Wirus (Polizja, Brak możliwości skorzystania z wyszukiwarki Google)

Dla specjalistów Bezpieczeństwo
#1

Hej!

 

W ostatnim czasie zauważyłem że mój komputer znacząco zwolnił, od czasu do czasu pojawiają mi się komunikat które z tego co zauważyłem nękają również innych użytkowników tutaj: (Polizja Kryminalna), a ostatnio nie mogłem nawet skorzystać z wyszukiwarki Google, pojawiał się komunikat: “Nasze systemy wykryły nietypowy ruch pochodzący z Twojej sieci komputerowej. Ta strona ma na celu sprawdzenie, czy to rzeczywiście Ty wysyłasz żądania, a nie robot.”

 

Zamieszczam Logi z OTL:

 

OTL.txt       http://wklej.org/id/1395191/

 

Extras.txt       http://wklej.org/id/1395192/

 

pozdrawiam

#2

W panelu sterowania odinstaluj coupon downloader, Mysearchdial, webget.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

#3

Skany z FRST:

 

http://wklej.org/id/1395274/ FRST

 

http://wklej.org/id/1395275/ Addition

 

Dzieki!

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-430168691-2966207741-3155834481-1005\...\Run: [Akamai NetSession Interface] => "C:\Users\Locke\AppData\Local\Akamai\netsession_win.exe"
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=ir_14_19_ff&cd=2XzuyEtN2Y1L1Qzu0CyEtCyB0F0E0AyD0CyE0AyDtC0CyB0BtN0D0Tzu0SzzyDyCtN1L2XzutBtFtBtDtFyCtFtDtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyDtB0CtDtByDtCyBtGtAtAyEtCtGyEtBtCyBtGtD0Ezz0AtGtCyEyEyEtA0B0EyDyEyC0C0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtC0CzztD0ByBzztGtByDtAyDtG0D0AtBzytGtDtAtB0FtGyE0AtC0DyB0E0ByC0A0ByEtB2Q&cr=1623043476&ir=
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_19_ff&cd=2XzuyEtN2Y1L1Qzu0CyEtCyB0F0E0AyD0CyE0AyDtC0CyB0BtN0D0Tzu0SzzyDyCtN1L2XzutBtFtBtDtFyCtFtDtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyDtB0CtDtByDtCyBtGtAtAyEtCtGyEtBtCyBtGtD0Ezz0AtGtCyEyEyEtA0B0EyDyEyC0C0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtC0CzztD0ByBzztGtByDtAyDtG0D0AtBzytGtDtAtB0FtGyE0AtC0DyB0E0ByC0A0ByEtB2Q&cr=1623043476&ir=
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://mysearch.avg.com/search?cid={8509D404-06E2-4ED5-97DD-3432B7D91AB8}&mid=113b30fbbb5247d3bff4d16f6b6e2047-9b9b82ad648035eddd8399458fed87ec5736e117&lang=en&ds=sf011&coid=avgtbdissf&cmpid=&pr=sa&d=2014-04-18 20:32:09&v=18.1.0.443&pid=safeguard&sg=&sap=dsp&q={searchTerms}
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (Codecv) - C:\Users\Locke\AppData\Local\Google\Chrome\User Data\Default\Extensions\adllkfgdnokmolcgeknconkocfgekmpk [2012-11-15]
CHR Extension: (No Name) - C:\Users\Locke\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekdjfcdinekpfcedakhpngcnaamhiihn [2012-11-15]
CHR HKLM\...\Chrome\Extension: [adllkfgdnokmolcgeknconkocfgekmpk] - C:\ProgramData\Codecv\adllkfgdnokmolcgeknconkocfgekmpk.crx [2012-11-15]
S2 pcregservice; C:\Program Files\pcreg\pcreg.exe [X]
S2 UpdaterSvcWebget; "C:\Program Files\webget\updater.exe" [X]
R1 wStLib; C:\Windows\System32\drivers\wStLib.sys [52920 2014-03-18] (StdLib)
S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x32.sys [X]
S0 PxHelp20; System32\Drivers\PxHelp20.sys [X]
C:\AdwCleaner
C:\Users\Locke\AppData\Local\Temp\*.exe
C:\Users\Locke\AppData\Local\Temp\*.dll
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => ?
Task: C:\Windows\Tasks\bench-Updater removing.job => ? <==== ATTENTION
Task: C:\Windows\Tasks\CodecUpdaterTask{1850CCEE-B93B-4F5B-A357-81D05CE35365}.job => ? <==== ATTENTION
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => ?
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => ?
Task: C:\Windows\Tasks\OptimizerPro1UpdaterTask{B8DD7CA3-EFB7-4017-BE3C-1CDB92367763}.job => ?

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#5

Zapisałem fixlist.txt na pulpicie, ale kiedy naciskam Fix, to wtedy wyskakuje mi komenda: No fixlist.txt found.

Próbowałem też zapisać fixlist.txt w folderze FRST, niestety komunikat jest taki sam.

#6

Przecież FRST nie jest na pulpicie tylko:

Running from C:\Users\Locke\Downloads

#7

Masz rację, mój błąd.

 

http://wklej.org/id/1395330/ FixLog

 

 

http://wklej.org/id/1395331/ FRST.

 

Dzięki!

#8

Kliknij prawym na FRST i wybierz Uruchom jako administrator, bo bez uprawnień nie można usunąć niektórych wpisów.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [pcreg] => C:\Program Files\pcreg\service.exe
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
SearchScopes: HKLM - DefaultScope value is missing.
CHR Extension: (MySearchDial) - C:\Users\Locke\AppData\Local\Google\Chrome\User Data\Default\Extensions\pflphaooapbgpeakohlggbpidpppgdff [2014-06-17]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S2 pcregservice; C:\Program Files\pcreg\pcreg.exe [X]
S2 UpdaterSvcWebget; "C:\Program Files\webget\updater.exe" [X]
R1 wStLib; C:\Windows\System32\drivers\wStLib.sys [52920 2014-03-18] (StdLib)
S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x32.sys [X]
S0 PxHelp20; System32\Drivers\PxHelp20.sys [X]
C:\Windows\System32\drivers\wStLib.sys
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => ?
Task: C:\Windows\Tasks\bench-Updater removing.job => ? <==== ATTENTION
Task: C:\Windows\Tasks\CodecUpdaterTask{1850CCEE-B93B-4F5B-A357-81D05CE35365}.job => ? <==== ATTENTION
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => ?
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => ?
Task: C:\Windows\Tasks\OptimizerPro1UpdaterTask{B8DD7CA3-EFB7-4017-BE3C-1CDB92367763}.job => ?

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#9

Zamieszczam logi:

 

http://wklej.org/id/1396147/ FixLog

 

http://wklej.org/id/1396155/ FRST

 

dzięki!

#10

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-430168691-2966207741-3155834481-1000\...\Run: [pcreg] => C:\Program Files\pcreg\service.exe
HKU\S-1-5-21-430168691-2966207741-3155834481-1000\...\Policies\Explorer: [HideSCAHealth] 1
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {CA346D19-3C5F-41DA-84E0-5404FB52994B} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=TV&apn_dtid=OSJ000YYUS&apn_uid=450DF05D-5246-45B5-9410-3ADC9CA44155&apn_sauid=F32041E8-9A42-4643-B3BF-F7BB3D3F6184
FF DefaultSearchEngine: Mysearchdial
FF SelectedSearchEngine: Mysearchdial
FF Homepage: hxxp://start.mysearchdial.com/?f=1&a=ir_14_19_ff&cd=2XzuyEtN2Y1L1Qzu0CyEtCyB0F0E0AyD0CyE0AyDtC0CyB0BtN0D0Tzu0CzzyDyCtN1L2XzutBtFtBtDtFyCtFtDtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyC0A0FtAtCtD0DzztGyB0CyByCtGyCzzyCyEtGtA0CyD0AtGtD0E0EyEzzyByE0F0A0DyC0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyCyD0DyByCyE0CyDtG0C0E0B0DtGzzyEtAzztGyEyD0CyCtGtCzzyBtB0F0C0E0CtBtDtCzy2Q&cr=1657347462&ir=
FF Keyword.URL: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3244149&SearchSource=2&q=
FF Extension: Codecv - C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox\Profiles\dxu7ebs1.default\Extensions\4f9d8d67943cf@4f9d8d67943d1.info [2012-05-11]
CHR NewTab: "chrome-extension://aaaaojmikegpiepcfdkkjaplodkpfmlo/config/skin/new-tab.html"
CHR Extension: (No Name) - C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaojmikegpiepcfdkkjaplodkpfmlo [2013-03-25]
CHR Extension: (Codecv) - C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\adllkfgdnokmolcgeknconkocfgekmpk [2013-01-15]
CHR Extension: (No Name) - C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekdjfcdinekpfcedakhpngcnaamhiihn [2013-01-15]
CHR Extension: (No Name) - C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbolfgndggfhhpbnkgnpjkfhinclbigj [2013-03-25]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S2 pcregservice; C:\Program Files\pcreg\pcreg.exe [X]
S2 UpdaterSvcWebget; "C:\Program Files\webget\updater.exe" [X]
R1 wStLib; C:\Windows\System32\drivers\wStLib.sys [52920 2014-03-18] (StdLib)
S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x32.sys [X]
S0 PxHelp20; System32\Drivers\PxHelp20.sys [X]
C:\Windows\System32\drivers\wStLib.sys
C:\Users\Krzysiek\AppData\Local\Temp\*.exe
C:\Users\Krzysiek\AppData\Local\Temp\*.dll
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => ?
Task: C:\Windows\Tasks\bench-Updater removing.job => ? <==== ATTENTION
Task: C:\Windows\Tasks\CodecUpdaterTask{1850CCEE-B93B-4F5B-A357-81D05CE35365}.job => ? <==== ATTENTION
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => ?
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => ?
Task: C:\Windows\Tasks\OptimizerPro1UpdaterTask{B8DD7CA3-EFB7-4017-BE3C-1CDB92367763}.job => ?

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#11

Logi:

 

FixLog http://wklej.org/id/1396303/

 

FRST http://wklej.org/id/1396307/

#12

Usuń conduit: Ustawianie wyszukiwarki domyślnej

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF DefaultSearchEngine: Mysearchdial
FF SelectedSearchEngine: Mysearchdial
FF Homepage: hxxp://start.mysearchdial.com/?f=1&a=ir_14_19_ff&cd=2XzuyEtN2Y1L1Qzu0CyEtCyB0F0E0AyD0CyE0AyDtC0CyB0BtN0D0Tzu0CzzyDyCtN1L2XzutBtFtBtDtFyCtFtDtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyC0A0FtAtCtD0DzztGyB0CyByCtGyCzzyCyEtGtA0CyD0AtGtD0E0EyEzzyByE0F0A0DyC0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyCyD0DyByCyE0CyDtG0C0E0B0DtGzzyEtAzztGyEyD0CyCtGtCzzyBtB0F0C0E0CtBtDtCzy2Q&cr=1657347462&ir=

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj:

Adobe Flash Player 11 ActiveX

Adobe Flash Player 11 Plugin

Adobe Reader X

Java 7 Update 15

Java 6 Update 23

Zainstaluj:

Java 7 Update 60

Adobe Reader XI 11.0.7

Flash Player 14.0.0.125 Internet Explorer i Plugin-based browsers

Internet Explorer 11