Root/subscription - problem

**Posty:** 2 · przez **szymondomagala** 12 Kwi 2017, 23:32

Witajcie,
złapałem niestety trochę syfu. Większość udało mi się wyrzucić, jednak AdwCleaner nadal widzi:

\root\subscription\\ActiveScriptEventConsumer [ASEC]

Podsyłam logi z:
http://wklej.org/id/3085526/
http://wklej.org/id/3085527/

Z góry dzięki za pomoc

**Posty:** 4765 · przez **ordynat** 13 Kwi 2017, 07:01

1) Odinstaluj niepotrzebny do niczego Akamai NetSession Interface

2)

CHR DefaultProfile: ChromeDefaultData

Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData (nazwa wyświetlana user0), który należy usunąć.
Czyli: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0".

3)

Dodano Dzisiaj, 06:06:
Otwórz Notatnik i wklej w nim:

WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
C:\ProgramData\mntemp
C:\Users\szymo\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
RemoveDirectory: C:\Users\szymo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnw
RemoveDirectory: C:\Users\Public\Documents\XMUpdate
RemoveDirectory: C:\Users\szymo\AppData\Roaming\Nedeied
RemoveDirectory: C:\Program Files (x86)\Olashchiquied
RemoveDirectory: C:\Users\szymo\AppData\Local\Atuqerghenory
S3 ALSysIO; \??\C:\Users\szymo\AppData\Local\Temp\ALSysIO64.sys [X] <==== UWAGA
S3 cpuz141; \??\C:\Users\szymo\AppData\Local\Temp\cpuz141\cpuz141_x64.sys [X] <==== UWAGA
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 GPU-Z; \??\C:\Users\szymo\AppData\Local\Temp\GPU-Z.sys [X] <==== UWAGA
S1 rdajweyc; \??\C:\Windows\system32\drivers\rdajweyc.sys [X]
S1 sqhohdev; \??\C:\Windows\system32\drivers\sqhohdev.sys [X]
CHR DefaultProfile: ChromeDefaultData
CHR HomePage: ChromeDefaultData -> hxxps://www.google.com/
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.initialpage123.com/search/?q={searchTerms}&z=e88acc19de12f404231cb15gezet3get0weg8wcobq&from=amz&uid=HitachiXHDS721010CLA332_JP6940HZ0RYPTF0RYPTFX&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData -> initialpage123
CHR Profile: C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-12] <==== UWAGA
CHR Extension: (Dokumenty Google) - C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2016-09-17]
CHR Extension: (Dysk Google) - C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-09-17]
CHR Extension: (ifirma.pl - faktury offline) - C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\bbghjinfbcclimbebalnhedfeconigkn [2016-10-26]
CHR Extension: (YouTube) - C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-09-17]
CHR Extension: (Adobe Acrobat) - C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2017-03-17]
CHR Extension: (Zakładki iCloud) - C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\fkepacicchenbjecpbpbclokcabebhah [2017-03-04]
CHR Extension: (Dokumenty Google offline) - C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-09-17]
CHR Extension: (Application Launcher for Drive (by Google)) - C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh [2016-10-30]
CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-03-19]
CHR Extension: (Gmail) - C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-09-17]
CHR Extension: (Chrome Media Router) - C:\Users\szymo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-04-06]
FF Extension: (Disable Prefetch) - C:\Users\szymo\AppData\Roaming\Mozilla\Firefox\Profiles\d27qiob4.default\features\{11be5587-9262-435d-b0af-342b5fd54cf0}\disable-prefetch@mozilla.org.xpi [2017-04-04]
FF Extension: (Site Deployment Checker) - C:\Program Files (x86)\Mozilla Firefox\browser\features\deployment-checker@mozilla.org.xpi [2017-03-28] [Brak podpisu cyfrowego]
GroupPolicy: Ograniczenia <======= UWAGA
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku
ShellExecuteHooks: Brak nazwy - {DC9DC542-1B46-11E7-B7E7-64006A5CFC23} - -> Brak pliku
FirewallRules: [TCP Query User{BA6FFB18-8C24-4620-A6CC-DFFE94DA437B}C:\users\szymo\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\szymo\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{47103BDC-BB2E-404B-8C81-0CED42789D00}C:\users\szymo\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\szymo\appdata\local\akamai\netsession_win.exe
FirewallRules: [TCP Query User{012A7042-F7AB-4F07-BBED-6AFEA5D30916}C:\users\szymo\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\szymo\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{272F32F8-6539-40E9-AF0A-7B9221758968}C:\users\szymo\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\szymo\appdata\local\akamai\netsession_win.exe
C:\users\szymo\appdata\local\akamai\netsession_win.exe
Task: {7A02CF78-C7DA-4CBA-AD2B-8ED2A1099B9F} - System32\Tasks\{86EECAE1-FAC1-41B8-95E2-B755CD6FDED1} => pcalua.exe -a "C:\Program Files (x86)\Wondershare\MobileGo\unins000.exe" -c /WAF
HKU\S-1-5-21-1459545378-122824101-2391149331-1001\...\Policies\Explorer: []
HKU\S-1-5-18\...\Run: [] => [X]
HKU\S-1-5-21-1459545378-122824101-2391149331-1001\...\Run: [E38BEFA38B14371567A1BE8E929146492E7724B6._service_run] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1111896 2017-03-29] (Google Inc.)
HOSTS:
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF-8
>>Zapisz
Plik umieść w folderze C:\Users\szymo\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
.

**Posty:** 2 · przez **szymondomagala** 13 Kwi 2017, 20:25

Adw przestał wykrywać błąd, jednak teraz przy próbie uruchomienia komputera muszę odłączać internet, bo inaczej nie da się zalogować.

Wklejam ponownie wynik z FRST. Co może być tego przyczyną?

http://wklej.org/id/3086050/
http://wklej.org/id/3086051/
http://wklej.org/id/3086052/

**Posty:** 4765 · przez **ordynat** 13 Kwi 2017, 21:52

W logach nie ma żadnej infekcji.

Nie potrafię odpowiedzieć, co jest tego przyczyną.

W logu Addition.txt są takie błędy:

%%systemroot%%\system32\shell32.dll => Brak pliku

Error: (04/13/2017 08:15:07 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Usługa Usługa profilów użytkowników niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 120000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.

Error: (04/13/2017 08:15:07 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Usługa Wykrywanie sprzętu powłoki niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.

ale nie wiem, czy coś z tego ma związek z Twoim problemem.

Możesz ewentualnie zrobić zwykłe "Przywracanie Systemu" do któregoś z tych punktów przywracania:

09-04-2017 14:35:14 Installed Gadwin PrintScreenPro (64-Bit)
10-04-2017 22:53:42 Zainstalowano: Microsoft PowerPoint Viewer