Nezničitelný Adware

[Rakusan90]

Zdravím,
nedávno jsem si nainstaloval od známého "doporučený" soubor, ale to byla veliká chyba; okamžitě po instalaci mi bylo jasné, že je plný adwaru. Všechny programy jsem prošel, smazal a vyčistil, ale stále mi naskakovala při startu počítače stránka "workno.ru". Vymazal jsem nakonec i internetový prohlížeč, ale při startu PC mi začalo naskakovat, ve kterém dalším prohlížeči má otevřít tu stránku.
Uprostřed aplikací mi nyní vyskakují aplikace na reklamy v Mozzile a znovu se mi změnila úvodní stránka, tentokráte na nějaký startgo123.
Nejspíš to bude někde v registru nebo systému, ale na to jsem krátký.
Prosím o pomoc.
Mám operační program Windows 10 ještě z projektu Insider

[altrok]

Krasny den Vam preju


Vlozte prosim logy FRST.txt a Addition.txt http://forum.viry.cz/viewtopic.php?f=13&t=133100
A nez se tu objevim znovu, doporucuji procist http://forum.viry.cz/viewtopic.php?f=24&t=142553

[Rakusan90]

Tak jsem se tím trošku prokousal, ale Windows Defender mi docela bránil

[altrok]

V PC bezi (nebo se o to alespon snazi) 2 antiviry - Avast a Windows Defender. Bud Avast odinstalujte (pomoci oficialniho odinstalatoru https://www.avast.com/cs-cz/uninstall-utility ) nebo Defender vypnete.




Odinstalujte starou a zranitelnou verzi Javy. Pokud Javu potrebujete, pak nainstalujte novou z java.com/verify - pozor na adware pri instalaci. Pote se presvedcte, ze starsi verze jsou odinstalovane. Z hlediska bezpecnosti (zranitelnosti a exploity) je lepsi ji nemit. Aktualni je 8U111. Verze Javy, ktere v PC mate nainstalovane:

• Java 8 Update 91

Mate vypnutou funkci bodu obnoveni - velice doporucuji tuto funkci zapnout.

• Kliknete pravym na Tento pocitac -> Vlastnosti -> Upresnit nastaveni systemu -> nahore zalozka Ochrana systemu -> oznacte systemovy disk (vetsinou C: ) -> Konfigurovat -> vyberte Obnovit nastaveni systemu a predchozi verze souboru a ulozte klikem na Pouzit.
• Pokud si chcete hrat s velikosti mista na disku, ktere je vyuzito body obnoveni, nedoporucuji tuto hranici snizovat pod 1 GB. Pokud mate mista na disku dost, ponechte defaultni 3-5% vyuziti disku.

• Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
• ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
• znovu spustte FRST a kliknete na Fix
• po restartu bude na plose ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

  Kód: Vybrat vše

  Start
  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-606056733-3967136355-1948296624-1001\...\Run: [rhbhwdzirq] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=D257281A092DF882157CB8DAE03961DF&utm_d=20161018" <===== ATTENTION
  IFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exe
  IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exe
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  HKU\S-1-5-21-606056733-3967136355-1948296624-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=D257281A092DF882157CB8DAE03961DF&utm_d=20161018
  SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
  SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
  SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B3B2791C0-3FE2-4CB2-B1BD-2D3BA041ECA1%7D&gp=811014
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\ayofdylg.default -> GoSearch
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ayofdylg.default -> GoSearch
  FF SearchPlugin: C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\ayofdylg.default\searchplugins\GoSearch.xml [2016-10-24]
  R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-02-18] () [File not signed]
  Task: {629FD019-A922-4ABB-B53B-7B94E9039ED0} - System32\Tasks\R@1n-KMS\Windows64Professional => wmic [Argument = path SoftwareLicensingProduct where (ID="2de67392-b7a7-462a-b1ca-108dd189f588") call Activate]
  File: C:\Users\Michal\AppData\Local\FileSystemDriver\FileSystemDriver.exe
  Folder: C:\Users\Michal\AppData\Local\FileSystemDriver
  File: C:\Users\Michal\AppData\Local\fupdate\fupdate.exe
  Folder: C:\Users\Michal\AppData\Local\fupdate
  C:\Windows\KMS-R@1n.exe
  C:\WINDOWS\KMS-R@1nHook.dll
  C:\WINDOWS\KMS-R@1nHook.exe
  FirewallRules: [{7849B08A-B9B2-4E93-BD3F-49027D352879}] => (Allow) C:\Users\Michal\AppData\Local\Temp\MPCOnline\MPCDownload.exe
  FirewallRules: [{7D579100-6776-4404-9A1B-5EBD3A3D0F49}] => (Allow) C:\Users\Michal\AppData\Local\Temp\MPCOnline\MPCDownload.exe
  FirewallRules: [{F4350ACA-AD17-4387-9EBB-189F9C923567}] => (Allow) C:\Windows\KMS-R@1n.exe
  FirewallRules: [{394CC831-2058-4170-BFB4-A26854D0218B}] => (Allow) C:\Windows\KMS-R@1n.exe
  End

[Rakusan90]

Moc děkuji. Dal jsem na vaši radu a zbavil se Javy a zapnul si obnovu systému na 5%. Avast už taky není.

[altrok]

Po restartu dejte vedet, jak se PC chova.

• Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
• ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
• znovu spustte FRST a kliknete na Fix
• po restartu bude na plose ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

  Kód: Vybrat vše

  Start
  CreateRestorePoint:
  CloseProcesses:
  Task: {9A2AEBF1-0670-4AA7-93AA-C5D2FAA32119} - System32\Tasks\FileSystemDriver => C:\Users\Michal\AppData\Local\FileSystemDriver\FileSystemDriver.exe [2016-10-18] () <==== ATTENTION
  C:\Users\Michal\AppData\Local\FileSystemDriver
  Task: {E1BA7A1C-7E55-42F2-B869-A758E264C154} - System32\Tasks\fupdate => C:\Users\Michal\AppData\Local\fupdate\fupdate.exe [2016-10-18] () <==== ATTENTION
  C:\Users\Michal\AppData\Local\fupdate
  Hosts:
  EmptyTemp:
  End

[Rakusan90]

Dobrý den, omlouvám se, že píšu až teď ale nebyl jsem doma.
Počítač se chová pořád stejně a stále mi naskakují ruské stránky.
Přidávám fixlog

[altrok]

Dejte logy FRST.txt a Addition.txt - http://forum.viry.cz/viewtopic.php?f=30&t=133101
Pokud budete mit problemy se stazenim FRSTLauncheru, staci kdyz pouzijete samotny FRST.exe/FRST64.exe.

[Rakusan90]

Soubory přiloženy.

[altrok]

• Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
• ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
• znovu spustte FRST a kliknete na Fix
• po restartu bude na plose ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

  Kód: Vybrat vše

  Start
  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-606056733-3967136355-1948296624-1001\...\Run: [asegovvilx] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=D257281A092DF882157CB8DAE03961DF&utm_d=20161018" <===== ATTENTION
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
  HKU\S-1-5-21-606056733-3967136355-1948296624-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
  HKU\S-1-5-21-606056733-3967136355-1948296624-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=D257281A092DF882157CB8DAE03961DF&utm_d=20161018
  HKU\S-1-5-21-606056733-3967136355-1948296624-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?bcutc=sp-006
  SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
  SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
  SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
  SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
  FF NewTab: Mozilla\Firefox\Profiles\ayofdylg.default -> about:newtab
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\ayofdylg.default -> GoSearch
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ayofdylg.default -> GoSearch
  FF SearchPlugin: C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\ayofdylg.default\searchplugins\GoSearch.xml [2016-10-26]
  U0 aswVmm; no ImagePath
  Task: {3EAB42E3-6BC1-47AA-BDDF-FC2702DFB867} - System32\Tasks\SafeZone scheduled Autoupdate 1475686227 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe
  ShortcutWithArgument: C:\Users\Michal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008"
  FirewallRules: [{D22D4E39-3890-49C4-AD05-CFBFEFA1B0DB}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe
  FirewallRules: [{1AB6B571-E217-4DD9-8D45-4F91EA674C64}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe
  2016-10-02 14:10 - 2016-10-26 15:04 - 00000000 ____D C:\WINDOWS\System32\Tasks\R@1n-KMS
  Hosts:
  EmptyTemp:
  End

[Rakusan90]

Přikládám fixlog

[altrok]

Problem pretrvava? Vlozte prosim nove logy FRST.txt a Addition.txt.

[Rakusan90]

Zatím to vypadá dobře. Ale mám PC spuštěný jen chvíli.

[altrok]

Takze jeste uklidime.

• Stahnete a spustte DelFix - https://toolslib.net/downloads/viewdownload/2-delfix/
• Oznacte jen moznost "Remove disinfection tools"
• kliknete na Run

A pokud nejsou dotazy ci jine problemy, je to ode mne vse.

[Rakusan90]

Mockrát vám děkuji. Velice jste mi pomohl. Vše je nyní v pořádku jako dříve
Přeji vám mnoho úspěchů