Adware - logi


(Nero43) #1

Witam, przydarzyła mi się strasznie dziwna sytuacja. Wyskoczył komunikat o aktualizacji java, wiec zaktualizowałem i windows defender zaczął wykrywać passwordfox(kiedyś robiłem sobie tym kopię) no raczej nie jest to wirus ale usunąłem, od tej chwili zaczął mi się kilka razy wyłączać firefox a po ustabilizowaniu pracy ff zobaczyłem trochę reklam w przeglądarce. Od razu pobrałem AdwCleaner i go użyłem. Reklam nie ma ale proszę o sprawdzenie logów:

Addition:

http://wklej.org/id/1758359/

FRST:

http://wklej.org/id/1758358/

 

Mam tylko te dwa skany ponieważ program FRST ciągle skanuje "application errors 15290


(Acorus) #2

Otwórz notatnik systemowy i wklej:

Task: {BB9DBFB6-ADBA-4C31-8A2C-65B32FC1605C} - System32\Tasks\PhotoBarrage = c:\programdata\{ec96ef61-e93f-6cc6-ec96-6ef61e93bd87}\7191447750918301047b.exe ==== ATTENTION
Task: {BC574BE5-AA5B-4C77-A345-94BA155B7F9D} - System32\Tasks\FrameFame = c:\programdata\{81896717-3b51-deea-8189-967173b59c5c}\1689743600773075234b.exe ==== ATTENTION
Task: C:\Windows\Tasks\FrameFame.job = c:\programdata\{81896717-3b51-deea-8189-967173b59c5c}\1689743600773075234b.exe ==== ATTENTION
Task: C:\Windows\Tasks\PhotoBarrage.job = c:\programdata\{ec96ef61-e93f-6cc6-ec96-6ef61e93bd87}\7191447750918301047b.exe ==== ATTENTION
AlternateDataStreams: C:\Users\User\Ustawienia lokalne:SxIj27zt0PhyoOMXyrZ9902bk7
AlternateDataStreams: C:\Users\User\AppData\Local:SxIj27zt0PhyoOMXyrZ9902bk7
HKU\S-1-5-21-1118243637-1695138252-451862137-1001\Software\Classes\.exe: exefile = ===== ATTENTION!
HKU\S-1-5-21-1118243637-1695138252-451862137-1001\Software\Classes\exefile: ===== ATTENTION!
HKU\S-1-5-21-1118243637-1695138252-451862137-1001\...\Run: [AdobeBridge] = [X]
HKU\S-1-5-21-1118243637-1695138252-451862137-1001\...\Run: [IMGcase] = [X]
GroupPolicyScripts: Group Policy detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
CHR HKU\S-1-5-21-1118243637-1695138252-451862137-1001\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
R2 Maniacal Plant; C:\Program Files (x86)\Maniacal Plant\Maniacal Plant.exe [8015962 2015-07-10] () [File not signed] ==== ATTENTION
S3 ALSysIO; \\F:\Systemowe\Temp\ALSysIO64.sys [X]
S1 MpKsl553b16cd; \\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{536BD8ED-EE3D-4626-B042-008499D18197}\MpKsl553b16cd.sys [X]
S3 VMSMP; \SystemRoot\system32\DRIVERS\vmswitch.sys [X]
S3 X6va029; \\C:\Windows\SysWOW64\Drivers\X6va029 [X]
2015-07-16 23:13 - 2015-07-16 23:19 - 00000000 ____ D C:\AdwCleaner
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Nero43) #3

Dzięki, a czym mogę jeszcze przeskanować komputer, bo aktualnie coś się w google popsuło i co chwila wyświetla mi się captcha tak jakbym nadużył googla. Więc może coś jeszcze zostało?


(Acorus) #4

Skasuj folder C:\FRST

Przeskanuj programem Malwarebytes Anti-Malware http://www.malwarebytes.org/8/

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.