Y2go, zmieniające się strony, wlanconnect

[Deeway]

Witam, 3 dni temu przez moją nieuwagę ściągnąłem jakiś dziwny plik, zainstalował on program Y2go- nie szło usunąć folderu, NOD32 zaczął wyć na alarm jak oszalały, pousuwał pliki jakieś, ale proces cały czas był w tle. Folder był zabezpieczony, jednak po kilku godzinach walki udało się go usunąć. W przeglądarce zaczęły się zmieniać strony na jakieś ruskie, zaczął wyskakiwać błąd, informujący, że system windows nie może znaleźć pliku WebControl.exe

Pojawił się również program NotePad+ czy coś w tym rodzaju, udało się go od razu usunąć, Obecnie skanowanie ADWcleaner pokazuje jakieś 3 zagrożenia, których nie da się usunąć(logi niżej)

Antimalware znalazł 8 zagrożeń, 6 usunął, przy usuwaniu 2 program się wyłączał, jednak z drobną pomocą znajomego udało się usunąć.

ADWcleaner wykrywa zaplanowanie zadanie- wlanconnect. To z przeglądarek pojawia się po uruchomieniu Chrome.

Co mam zrobić?

 

AdwCleanerS19.txtPobieranie informacji ... GMER.txtPobieranie informacji ... Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ...

[picasso]

  Cytat

ADWcleaner wykrywa zaplanowanie zadanie- wlanconnect. To z przeglądarek pojawia się po uruchomieniu Chrome.

Rozwiń  

 

W raporcie AdwCleaner, który mi pokazałeś nie ma żadnej detekcji "wlanconnect", co potwierdza też skan Harmonogramu zrobiony przez FRST. Chyba miałeś na myśli coś innego, bo wlanconnect tu jest, ale w folderze Startup, i widzi go tylko FRST. Prócz tego widać w systemie poszkodowane przez adware skróty przeglądarek (będą usuwane) i różne odpadki.

 

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Adobe Flash Player 19 NPAPI, Java 8 Update 77 (NPAPI to edycja dla Firefox, którego tu nie ma) oraz Y2Go (o ile to możliwe, bo to szczątek).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
ShortcutWithArgument: C:\Users\szef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
Startup: C:\Users\szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2016-06-14]
Task: {07A8B3FE-E157-4C9C-8C2E-9369B53D96C3} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {12DF5160-AA37-4437-B4EA-8378FBF95CA7} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {132CD984-D83E-4A8C-B680-AF2E52E44FE6} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {18A3F8E1-5B18-4E8A-8803-01E6ACFDB5DD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {2AF08598-B58A-414D-9575-C80E9FD3DCE4} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {308A01BD-D3E2-4561-B2F3-2691ACAFF621} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {3EBDD542-6D68-4EBF-A870-BD10F7719306} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {403E6ADD-6BCC-4151-BBD1-AD632F07C64B} - System32\Tasks\Y2Go\Updater\Y2GoUpdater => C:\Program Files (x86)\Y2GoUpdater\updater.exe
Task: {441740FD-CA28-4FAF-ACA1-41561EA700B0} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {44D8076C-D72E-472B-B9C8-19299B71B564} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {483E8D8B-6E76-4584-B82D-EAE193A90D7F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {49E410DC-4C67-4A44-A319-6B13541AA2FD} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {69BD4826-71A8-4112-8C1A-534BA60326F5} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe
Task: {7CBCA9C2-95C2-4AFE-BEA3-93F38173D3ED} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {862B6D19-689E-4F79-8AA1-3F8F83C5E0CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {87EE9D59-5210-4288-AFBE-1B244AE92572} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {8B161DEB-16CC-4CBF-AA97-5776C4C1F008} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {95172110-1B24-41B8-ACFD-C3A3AB40676F} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe
Task: {9BC99EF8-7768-4701-8F89-C518FFFAF16E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {A85D7188-1982-4636-BA05-6C2065DDE40C} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {AC9D81C8-9BB0-4544-AD88-BEA29AF25672} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {AD236905-01FE-4234-920A-F935EE07E413} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {AF03FF84-7E62-4FDF-AE5C-CC191F2BF1F5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {B347B61D-4A89-4781-B004-D7A4A89A0344} - System32\Tasks\Y2Go\Y2Go\Y2Go => C:\Program Files (x86)\Y2Go\bin\Y2Go.exe
Task: {B9A0E03C-7D14-4F6E-866B-8880461D734D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {C49C678A-63CB-48A3-9402-98284501A7E1} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA
Task: {C4BFEFA4-D381-4A51-B8A0-34B6214CA581} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {D2A0C977-01E2-4E46-A3C9-37E092C19EC9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {D44627F4-F513-49E8-A037-8C7DA7829236} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {D82E6043-F1B5-4AFC-AB62-315EF74713D4} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {E454C2FC-F831-4E18-9361-0670DAEA03CC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {E6C1EF5F-E66E-401F-961A-2AC4590A128D} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {EA3AF552-5978-4E10-B9B6-7A96A8CB463E} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {F58BD1FD-B93E-4EAD-B53C-D9B921D996BC} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {F85E5397-2810-41BB-A601-D99402BC4B73} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {FDE9D01A-0DA2-40BC-A57E-1F14B59620CC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {FF6D002A-78E9-4359-8145-5DFD8F8FA472} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
S3 gusvc; "C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe" [X]
U3 idsvc; Brak ImagePath
HKLM\...\StartupApproved\Run32: => "StartCCC"
HKU\S-1-5-21-1744258245-1269414707-2549313799-1000\...\StartupApproved\Run: => "DAEMON Tools Lite"
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Y2Go
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Y2Go
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
C:\ProgramData\Microsoft\Windows\GameExplorer
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
C:\ProgramData\TEMP
C:\Users\szef\AppData\Local\Microsoft\Windows\GameExplorer\{3897BF0A-4C3A-45B7-B639-4A338F490D10}
C:\Users\szef\AppData\Local\Microsoft\Windows\GameExplorer\{5E08B4A0-0A4D-4A38-94FC-069DAB762A08}
C:\Users\szef\AppData\Roaming\wlanconnect.vbs
C:\Users\szef\AppData\Roaming\DAEMON Tools Lite
C:\Users\szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехplоrеr.lnk
C:\Users\szef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk
C:\Users\szef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk
C:\Users\szef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Gооglе Сhrоmе.lnk
C:\Users\szef\Desktop\Gry\Dying Light.lnk
C:\Users\szef\Desktop\Gry\Far Cry 4.lnk
C:\Users\szef\Desktop\Gry\Grand Theft Auto IV - Episodes From Liberty City.lnk
C:\Users\szef\Desktop\Gry\The Sims 4.lnk
C:\Users\szef\Desktop\programy\DAEMON Tools Lite.lnk
C:\Windows\ehome
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
C:\Windows\System32\Tasks\Y2Go
C:\WINDOWS\SysWOW64\data
Hosts:
RemoveProxy:
StartBatch:
netsh advfirewall reset
type "D:\Muve\Muve Downloader\Launcher.bat"
type "D:\Steam\steam\games\Euro Truck Simulator 2 Multiplayer\launcher.bat"
type D:\TruckersMP\launcher_ets2mp.bat
EndBatch:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Zmień serwery DNS wg instrukcji: KLIK.

 

5. Klawisz z flagą Windows + R > certmgr.msc > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > usuń certyfikat Y2Go.

 

6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

 

[Deeway]

Zaraz się wezmę za te DNSy

 

Jak mam wejść w Zarządzaj połączeniami sieciowymi, na Win10?

 

Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ...

[picasso]

Po lewej klik w Zmień ustawienia karty sieciowej.

 

Prawie wszystko wykonane, ale wymagane poprawki:

 

1. Nie ma oznak wykonania tej operacji:

 

  picasso napisał(a):

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

Rozwiń  

 

Nadal w logu widać strony startowe adware w Chrome.

 

2. Trzeba też usunąć niektóre skróty gier, zostały zmodyfikowane przez adware, by otwierać podejrzaną stronę:

 

start "" /I /B /D"D:\Muve\Muve Downloader\" "D:\Muve\Muve Downloader\Launcher.exe" "http://goodle.su"
start "" /I /B /D"D:\Steam\steam\games\EUROTR~1\" "D:\Steam\steam\games\EUROTR~1\launcher.exe" "http://goodle.su"
start "" /I /B /D"D:\TRUCKE~1\" "D:\TRUCKE~1\LAUNCH~1.EXE" "http://goodle.su"

 

Otwórz Notatnik i wklej w nim:

 

CMD: ipconfig /flushdns
C:\Program Files (x86)\Java
C:\Users\szef\Desktop\Gry\Plаy Еurо Тruсk Simulаtоr 2 Мultiplаyеr.lnk
C:\Users\szef\Desktop\Gry\Еurо Тruсk Simulаtоr 2 Мultiplаyеr.lnk
C:\Users\szef\Desktop\Gry\Мuvе Dоwnlоаdеr.lnk

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

 

PS. Oczywiście odpowiadasz już w nowym poście, nie edytuj poprzedniego.

 

[Deeway]

Wykonane.

 

Fixlog.txtPobieranie informacji ...

[picasso]

Fix FRST wykonany. Natomiast jeśli na pewno tym razem został wykonany reset Chrome, to się upewnij że zniknęły podane wtręty: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > ma być pusta lista.

[Deeway]

Lista jest pusta.

Również adwcleaner nic nie wykrywa.

[picasso]

Czyli zgodnie z planem usunięte. Na koniec zastosuj DelFix, a GMER i jego log dokasuj ręcznie.

 

To wszystko.

[Deeway]

Dziękuję bardzo za pomoc.

 

DelFix.txtPobieranie informacji ...

[picasso]

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt.

 

Temat rozwiązany. Zamykam.