Ruski toolbar, niechciane aplikacje i dziwne zachowania

[ShadyYo]

Od wczoraj mam problem ponieważ zdaje się po zainstalowaniu jakiejś aplikacji, zainstalowało mi się również kilka innych, ruskich programików... a także toolbar w przeglądarce i zmieniona strona startowa. Wszystkie usunąłem z Dodaj / Usuń programy, ale coś jest ciągle nie tak ponieważ przy starcie komputera automatycznie włącza mi się przeglądarka z ruskimi stronami startowymi i to bardzo różnymi... Nawet w trakcie działania w nieoczekiwanym momencie potrafi się coś takiego samoczynnie włączyć.

 

Logi w załącznikach.

 

Bardzo proszę o pomoc w tej sprawie

 

I proszę o jakieś instrukcje, jeśli nie zrobiłem wszystkiego jak należy.

 

EDIT: Nie dodałem, że od tego czasu system się co chwilę zawiesza na jakiś ułamek sekundy (objawia się to zacinającym się kursorem i trzeszczącym dźwiękiem).

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[Miszel03]

System jest zainfekowany rosyjskojęzycznym adware. Do tego niestety widzę w systemie cracka Windows - ściągam tylko jego blokady, Ty sam musisz go odinstalować.
 
Do poczytania, na przyszłość: KLIK.  
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
Task: {48ECA5D7-214B-4956-BED4-5ADE1FF83B41} - System32\Tasks\wupdate => C:\Users\Michał\AppData\Local\wupdate\wupdate.exe [2017-04-04] () Task: {6E4C7717-8195-4E90-97D6-5872BE4185CC} - System32\Tasks\ComDev => C:\Users\Michał\AppData\Local\ComDev\ComDev.exe [2017-04-05] () ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008"
HKU\S-1-5-21-3426176950-1069214683-2311523833-1001\...\Run: [hojrkulsqq] => explorer "hxxp://chaynacha.ru/?utm_source=uoua03&utm_content=cfb47dc403dd27f678f72bf6efa1e739&utm_term=7184AF6F038C7D5BA6DACDD98EDEFE3E&utm_d=20170404" 
HKLM\...\Winlogon: [userinit] C:\Users\Michał\AppData\Local\Kometa\StartButton\kometastartvx64.exe,C:\Windows\system32\userinit.exe,
C:\Users\Michał\AppData\Local\Kometa
IFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exe
IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exe
GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-3426176950-1069214683-2311523833-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=7184AF6F038C7D5BA6DACDD98EDEFE3E&utm_d=20170404
SearchScopes: HKU\S-1-5-21-3426176950-1069214683-2311523833-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B544CBC05-2FC3-4C99-8773-F690AEEAB7DC%7D&gp=811014
SearchScopes: HKU\S-1-5-21-3426176950-1069214683-2311523833-1001 -> {0FFC778B-D962-4881-80FE-EC098CB5461C} URL = 
SearchScopes: HKU\S-1-5-21-3426176950-1069214683-2311523833-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B544CBC05-2FC3-4C99-8773-F690AEEAB7DC%7D&gp=811014
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Michał\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2017-04-04] (Mail.Ru)
2017-04-04 23:25 - 2017-04-04 23:25 - 00000000 ____D C:\Users\Michał\AppData\Local\Mail.Ru
2017-04-04 23:25 - 2017-04-04 23:25 - 00000000 ____D C:\ProgramData\Mail.Ru
InternetURL: C:\Users\Michał\Favorites\Mail.Ru Агент - используй для общения!.url -> BASEURL: hxxp://agent.mail.ru URL: hxxp://agent.mail.ru/ru/download/agent_windows/download.html?sputnik=1
InternetURL: C:\Users\Michał\Favorites\Mail.Ru.url -> BASEURL: hxxp://www.mail.ru URL: hxxp://www.mail.ru/cnt/7861
InternetURL: C:\Users\Michał\Favorites\Links\Интернет.url -> URL: hxxp://chaynacha.ru/?utm_source=favorites03&utm_content=7790075e2b6899ec7954d0772c8e0271&utm_term=7184AF6F038C7D5BA6DACDD98EDEFE3E&utm_d=20170404
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[ShadyYo]

Bardzo dziękuję Ci za wysiłek, ale nie widząc Twojej dzisiejszej wypowiedzi zapytałem o to samo na innym forum:

https://forum.dobreprogramy.pl/t/ruski-toolbar-niechciane-aplikacje-i-dziwne-zachowania/524430

 

Wydaje mi się, że wszystko już gra, ale być może mógłbym zrobić teraz jeszcze jakiś skan, który pozwoli Ci stwierdzić, że faktycznie wszystko jest OK?

 

Napisałeś, że mam cracka Windows co mnie bardzo zaskoczyło Jak mogę go odinstalować? To ciekawe, bo jakieś miesiąc temu kupiłem nowego laptopa z wgranym już Windowsem 10. Podejrzewam, że wraz z tym ruskim adware musiało się jeszcze coś takiego wgrać :/

[Miszel03]

Ehh...no dobrze. Działania na tamtym forum zweryfikuję później, ale pewnie wszystko OK, bo Atis to doświadczony pomocnik. Nie potrzymam się od komentarza na temat DP. W ich asystentach pobierania znajdują się infekcje adware. Redakcja, czy tam "administracja" milczy na temat Asystetna. Śledzące klucze w rejestrze - oj tam, oj tam - nie przesadzajcie To, że zespól AdwCleaner (więc zespół Malwarebytes też) wykrywa ich komponenty już samo powinno dać o sobie znaki. Stanowczo odradzam korzystania z tego serwisu (nie mówię o forum i artykułach, a tylko o możliwości pobierania programów). Ja nie mówię, że to zły serwis. Bo artykuł i różne inne nowinki ma super, przyjemnie się czyta, sam korzystam. Natomiast serwis od drugiej strony, czyli od strony pobieranie softu to szemrana uliczka, do której lepiej nie wchodzić.

 

Co do cracka - z nim jest zawsze problem (i tutaj pomyłka z mojej strony to nie jest crack Windows, a oprogramowanie Microsoft Office). Poszukał bym w jego katalogach pliku deinstalacyjnego (nazwa zbliżona do uninstall.exe i spróbował go uruchimić. Nazwa to KMS-R@1n. Pytanie tylko czy to nie jest przypadkiem celowe dzianie nielegalne? Jeśli tak to nie wiem jak zachowa się zcrackowany Office - może przestać działać. 

 

https://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uważać/

 

Z raportów wyciągnąłem tylko poniższe elementy, ale to brutalny sposób usunięcia tego. Może zostać śmietnik w plikach i w rejestrze. Niemniej jednak poniższy skrypt wykonaj (instrukcja standardowa zapis jako Fixlist > wykonanie w FRST).

 

CloseProcesses:
CreateRestorePoint:
R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2017-04-04] () [brak podpisu cyfrowego]
2017-04-04 23:27 - 2017-04-04 23:27 - 00026112 _____ C:\WINDOWS\KMS-R@1n.exe
2017-04-04 23:27 - 2017-04-04 23:27 - 00005120 _____ C:\WINDOWS\KMS-R@1nHook.exe
2017-04-04 23:27 - 2017-04-04 23:27 - 00004096 _____ C:\WINDOWS\KMS-R@1nHook.dll
Task: {63C35938-00F8-4BEF-808D-78EF1CA63E57} - System32\Tasks\R@1n-KMS\Office16ProPlus => wmic 
FirewallRules: [{0ADB66AA-80AE-4EB4-87E3-14E2ABB08045}] => (Allow) C:\Windows\KMS-R@1n.exe
FirewallRules: [{E4F70086-5463-4997-8D86-810D479F5FEE}] => (Allow) C:\Windows\KMS-R@1n.exe
EmptyTemp: