Podejrzane działanie - coupon downloader, Site Matcher

marciano85 · 20 Październik 2014 19:05

Witam,

Zauważyłem podejrzane działanie u siebie na komputerze. Dostrzegłem podejrzane aplikacje typu Site Matcher, coupon downloader. W normalnym trybie komputer nie chciał mi uruchomić OTL-a czy adwceleanera (przykładowy WARNING: adwcleaner.exe aplikacja nie jest zgodna z systemem Win32). Poza tym w Firefoxie co chwila mi wywalał Shockwave, że jest uszkodzony. Zrobiłem skan OTL-em:

Extras:

http://wklej.org/id/1493720/

OTL:

http://wklej.org/id/1493725/

Logi są brzydkie, prośba o pomoc. Z góry dziękuję.

Posprzątałem trochę AdwCleanerem, jak uruchomiłem w trybie awaryjnym z obsługą sieci.

Acorus · 20 Październik 2014 19:29

Otwórz Notatnik i wklej:

Task: {4087A4E0-70E5-4ECF-B783-A7CD3D816DEE} - \Scheduled Update for Ask Toolbar No Task File ==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=dsts=1407352865from=coruid=HitachiXHTS725050A9A364_100508PCK400VLHR107JXq={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=dsts=1407352865from=coruid=HitachiXHTS725050A9A364_100508PCK400VLHR107JXq={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=dsts=1407352865from=coruid=HitachiXHTS725050A9A364_100508PCK400VLHR107JXq={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=dsts=1407352865from=coruid=HitachiXHTS725050A9A364_100508PCK400VLHR107JXq={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Extension: No Name - C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\xnm1m17v.default\Extensions\sitematcher_srcs@sitematcher_srcs.com [2014-08-06]
FF Extension: No Name - C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\xnm1m17v.default\Extensions\staged [2014-10-20]
FF HKCU\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: McAfee Security Scan Plus - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [694784 2014-08-06] (Cherished Technololgy LIMITED) [File not signed]
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.)
2014-10-12 20:01 - 2014-10-12 20:01 - 00003158 _____ () C:\Windows\System32\Tasks\{D00A0008-63EF-413A-A8C6-B7D3825F1476}
C:\Users\Home\AppData\Roaming\settings.ini
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

marciano85 · 20 Październik 2014 19:37

Zmienić hasła do poczty, konta bankowego, allegro itp itd?

Acorus · 21 Październik 2014 07:41

Bez przesady.Skasuj folder C:\FRST

marciano85 · 22 Październik 2014 17:48

Dzięki wielkie za pomoc.