Irytujące reklamy, zawieszki, samoistne instalacje

[Sandaly]

Witam!
Tak jak w tytule, komputer jest strasznie zasyfiony, czesto sie resetuje, czasem też bez samoczynnie próbuje zainstalować się jakiś program, w przegladarkach sa pozmieniane strony startowe oraz wyskakuja niechciane reklamy czego efektem jest spowolniona praca przegladarek jak zreszta calego komputerta. Ostatnio równiez zakladalem podobny temat w którym infekcje pomógl usunac @djarta, niestety myslalem ze to juz wszystko i nie wchodzilem na forum dopiero dzis zobaczylem ze powinienem zrobic dodatkowe logi przedstawionymi programami, ale infekcje znowu sie wdarly Dlatego tez zakladam nowy watek a oto logi

OTL:
> Dostępne tylko dla zarejestrowanych użytkowników
> Extras Dostępne tylko dla zarejestrowanych użytkowników

FRST:
> Dostępne tylko dla zarejestrowanych użytkowników
> Addition Dostępne tylko dla zarejestrowanych użytkowników
> Shortcut Dostępne tylko dla zarejestrowanych użytkowników

Przy próbie zrobienia logów za Pomocą GMER'a w pewnym momencie wyskakuje taki komunikat Dostępne tylko dla zarejestrowanych użytkowników

[XMan]

GMER'a nie używaj, możesz zepsuć system.
Czekaj za sprawdzeniem logów przez specjalistę z tego działu.

[djarta]

1. Przez Panel sterowania odinstaluj zbędnika: darmowa-lokalizacja-telefonu

2. Otwórz notatnik i wklej:

CloseProcesses:
R1 ppfd_vt_1_10_0_22; C:\Windows\System32\drivers\ppfd_vt_1_10_0_22.sys [56464 2015-08-14] (PhraseProfessor)
C:\Windows\System32\drivers\ppfd_vt_1_10_0_22.sys
R2 ppsvc_1.10.0.22; C:\Program Files\PhraseProfessor_1.10.0.22\Service\ppsvc.exe [300128 2015-08-14] (PhraseProfessor)
C:\Program Files\PhraseProfessor_1.10.0.22
StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe Dostępne tylko dla zarejestrowanych użytkowników
CHR HKLM\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - Dostępne tylko dla zarejestrowanych użytkowników
FF SearchPlugin: C:\Users\ASl_Kaida\AppData\Roaming\Mozilla\Firefox\Profiles\79blbkwu.default-1438874466173\searchplugins\oursurfing.xml [2015-08-31]
FF Extension: Default SearchProtected - C:\Users\ASl_Kaida\AppData\Roaming\Mozilla\Firefox\Profiles\79blbkwu.default-1438874466173\Extensions\defsearchp@gmail.com [2015-08-31]
FF Extension: deskCut - C:\Users\ASl_Kaida\AppData\Roaming\Mozilla\Firefox\Profiles\79blbkwu.default-1438874466173\Extensions\deskCutv2@gmail.com [2015-08-31]
FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\ASl_Kaida\AppData\Roaming\Mozilla\Firefox\Profiles\79blbkwu.default-1438874466173\extensions\defsearchp@gmail.com
FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\ASl_Kaida\AppData\Roaming\Mozilla\Firefox\Profiles\79blbkwu.default-1438874466173\extensions\deskCutv2@gmail.com
StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.oursurfing.com/?type=sc&ts=1 ... 8431884318
FF NewTab: chrome://quick_start/content/index.html
FF DefaultSearchEngine: oursurfing
FF SelectedSearchEngine: oursurfing
FF Homepage: hxxp://www.oursurfing.com/?type=hp&ts=1 ... 8431884318
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1 ... 8431884318
HKLM\...\Run: [gmsd_pl_006010071] => [X]
2015-08-31 09:34 - 2015-08-31 09:34 - 00000000 ____D C:\Users\ASl_Kaida\AppData\Roaming\oursurfing
2015-08-31 09:33 - 2015-08-31 09:33 - 00000000 ____D C:\Program Files\predm
2015-08-31 09:33 - 2015-08-31 09:33 - 00000000 ____D C:\Program Files\PhraseProfessor_1.10.0.22
2015-08-26 12:21 - 2015-08-26 12:21 - 00000000 ____D C:\Users\Public\Documents\ShopperPro
2015-08-26 12:21 - 2015-08-26 12:21 - 00000000 ____D C:\Users\Public\Documents\Goobzo
2015-08-26 12:21 - 2015-08-26 12:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator
2015-08-26 12:21 - 2015-08-26 12:21 - 00000000 ____D C:\Program Files\YouTube Accelerator
2015-08-26 12:21 - 2015-08-26 12:21 - 00000000 ____D C:\Program Files\ShopperPro
2015-08-26 12:21 - 2015-08-26 12:21 - 00000000 ____D C:\Program Files\SensePlus
2015-08-26 12:21 - 2015-08-26 12:21 - 00000000 ____D C:\Program Files\iWebar
2015-08-26 12:21 - 2015-08-26 12:21 - 00000000 ____D C:\Program Files\globalUpdate
2015-08-26 12:21 - 2015-08-26 12:21 - 00000000 ____D C:\Program Files\Common Files\ShopperPro
2015-08-26 10:18 - 2015-08-31 10:18 - 00005834 _____ C:\Windows\Tasks\f275d25a-bfc7-462a-810a-a01336c419ca-6.job
2015-08-26 10:18 - 2015-08-31 10:18 - 00005490 _____ C:\Windows\Tasks\f275d25a-bfc7-462a-810a-a01336c419ca-7.job
2015-08-26 10:18 - 2015-08-31 10:18 - 00005484 _____ C:\Windows\Tasks\9a0a63ae-bbc7-4989-bf80-0a31a706b5d8-7.job
2015-08-26 10:18 - 2015-08-31 09:59 - 00000894 _____ C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job
2015-08-26 10:18 - 2015-08-30 22:23 - 00000904 _____ C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job
2015-08-26 10:18 - 2015-08-26 10:18 - 00005732 _____ C:\Windows\Tasks\9a0a63ae-bbc7-4989-bf80-0a31a706b5d8-6.job
2015-08-26 10:18 - 2015-08-26 10:18 - 00000000 ____D C:\Program Files\e937cf68-8f18-44a2-b8c9-8f4e7315c1bb
2015-08-26 10:18 - 2015-08-26 10:18 - 00000000 ____D C:\Program Files\62f8b73b-e09f-47b8-badd-9a4e5bf4297b
2015-08-26 10:17 - 2015-08-26 10:17 - 00172032 _____ (Jin Hui E-mail: jinhui@jcomsoft.com Web: Dostępne tylko dla zarejestrowanych użytkowników) C:\Windows\system32\AniGIF.ocx
2015-08-26 10:17 - 2015-08-26 10:17 - 00001104 _____ C:\Users\ASl_Kaida\Desktop\YouTube Accelerator.lnk
2015-08-26 10:16 - 2015-08-26 10:16 - 00000000 ____D C:\Users\ASl_Kaida\AppData\Local\CrashRpt
2015-08-20 20:00 - 2015-08-20 20:00 - 0057344 _____ () C:\Users\ASl_Kaida\AppData\Local\Lasantouch.exe
2015-08-20 20:00 - 2015-08-20 20:00 - 0000187 _____ () C:\Users\ASl_Kaida\AppData\Local\Lasantouch.exe.config
ATTENTION: ==> Could not access BCD.
CMD: netsh winsock reset
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wykonaj i wklej nowe logi z FRST.

Czy coś się poprawiło?

[Sandaly]

Witam, dopiero dzis odpisuje od kolegi bo po usunięciu infekcji FRST nie mogę polączyć się z internetem (sieć jest dostępna i jestem podlączony) a mianowicie nie mogę wejść na żadną stronę w którejkolwiek przeglądarce.
Zauważyłem też ze po zrobieniu opcji Fix programem FRST wyłącze i włącza się monitor, być może jest to zbieg okoiczności a może skutek infekcji.

Logi po naprawie z FRST
> Dostępne tylko dla zarejestrowanych użytkowników
> Addition Dostępne tylko dla zarejestrowanych użytkowników
> Shortcut Dostępne tylko dla zarejestrowanych użytkowników

Adw
> Dostępne tylko dla zarejestrowanych użytkowników
Przy próbie uruchomienia JRT mam coś takiego
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Otwórz Notatnik i wklej w nim:

reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh winsock reset all
netsh int 6to4 reset all
netsh int ipv4 reset all
netsh int ipv6 reset all
netsh int httpstunnel reset all
netsh int isatap reset all
netsh int portproxy reset all
netsh int tcp reset all
netsh int teredo reset all
netsh advfirewall reset
netsh int ip reset c:\resetlog.txt
pause

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT
Uruchom jako Administrator > restart systemu.

Czy internet żyje?

[Sandaly]

zrobiłem tak jak napisałeś po czym mignęło czarne okienko i nic się nie stało, niestety internet dalej leży

[djarta]

Użyj przywracania systemu i przywróc system pare dni wczęsniej.
Później nowe logi z FRST.

[Sandaly]

No, wreszcie u siebie przywracanie najbliższe było w okolicach lipca dlatego w FRST zaznaczyłem opcje 90 days
A tutaj logi
1. Dostępne tylko dla zarejestrowanych użytkowników
2. Addition Dostępne tylko dla zarejestrowanych użytkowników
3. Shortcut Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Otwórz notatnik i wklej:

CloseProcesses:
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2015-08-26 12:21 - 2015-08-31 13:57 - 00000000 ____D C:\Users\Public\Documents\ShopperPro
2015-08-26 12:21 - 2015-08-31 13:57 - 00000000 ____D C:\Users\Public\Documents\Goobzo

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

Czy występują jakieś problemy?

[Sandaly]

Zdaje się że wszystko działa jak należy, monitor póki co również się nie wyłącza

[djarta]

1. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz pełny skan MalwareBytes.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[Sandaly]

DelFix Dostępne tylko dla zarejestrowanych użytkowników
Malware Dostępne tylko dla zarejestrowanych użytkowników
HitmanPro Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

- MalwareBytes: wszystko do skasowania.
- HitmanPro: do skasowania Malware remnants oraz Potential Unwanted Programs

[Sandaly]

Z Malware usunąłem wszystko. Po ponownym restarcie zrobiłem wyszuliwanie HitmanPro ale nie wyszukało tych plików Malware remnants oraz Potential Unwanted Programs
daję log w razie czego Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

No przecież w logu jak byk jest napisane.