Niechciane programy

Dla specjalistów Bezpieczeństwo
#1

Witam,

Proszę o sprawdzenie logów, gdyż mam problem z usunięciem wyszukiwarki snapdoo i folderu SearchesToYesbnd. Próbowałem ręcznie i za pomocą antywirusa, ale nic nie pomogło. Zaznajomiłem się z tekstami co trzeba odznaczać przy różnego typu instalacjach, ale nie mam pojęcia skąd mi się to wzięło. Oto logi:

FRST: http://www.wklej.org/id/2012589/

Addition: http://www.wklej.org/id/2012590/

Shortcut: http://www.wklej.org/id/2012642/

 

Z góry dziękuję za pomoc!

#2

Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Usuń (Cleaning).

 

#3

FRST: http://www.wklej.org/id/2015718/

Addition: http://www.wklej.org/id/2015719/

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKU\S-1-5-21-3005948240-2728354099-1703950534-1002\...\Policies\Explorer: []
AppInit_DLLs: C:\ProgramData\serfev\Newing.dll = C:\ProgramData\serfev\Newing.dll [805376 2016-02-27] ()
AppInit_DLLs-x32: C:\ProgramData\serfev\Freshlex.dll = C:\ProgramData\serfev\Freshlex.dll [257536 2016-02-27] ()
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ======= UWAGA
HKU\S-1-5-21-3005948240-2728354099-1703950534-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7BUAguVqHm0YjRvZjzXob_Q2_EtD3j8tKRVxtYmP6x8WUOAodrjJGTA_fcvOspPYDipaDz9R_8-ZFi234orYI27MuM3Ah-qVEwXIIDD34ePPbT8OLFjP_Q8-OdMQjP3WAKKdLlozg-1ubU_SFrbWe4h34RIcMU,q={searchTerms}
HKU\S-1-5-21-3005948240-2728354099-1703950534-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7BUAguVqHm0YjRvZjzXob_Q2_EtD3j8tKRVxtYmP6x8WUOAodrjJGTA_fcvOspPYDipaDz9R_8-ZFi234orYI27MuM3Ah-qVEwXIIDD34ePPbT8OLFjP_Q8-OdMQjP3WAKKdLlozg-1ubU_SFrbWe4h34RIcMU,q={searchTerms}
HKU\S-1-5-21-3005948240-2728354099-1703950534-1002\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7BUAguVqHm0YjRvZjzXob_Q2_EtD3j8tKRVxtYmP6x8WUOAodrjJGTA_fcvOspPYDipaDz9R_8-ZFi234orYI27MuM3Ah-qVEwXIIDD34ePPbT8OLFjP_Q8-OdMQjP3WAKKdLlozg-1ubU_SFrbWe4h34RIcMU,q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-3005948240-2728354099-1703950534-1002 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HomePage: Default - hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7BUAguVqHm0YjRvZjzXob_Q2_EtD3j8tKRVxtYmP6x8WUOAodrjJGTA_fcvOspPYDiyAz-zm2MFKwE1dZrnVy025sleJlSWwDiQgFFcgSeY5_jFoG2_9Pik2fWdHonGeYXQzjA6vRvI5R7mjGq-a1RUd7jeC9k,
CHR StartupUrls: Default - "hxxp://www.yessearches.com/?mode=nnnbptid=wakuid=C7C9E2F9280F4540B2C39993BA026D9Ev=20160202ts=AHEpBXIrBXEkCE.."
CHR DefaultSearchURL: Default - hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSc0iu0uBbj7qfBdJwOCPROhOvH6jzcLJOnBkNH6Uu2dIbGV0YaEF6FvyzY9qtFaBxPqv_ewzoua_UXhej5akx2308ZxwCeTDCJLHR95FaXI8EW98Zins7jMaC1sJMBXebWwxbHo1HujRis_aUZHtTjpjB2q={searchTerms}
CHR DefaultSearchKeyword: Default - feed.sonic-search.com
CHR DefaultSuggestURL: Default - hxxps://search.yahoo.com/sugg/chrome?output=fxjsonappid=crmascommand={searchTerms}
CHR HKLM\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx
S2 aoonloaduoupdatjuoon; C:\Users\Justyna\AppData\Local\Scot-lane.exe [28160 2016-02-27] () [Brak podpisu cyfrowego]
R2 serfev; C:\ProgramData\\serfev\\serfev.exe [528384 2016-02-27] () [Brak podpisu cyfrowego]
C:\AdwCleaner
2016-02-27 23:49 - 2016-02-28 13:19 - 00000000 ____ D C:\ProgramData\serfev
2016-02-27 23:49 - 2016-02-27 23:49 - 00000000 ____ D C:\ProgramData\serfevs
2016-02-27 14:16 - 2016-02-27 14:16 - 00000000 ____ D C:\ProgramData\FLEXnet
2016-02-27 14:11 - 2016-02-27 14:14 - 00000000 ____ D C:\ProgramData\Ronzap
2016-02-27 14:11 - 2016-02-27 14:11 - 08003072 _____ C:\Users\Justyna\AppData\Roaming\agent.dat
2016-02-27 14:11 - 2016-02-27 14:11 - 01895117 _____ C:\Users\Justyna\AppData\Roaming\Zummalax.tst
2016-02-27 14:11 - 2016-02-27 14:11 - 00189750 _____ () C:\Users\Justyna\AppData\Roaming\Kontouch.bin
2016-02-27 14:11 - 2016-02-27 14:11 - 00126464 _____ C:\Users\Justyna\AppData\Roaming\noah.dat
2016-02-27 14:11 - 2016-02-27 14:11 - 00064752 _____ C:\Users\Justyna\AppData\Roaming\Config.xml
2016-02-27 14:11 - 2016-02-27 14:11 - 00041472 _____ C:\Users\Justyna\AppData\Local\Scot-lane.dat
2016-02-27 14:11 - 2016-02-27 14:11 - 00028160 _____ C:\Users\Justyna\AppData\Local\Scot-lane.exe
2016-02-27 14:11 - 2016-02-27 14:11 - 00018432 _____ C:\Users\Justyna\AppData\Roaming\Main.dat
2016-02-27 14:11 - 2016-02-27 14:11 - 00000187 _____ C:\Users\Justyna\AppData\Local\Scot-lane.exe.config
2016-02-27 14:11 - 2016-02-27 14:11 - 00000000 ____ D C:\ProgramData\Ronzaps
2016-02-27 14:11 - 2016-02-27 14:10 - 00762880 _____ C:\Users\Justyna\AppData\Roaming\Zummalax.exe
2016-02-27 14:10 - 2016-02-27 23:51 - 00000000 ____ D C:\ProgramData\CloudPrinter
2016-02-27 14:10 - 2016-02-27 14:11 - 00005568 _____ C:\Users\Justyna\AppData\Roaming\md.xml
2016-02-27 14:10 - 2016-02-27 14:10 - 00848437 _____ C:\Users\Justyna\AppData\Roaming\Quaddox.bin
2016-02-27 14:10 - 2016-02-27 14:10 - 00762880 _____ C:\Users\Justyna\AppData\Roaming\Cofdex.exe
2016-02-27 14:10 - 2016-02-27 14:10 - 00127488 _____ C:\Users\Justyna\AppData\Roaming\Installer.dat
2016-02-27 14:10 - 2016-02-27 14:10 - 00126464 _____ C:\Users\Justyna\AppData\Roaming\lobby.dat
2016-02-27 14:10 - 2016-02-27 14:10 - 00072713 _____ C:\Users\Justyna\AppData\Roaming\Cofdex.tst
2016-02-27 14:10 - 2016-02-27 14:10 - 00054272 _____ C:\Users\Justyna\AppData\Roaming\ApplicationHosting.dat
2016-02-27 14:10 - 2016-02-27 14:10 - 00016992 _____ C:\Users\Justyna\AppData\Roaming\InstallationConfiguration.xml
2016-02-27 13:33 - 2016-02-27 13:36 - 00000000 ____ D C:\Users\Justyna\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
2016-02-27 13:33 - 2016-02-27 13:33 - 00000000 ____ D C:\extensions
ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk - C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) - %SNP%
ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk - C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) - %SNP%
ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk - C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) - %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) - %SNP%
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) - %SNP%
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

 

 

#5

Fixlog: http://www.wklej.org/id/2015868/

FRST: http://www.wklej.org/id/2015869/

#6

Wykonaj naprawę w trybie awaryjnym:

#7

Zrobiłem naprawę w trybie awaryjnym. Oto logi:

FRST: http://www.wklej.org/id/2016233/

Addition: http://www.wklej.org/id/2016235/

#8

Nie  wiadomo dlaczego nie można tego usunąć.

 

#9

Czyli pozostaje tylko format?

 

#10

Możesz spróbować z poziomu WinRE lub przywracania systemu jeśli masz punkt utworzony przed instalacją adware.

 

#11

Zrobiłem skan za pomocą Malwarebytes Anti-Malware i usunęło. Na wszelki wypadek jeszcze raz zrobiłem skan FRST, oto logi: 

FRST: http://wklej.org/id/2016446/

Addition: http://wklej.org/id/2016448/

Shortcut: http://wklej.org/id/2016450/

#12

Wygląda na to, że Malwarebytes skutecznie to usunął, bo nie widać aktywnej infekcji.