Wyskakujące reklamy, zmieniona strona startowa

Dla specjalistów Bezpieczeństwo
#1

Ciągle wyskakują mi reklamy, czyściłem komputer za pomocą malwarebytes oraz adwcleaner ale dalej po ponownym uruchomieniu pojawiają się reklamy w przeglądarce oraz niektóre strony nie chcą się załadowa oprócz tego zmienia się strona startowa. Wrzucam skany poniżej.

Addition.txt (101,2 KB)
FRST.txt (55,5 KB)
Shortcut.txt (1,6 MB)

Bardzo proszę o pomoc.

#2

Odinstaluj One System Care.Otwórz notatnik systemowy i wklej:
CloseProcesses:
Task: {05EA4F58-EFB9-49A7-ADBD-2F80C246A9DC} - System32\Tasks\One System Care Run Delay => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== UWAGA
Task: {324E44D5-DEA7-49F4-AA44-ABF5AA6C6DF4} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe <==== UWAGA
Task: {3557DA04-CCA3-4223-B53D-0207B94DDC05} - System32\Tasks\Thmightanehuk Server => C:\Program Files (x86)\Tertocultthbecult\wiseent.exe
Task: {37AF16CA-54E1-4872-A98D-FA27B2F44AA8} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== UWAGA
Task: {4C2ECF81-3702-45EB-80CA-C3C6F42AD8C0} - System32\Tasks\One System Care Task => C:\PROGRA~2\ONESYS~1\SYSTEM~1.EXE <==== UWAGA
Task: {539F3C42-3448-4312-B2A6-79AE3E87F67E} - \IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473-Logon -> Brak pliku <==== UWAGA
Task: {5BDC90BE-603C-4E38-AB15-D674F0EE3AA7} - System32\Tasks\188975a70fa6f2ec57ac5beb81d6e70a => Rundll32.exe “C:\Program Files (x86)\InstallShield Installation Information\hlxscn.dll”,e62dc6c6547f46bda862da2d05af6862 <==== UWAGA
Task: {7CD692D7-4C2C-4DEB-87D5-370BCABDE248} - System32\Tasks{08087A47-7A7D-797F-7D11-780C790A110A} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAAgADsAOwA7ACAAOwA7ACAAIAA7ADsAIAAgACAAIAAgADsAOwAgACAAOwAgACAAIAAgACAAIAA7ADsAOwAkAEUAcgByAG8AcgBBAGMAdABpAG8AbgBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AIgBzAHQAbwBwACIAOwAkAHMAYwA9ACIAUwBpAGwAZQBuAHQAbAB5AEMAbwBuAHQAaQBuAHUA (dane wartości zawierają 10100 znaków więcej). <==== UWAGA
Task: {A69FD7B6-F7A8-4049-80D9-244C71BEC30C} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe <==== UWAGA
Task: {B2923078-7BE7-43D6-87CF-2AC6594D8FCC} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\88D7~1\X86\Update.exe <==== UWAGA
Task: {B35EFF65-B6A1-4668-BE3A-83A647EF5596} - System32\Tasks\osTip => Chrome.exe <==== UWAGA
Task: {B57FD593-4FE8-4E42-AA82-F8D73A9F8393} - \WindowsUpdateChecker -> Brak pliku <==== UWAGA
Task: {CFEBFABC-6826-424E-9FEF-5BF13C11A3CD} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: {DADDBAD4-A07E-4457-BAEE-6799A5554D44} - {9DF59751-7121-454E-A674-75E519D29F1B} -> Brak pliku <==== UWAGA
Task: {DCEBB360-2544-471E-B954-4D5ADED2BCA8} - {45F5FC7E-CC4A-4A8E-9CD8-AA34579B60F3} -> Brak pliku <==== UWAGA
Task: {E5971693-CC45-4D8B-A9BD-7A5C810A56E8} - \IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 -> Brak pliku <==== UWAGA
Task: {E6CFCDD7-751D-4AFE-91B4-7B37EEC4BA6F} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: C:\Windows\Tasks\One System CarePeriod.job => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
ShortcutWithArgument: C:\Users\danio0106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\danio0106\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension=“C:\Users\DANIO0~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk” hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\danio0106\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension=“C:\Users\DANIO0~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk” hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension=“C:\Users\DANIO0~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk” hxxp://qtipr.com/
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
Hosts:
MSCONFIG\Services: SpyHunter 4 Service => 2
MSCONFIG\Services: UCBrowserSvc => 2
MSCONFIG\startupreg: mobilegeni daemon => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKU\S-1-5-21-3603070809-1449673344-3364686585-1000…\Run: [msiql] => C:\Users\danio0106\AppData\Local\Temp\00019110\msiql.exe [2072064 2017-04-12] () <===== UWAGA
HKU\S-1-5-21-3603070809-1449673344-3364686585-1000…\Run: [svchost0] => “C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe”\UUC0789.exe
HKU\S-1-5-21-3603070809-1449673344-3364686585-1000…\Run: [apphide] => C:\Program Files (x86)\lll\uc.exe [143446 2017-04-10] ()
HKU\S-1-5-21-3603070809-1449673344-3364686585-1000…\Run: [osmsg] => C:\ProgramData\WindowsMsg\chrome.exe [7174144 2017-03-22] ()
HKU\S-1-5-21-3603070809-1449673344-3364686585-1000…\MountPoints2: {1b2ac853-e92c-11e6-991c-bc5ff4d25734} - F:\Startme.exe
HKU\S-1-5-21-3603070809-1449673344-3364686585-1000…\MountPoints2: {903c0730-81ba-11e3-a2e0-bc5ff4d25734} - D:\setup.exe
HKU\S-1-5-21-3603070809-1449673344-3364686585-1000…\MountPoints2: {a5a4cda2-3e25-11e3-a272-bc5ff4d25734} - D:\INSTALL.EXE
HKU\S-1-5-18…\Run: [] => [X]
ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll -> Brak pliku
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR Profile: C:\Users\danio0106\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-10-20] <==== UWAGA
S4 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2017-04-12] () [Brak podpisu cyfrowego] <==== UWAGA
R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219032 2017-04-12] ()
S4 UCBrowserSvc; “C:\Program Files (x86)\UCBrowser\Application\UCService.exe” [X]
S3 iblbjkzd; Brak ImagePath
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== UWAGA
S2 DgiVecp; ??\C:\Windows\system32\Drivers\DgiVecp.sys [X]
S3 EagleX64; ??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X]
2017-04-12 13:41 - 2017-04-12 13:41 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\danio0106\Downloads\SpyHunter-Installer.exe
2017-04-12 13:21 - 2017-04-12 13:21 - 00000000 ____D C:\Program Files (x86)\360
2017-04-12 13:20 - 2017-04-12 13:20 - 00001945 _____ C:\Users\danio0106\Desktop\360安全浏览器.lnk
2017-04-12 13:20 - 2017-04-12 13:20 - 00001913 _____ C:\Users\danio0106\AppData\Roaming\Microsoft\Windows\Start Menu\360安全浏览器.lnk
2017-04-12 13:20 - 2017-04-12 13:20 - 00000000 ____D C:\Users\danio0106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\360安全中心
2017-04-12 13:11 - 2017-04-12 13:04 - 00797672 _____ (深圳市史宾赛科技有限公司) C:\Users\danio0106\AppData\Local\FlowSprit.dll
2017-04-12 13:11 - 2017-04-12 13:04 - 00516072 _____ (深圳市史宾赛科技有限公司) C:\Users\danio0106\AppData\Local\uninst.tmp
2017-04-12 13:08 - 2017-04-12 13:25 - 00000284 _____ C:\Windows\Tasks\One System CarePeriod.job
2017-04-12 13:08 - 2017-04-12 13:08 - 00002868 _____ C:\Windows\System32\Tasks\One System CarePeriod
2017-04-12 13:07 - 2017-04-12 13:12 - 00000000 ____D C:\Users\danio0106\AppData\Roaming\One System Care
2017-04-12 13:07 - 2017-04-12 13:07 - 00024528 _____ C:\Windows\System32\Tasks{08087A47-7A7D-797F-7D11-780C790A110A}
2017-04-12 13:07 - 2017-04-12 13:07 - 00003576 _____ C:\Windows\System32\Tasks\One System Care Task
2017-04-12 13:07 - 2017-04-12 13:07 - 00003334 _____ C:\Windows\System32\Tasks\One System Care Run Delay
2017-04-12 13:07 - 2017-04-12 13:07 - 00003268 _____ C:\Windows\System32\Tasks\One System Care Monitor
2017-04-12 13:07 - 2017-04-12 13:07 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care
2017-04-12 13:07 - 2017-04-12 13:07 - 00000000 ____D C:\ProgramData\bc96c859-7c41-1
2017-04-12 13:07 - 2017-04-12 13:07 - 00000000 ____D C:\ProgramData\bc96c859-5ba7-0
2017-04-12 13:07 - 2017-04-12 13:07 - 00000000 ____D C:\Program Files\My Web Shield
2017-04-12 13:03 - 2017-04-12 13:03 - 00002932 _____ C:\Windows\System32\Tasks\osTip
2017-04-12 13:02 - 2017-04-12 18:47 - 00000300 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
2017-04-12 13:02 - 2017-04-12 18:19 - 00000464 _____ C:\Windows\Tasks\UCBrowserUpdater.job
2017-04-12 13:02 - 2017-04-12 13:27 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-04-12 13:02 - 2017-04-12 13:25 - 00003476 _____ C:\Windows\System32\Tasks\UCBrowserSecureUpdater
2017-04-12 13:02 - 2017-04-12 13:23 - 00000000 ____D C:\Users\danio0106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2017-04-12 13:02 - 2017-04-12 13:19 - 00002572 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2017-04-12 13:02 - 2017-04-12 13:03 - 00003446 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2017-04-12 13:02 - 2017-04-12 13:03 - 00000000 __SHD C:\ProgramData\WindowsMsg
2017-04-12 13:02 - 2017-04-12 13:02 - 00001544 _____ C:\Users\danio0106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2017-04-12 13:02 - 2017-04-12 13:02 - 00000000 ____D C:\Users\danio0106\AppData\Local\UCBrowser
2017-04-12 13:01 - 2017-04-12 13:21 - 00000000 ____D C:\Program Files\żěŃą
2017-04-12 13:01 - 2017-04-12 13:01 - 01620992 _____ C:\ProgramData\service.exe
2017-04-12 13:01 - 2017-04-12 13:01 - 00092832 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys
2017-04-12 13:01 - 2017-04-12 13:01 - 00003390 _____ C:\Windows\System32\Tasks\KuaiZip_Update
2017-04-12 13:01 - 2017-04-12 13:01 - 00000837 _____ C:\Users\danio0106\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
2017-04-12 13:01 - 2017-04-12 13:01 - 00000000 __SHD C:\Users\danio0106\AppData\Local\svchost
2017-04-12 13:01 - 2017-04-12 13:01 - 00000000 __SHD C:\Users\danio0106\AppData\Local\kemgadeojglibflomicgnfeopkdfflnw
2017-04-12 13:01 - 2017-04-12 13:01 - 00000000 ____D C:\Users\Public\Documents\XMUpdate
2017-04-12 13:01 - 2017-04-12 13:01 - 00000000 ____D C:\Users\danio0106\AppData\Roaming\UCChannel
2017-04-12 13:01 - 2017-04-12 13:01 - 00000000 ____D C:\Users\danio0106\AppData\Roaming\Softlink
2017-04-12 13:01 - 2017-04-12 13:01 - 00000000 ____D C:\Program Files (x86)\lll
2017-04-12 13:11 - 2017-04-12 13:04 - 0797672 _____ (深圳市史宾赛科技有限公司) C:\Users\danio0106\AppData\Local\FlowSprit.dll
2017-04-12 13:11 - 2017-04-12 13:04 - 0516072 _____ (深圳市史宾赛科技有限公司) C:\Users\danio0106\AppData\Local\uninst.tmp
C:\Users\danio0106\AppData\Local\Temp\00019110\msiql.exe
C:\ProgramData\service.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.
Pokaż log z usuwania i nowy raport z FRST bez Addition i Shortcut. Zapisując Fixlist kodowanie ustaw na UTF-8

#3

Spróbuj programu HitMan Pro. Ja miałem to samo. Block And Surf cały czas przenosił mnie na strony z reklamami a na zwykłym YouTube czy Wikipedii był koszmar. Jak nie pomoże, to wybacz. Program jest wersja demo na 7 dni a to wiele może zdziałać. Polecam. Jak nie pomoże to spróbuj z tym fixlist’em. Tylko… Jak coś, to trzymaj program na wierzchu lepiej. Już nie mam tego programu a mogło się coś zmienić.

To znaczy… Jak masz okno, to pojawiają ci się błędy, trojany, malware itp. Musisz mieć okno programu na wierzchu, aby wykonać prawidłową akcję.

#4

Fixlog.txt (28,9 KB)
FRST.txt (48,0 KB)

Z tego co widzę to chyba pomogło, ale nadal do skrótu przy starcie na pasku zadań we właściwościach google chrome w elemencie docelowym dodaje mi się takie cudo:
–load-extension=“C:\Users\DANIO0~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk” http://qtipr.com/

I jeszcze jak otwieram przeglądarkę no nie otwiera się ona na tej ikonce chroma tylko pojawia się druga ikonka chroma na pasku zadań tak jakby to był inny chrome od tego na pasku zadań.

Jeszcze po tym jak złapałem te wirusy pojawił mi się taki problem, że przy starcie systemu za każdym razem mam wyłączoną usługę Windows Audio i muszę kliknąć głośniczek żeby Windows ją włączył, mimo, że w usługach jest ustawione włączanie na Automatycznie.

Z góry ogromne dzięki za wszelką pomoc, jesteście najlepsi!

#5

Bardzo bym prosił o dalszą pomoc :slight_smile:

#6

Pobierz >>>DelFix<<< http://www.bleepingcomputer.com/download/delfix/dl/281/
Zaznacz opcje:
Remove disinfection tools
Kliknij przycisk Run.
Reset Chrome: https://support.google.com/chrome/answer/3296214?hl=pl

#7

Zrobione.
Przeglądarka już niby działa ok, ale nie do końca, facebook nie działa tylko w chromie, nawet po reinstalce i resecie ustawień dalej nie ładuje mi facebooka, wszystkie inne strony działają, mam wrażenie, że wolniej niż wcześniej, ale działają. W internet explorer facebook działa normalnie. No i jeszcze kwestia tej usługi windows audio, co restart system nadal jest wyłączona.

#8

Microsoft Windows [Wersja 6.1.7601]
Copyright © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.

C:\Users\danio0106>ping facebook.com

Badanie facebook.com [31.13.91.36] z 32 bajtami danych:
Odpowiedź z 31.13.91.36: bajtów=32 czas=62ms TTL=85
Odpowiedź z 31.13.91.36: bajtów=32 czas=29ms TTL=85
Odpowiedź z 31.13.91.36: bajtów=32 czas=34ms TTL=85
Odpowiedź z 31.13.91.36: bajtów=32 czas=31ms TTL=85

Statystyka badania ping dla 31.13.91.36:
Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0
(0% straty),
Szacunkowy czas błądzenia pakietów w millisekundach:
Minimum = 29 ms, Maksimum = 62 ms, Czas średni = 39 ms

C:\Users\danio0106>ping facebook.com

Badanie facebook.com [31.13.91.36] z 32 bajtami danych:
Odpowiedź z 31.13.91.36: bajtów=32 czas=30ms TTL=85
Odpowiedź z 31.13.91.36: bajtów=32 czas=32ms TTL=85
Odpowiedź z 31.13.91.36: bajtów=32 czas=31ms TTL=85
Odpowiedź z 31.13.91.36: bajtów=32 czas=30ms TTL=85

Statystyka badania ping dla 31.13.91.36:
Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0
(0% straty),
Szacunkowy czas błądzenia pakietów w millisekundach:
Minimum = 30 ms, Maksimum = 32 ms, Czas średni = 30 ms

#9

W ostatnim logu widać jeszcze jeden podejrzany sterownik.

Problem z audio powoduje usługa Harmonogram klas multimediów.
Błąd odczytany z systemowego podglądu zdarzeń:

[quote]Description: Usługa Windows Audio zależy od usługi Harmonogram klas multimediów, której nie można uruchomić z powodu następującego błędu:
Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie.[/quote]