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT
FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Dana\AppData\Roaming\Mozilla\Firefox\Profiles\iw5dhuwu.default-1395077970526\extensions\searchengine@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Users\Dana\AppData\Roaming\Mozilla\Firefox\Profiles\iw5dhuwu.default-1395077970526\extensions\istart_ffnt@gmail.com
Task: {0ACD2C2B-CFCE-4955-9019-2D551B273218} - System32\Tasks\{7F49692B-F382-42D1-93D1-7F3A6E6A1A00} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar
Task: {36E79571-790F-4DCD-BEBC-03F4678DE48F} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe 
Task: {614C2E0A-6F58-4C35-B5D1-78791B6860BA} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe
Task: {65361B65-E06C-4870-8635-DEBCFF80A580} - System32\Tasks\{F1F8CA6B-BDF6-4ADE-B8A4-D802D0D69C85} => pcalua.exe -a C:\Users\Dana\Downloads\sp37811.exe -d C:\Users\Dana\Downloads
Task: {68189F4D-EC64-414A-BCB3-3B80669244CE} - System32\Tasks\{76ED6E2C-85BF-4787-8534-D6B392F60B40} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar
Task: {6FC76FD5-2CE0-4F82-984F-DD6219570C47} - System32\Tasks\{0D259B92-6D36-478C-8B28-74EAE4CCC2CD} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404
Task: {708C7CBB-AFF5-4EB3-9EC6-C7B44F942CBC} - System32\Tasks\{3B3C6651-0B42-4188-B19C-AE087567C566} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404
Task: {85DDC2BC-57B9-4044-A0D5-EB85FC3B5796} - System32\Tasks\{C11EDAEA-23C6-4D05-8BE4-7F67454BDDA4} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404
Task: {870608BB-780D-4C7D-9D30-38ED3FCB3611} - System32\Tasks\{0861B560-92FA-4F7C-AA26-B1B181EE684E} => C:\Program Files (x86)\Skype\\Phone\Skype.exe
Task: {A9426EC2-FB80-4BDF-A38B-F76BFC43E66E} - System32\Tasks\{F79D4A52-A6E6-45B3-A6DC-97D679F5CAD2} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404
Task: {BA260342-101F-4CD2-A403-34330EA78E70} - System32\Tasks\{C8179842-A8BD-47E0-BF65-23455A025343} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar
Task: {BD5504FC-0A8E-4AB7-AD2A-D6802181481F} - System32\Tasks\{0151A142-AF65-4D01-BF32-01AC1541C7FD} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar
Task: {D0B3D2A8-5E45-42F2-9A85-726143DC5099} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe
Task: {E8BC01A9-A259-434F-AD2B-B5ECA8F40272} - System32\Tasks\{ADA115D4-3DB2-4194-AB3B-997FAD2CE3DD} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:offered-installed;madedefault
Task: {F52B8B44-F692-4FFD-BB31-343470303CFE} - System32\Tasks\{352675B2-0931-423C-851F-F5D4B176660F} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;alreadyoffered
Task: {F94BFA3C-C5BD-4D6A-8570-7CAE15C00615} - System32\Tasks\{EC346AFA-455C-44BD-B66F-AED5516B4C5A} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\Internet Speed Checker
C:\Program Files (x86)\XTab
C:\ProgramData\IHProtectUpDate
C:\ProgramData\WindowsMangerProtect
C:\Users\Dana\AppData\Local\globalUpdate
C:\Users\Dana\AppData\Roaming\istartsurf
C:\Users\Dana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton
C:\Users\Dana\PULPIT\Rózności\Norton Internet Security.lnk
C:\Users\Public\Downloads\Norton
C:\Windows\System32\Tasks\Norton Identity Safe
CMD: for /d %f in (C:\Users\Dana\AppData\Local\{*}) do rd /s /q "%f"
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

• menu Historia > Wyczyść historię przeglądania
• menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Dana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[Kuba]

Wykonane, pliki w załączeniu.

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Większość Fixa wykonana, ale nie wygląda na to, by FRST przetworzył komendę EmptyTemp: - log się kończy w momencie, gdy to zadanie miało być przetworzone. To powtórzymy, ale potem. Nie wygląda też, by Firefox był zresetowany. Kolejna porcja czynności:

 

1. Wykonaj podane wcześniej instrukcje dla Firefox, czyszczenie Historii i reset ustawień.

 

2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

[Kuba]

Firefox, usunięta historia i reset ustawień.

AdwCleaner wykonano szukaj w załączeniu log.

 

AdwCleanerR2.txt

[picasso]

1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj kombinację opcji Szukaj + Usuń. Gdy program ukończy czyszczenie szczątków adware:

 

2. Na wszelki wypadek zrób jeszcze jeden log FRST z opcji Scan (bez Addition i Shortcut), mający potwierdzić stan Firefoxa.

[Kuba]

AdwCleaner wykonane, log z FRST załączam.

FRST.txt

[picasso]

Czy Ty przypadkiem nie zrozumiałeś opacznie moich instrukcji? Zadałam funkcję usuwania adware w AdwCleaner a nie deinstalację AdwCleaner. Wszystko wskazuje na to, że wykonałeś to drugie, bo jest nadal user.js wykrywany w Firefox, zniknął też katalog C:\AdwCleaner. Powtarzaj zadanie z poprzedniego posta.

[Kuba]

Zrozumiałem Cię prawidłowo, błąd popełniłem po przeskanowaniu - zamiast kliknąć "cleaner" kliknąłem "uninstall" dlatego zniknął folder  AdwCleaner a pozostał plik user.js.

Wykonałem wszystkie instrukcje, załączam logi.

AdwCleanerS0.txt

FRST.txt

[picasso]

Akcja wykonana. Ostatni skrypt do FRST:

 

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Dana\Desktop\Stare dane programu Firefox

 

Dostarcz wynikowy fixlog.txt.

[Kuba]

Wykonałem i załączam log.

Fixlog.txt

[picasso]

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[Kuba]

Wykonane. Dziękuję i pozdrawiam.