Pełno śmieciowych programów, zmiana strony startowej

Dla specjalistów Bezpieczeństwo
#1

Witam.

 

Jeden z domowników pobrał jakiś plik/program, który po uruchomieniu zainstalował w systemie pełno jakiś śmieciowych programików oraz podmienił stronę startową w Firefoxie (zmiana w ustawieniach nic nie dawała). Malwarebytes wykrył ponad 500 infekcji, czyszczenie dokończyłem AdwCleaner, który również znalazł sporo śmieci.

 

Sytuacja pozornie wygląda na opanowaną, ale prosiłbym o sprawdzenie logów.

 

Logi:

OTL: http://wklej.org/id/1593004/

Extras: http://wklej.org/id/1593005/

 

FRST:

FRST: http://wklej.org/id/1593008/

Addition: http://wklej.org/id/1593015/

Shortcut: http://wklej.org/id/1593017/

#2

Otwórz notatnik systemowy i wklej:

Task: {72739D77-AE0C-4283-A584-35A573A262C6} - \SPBIW_UpdateTask_Time_313338323736313139352d3437415a556c2a3223346c41 No Task File ==== ATTENTION
Task: {A10B48EA-4729-4EBA-A623-5B540BD31B92} - System32\Tasks\CJVW = D:\Users\dom\AppData\Roaming\CJVW.exe ==== ATTENTION
Task: {E977AB5D-13A5-409F-95FE-93DA21C4E51A} - System32\Tasks\KOO = D:\Users\dom\AppData\Roaming\KOO.exe ==== ATTENTION
Task: C:\Windows\Tasks\CJVW.job = D:\Users\dom\AppData\Roaming\CJVW.exe ==== ATTENTION
Task: C:\Windows\Tasks\KOO.job = D:\Users\dom\AppData\Roaming\KOO.exe ==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-2821332150-970914226-2612375139-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File
BHO: No Name - {AF949550-9094-4807-95EC-D1C317803333} - No File
BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File
Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 - No Name - {D2BF470E-ED1C-487F-A777-2BD8835EB6CE} - No File
Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 - No Name - {D2BF470E-ED1C-487F-A333-2BD8835EB6CE} - No File
Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 - No Name - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - No File
S2 ASPI32; No ImagePath
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
2015-01-11 11:14 - 2015-01-11 17:16 - 00001324 _____ () C:\Windows\Tasks\KOO.job
2015-01-11 11:13 - 2015-01-11 17:16 - 00001326 _____ () C:\Windows\Tasks\CJVW.job
D:\Users\dom\jagex_cl_runescape_LIVE.dat
D:\Users\dom\random.dat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#3

Dziękuję za szybką odpowiedź.

 

fixlog: http://wklej.org/id/1593136/

 

Coś jeszcze, czy mogę uważać system za wyczyszczony?

#4

Skasuj folder C:\FRST