Istartsurf - problem z powracającym adware


(siara_acm) #1

Dzień dobry,

 

nie mogę pozbyć się programu istasurf. AdwClener pomaga tylko na chwilę, więc problem reklam w Chrome powraca notorycznie. Chciałbym pozbyć się istasurf na stałe.

 

FRST  http://wklej.org/id/1762641/

Add  http://wklej.org/hash/505662ca39c/

OTL  http://wklej.org/hash/7d8602d7f92/

Ext  http://wklej.org/hash/7f50b6ac525/

 

 


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
R2 Intent Manhood; C:\Users\Piotrek\AppData\Roaming\Intent Manhood\Intent Manhood.exe [65536 2015-06-19] () [File not signed]
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
2015-07-12 11:58 - 2015-07-24 21:50 - 00000000 ____ D C:\AdwCleaner
2015-07-06 18:20 - 2015-07-24 21:51 - 00000024 _____ C:\Users\Piotrek\AppData\Roaming\appdataFr25.bin
2015-06-26 17:32 - 2015-06-26 17:32 - 00000000 _____ C:\Users\Piotrek\AppData\Local\Temp.dat
2015-07-24 22:36 - 2015-07-24 22:36 - 00000000 ____ D C:\Users\Piotrek\Desktop\FRST-OlderVersion
C:\Users\Piotrek\AppData\Roaming\Intent Manhood
Task: {214FA587-CC28-4D59-A75C-77ED6A152130} - System32\Tasks\{97D9CA52-723E-4AA4-9261-60703BAFB287} => pcalua.exe -a "C:\Program Files\YouTube Accelerator\YTAUninstall.exe"
Task: {42113D91-20FA-4566-9A7A-C87EA59BF4FF} - System32\Tasks\{1827F51A-AA14-479A-A922-2FE1556CD59C} => pcalua.exe -a "E:\kursy dla mamy\Praktyczny kurs Excel 2007 poziom podstawowy i średni [PL]\setup\Setup.exe" -d "E:\kursy dla mamy\Praktyczny kurs Excel 2007 poziom podstawowy i średni [PL]\setup"
Task: {ED184704-0709-4DC9-A26C-0BDD6A01BF18} - System32\Tasks\{B7A57856-748F-47B3-8C5A-1E2C53CD1202} => pcalua.exe -a C:\Users\Piotrek\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=icp
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

 

Odinstaluj Chrome zaznaczając usunięcie danych przeglądania za pomocą Geek Uninstaller Free: KLIK

Najpierw możesz wyeksportować zakładki: KLIK

Później zainstaluj stabilną wersję: KLIK

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(siara_acm) #3

Narazie fixlog:  http://wklej.org/hash/c55e2eefb58/

 

Po restarcie systemu AdwCleaner ciągle znajduje istasurf, a reklamy wyskakują. Odinstalowanie Chrome jest konieczne? Za bardzo nie wiem jak zachować dane które mam w rozszerzeniach.


(Atis) #4

Nie możesz zachować danych skoro masz zainfekowane pliki od Chrome.


(siara_acm) #5

Chrome został przeinstalowany, nowy raport: 

 

FRST  http://wklej.org/hash/6c77e086f03/


(Atis) #6

Skasuj folder C:\FRST i C:\AdwCleaner

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj ESET Online Scanner

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK

Odinstaluj Microsoft Silverlight i zainstaluj Silverlight 5.1.40620.0


(siara_acm) #7

Mój komputer niestety znowu dostał się w niepowołane ręce. Nie potrafię zidentyfikować zagrożeń, gdyż AdwCleaner znajduje ciągle różne pliki. Proszę o sprawdzenie logów:

 

FRST  http://wklej.org/hash/c4539ffc4dd/

Add  http://wklej.org/hash/94fda68a6d0/

OTL  http://wklej.org/hash/c06ebb5ae90/

Ext  http://wklej.org/id/1774504/


(Atis) #8

Może oddaj do serwisu, a rachunek osobie która nie potrafi korzystać z komputera.

Przestań wklejać logi z OTL.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: TTakkeThheCCoupuon -> {422342FA-1884-403D-8E96-2B25D0F8EAB8} -> C:\Program Files\TTakkeThheCCoupuon\wHbAcxbhhNOYLX.dll [2015-08-13] ()
Loving Herd.exe S4 Loving Herd; C:\Users\Piotrek\AppData\Roaming\Loving Herd\Loving Herd.exe [66048 2015-08-07] () [File not signed]
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
2015-08-13 22:48 - 2015-08-13 22:48 - 00602112 _____ (OldTimer Tools) C:\Users\Piotrek\Desktop\OTL.exe
2015-08-13 22:45 - 2015-08-13 22:45 - 00000000 ____ D C:\AdwCleaner
2015-08-13 13:09 - 2015-08-13 13:09 - 00000000 ____ D C:\Program Files\TTakkeThheCCoupuon
2015-08-13 13:09 - 2015-08-13 13:09 - 00000000 ____ D C:\Program Files\TaKeTheaCouponn
2015-08-07 18:25 - 2015-08-07 18:25 - 00000000 ____ D C:\Users\Piotrek\AppData\Roaming\Loving Herd
2015-07-24 23:52 - 2015-08-13 13:08 - 0000024 _____ () C:\Users\Piotrek\AppData\Roaming\appdataFr25.bin
Task: {62B5A2FD-5CB1-4C08-9B04-7403E191C290} - System32\Tasks\RecordMyRun => c:\programdata\{b3c97bba-9f22-5c0f-b3c9-97bba9f2eeea}\cwm_sp_4.4.1.exe <==== ATTENTION
Task: {A0C1BA52-E6E6-4186-A75D-C18881E99FA3} - System32\Tasks\SugarBlast => c:\programdata\{34310a96-c246-6ce6-3431-10a96c242a5b}\5585357802695044417b.exe <==== ATTENTION
C:\WINDOWS\Tasks\RecordMyRun.job 
C:\WINDOWS\Tasks\SugarBlast.job 
c:\programdata\{b3c97bba-9f22-5c0f-b3c9-97bba9f2eeea}
c:\programdata\{34310a96-c246-6ce6-3431-10a96c242a5b}
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Odinstaluj Chrome zaznaczając usunięcie danych przeglądania.

Najpierw możesz wyeksportować zakładki: KLIK

Później zainstaluj stabilną wersję: KLIK

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(siara_acm) #9

Fixlog  http://wklej.org/hash/74e023936ad/

 

nowy raport frst  http://wklej.org/hash/7a4c9ff6b60/


(Atis) #10

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

S4 Loving Herd; C:\Users\Piotrek\AppData\Roaming\Loving Herd\Loving Herd.exe [X]
2015-08-14 10:07 - 2015-08-14 10:07 - 00000024 _____ C:\Users\Piotrek\AppData\Roaming\appdataFr25.bin
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish