Podejrzenie infekcji UniDeals

Dla specjalistów Bezpieczeństwo
#1

Witam!

Moja żona na swoim laptopie zafundowała sobie porcję wyskakujących reklam - program UniDeals.

Aktualnym moim zmartwieniem jest mój komputer - w międzyczasie między tymi dwoma komputerami krążyły różne nośniki - kilka sztuk pendrive i dwa dyski zewnętrzne. Wklejam logi z programu Farbar Recovery Scan Tool:

 

http://www.wklej.org/id/1663184/

http://www.wklej.org/id/1663196/

http://www.wklej.org/id/1663197/

 

Nic mi się nie uczepiło dysku? A może gdzieś widać jakieś inne infekcje?

Proszę o pomoc, nie zauważyłem nic poważnego w działaniu mojego komputera, natomiast działa on zdecydowanie wolniej, niż wcześniej.

 

Ps. Nigdy wcześniej nie korzystałem z tego forum, Witam serdecznie :slight_smile:

#2

W panelu sterowania odinstaluj YouTube Accelerator.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
Task: {1F73CB5F-13B8-4CD2-B538-1862F28072C5} - System32\Tasks\AdobeAAMUpdater-1.0-sarqah-Komputer-sarqah => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2012-04-04] (Adobe Systems Incorporated)
Task: {2750F8B2-0803-4A72-B668-485294320BD1} - System32\Tasks\{C5121F61-D139-4711-87A6-83656EBAF519} => pcalua.exe -a C:\Users\sarqah\Downloads\IN12STW125WW5.exe -d C:\Users\sarqah\Downloads
Task: {70563B98-C641-4493-91B5-B59BB6CB11BA} - System32\Tasks\YKGNHD => C:\Users\sarqah\AppData\Roaming\YKGNHD.exe <==== ATTENTION
Task: {9AE4E9FB-155F-4F0C-869E-0B6EE6A5BBCF} - System32\Tasks\{3E74DD88-A86C-43DC-8D09-727A65BBB7DC} => pcalua.exe -a C:\Users\sarqah\Downloads\IN12STW120WW5.exe -d C:\Users\sarqah\Downloads
Task: {9B0CDE9C-37EE-4A25-B306-6D4A12196A19} - System32\Tasks\ILEXZTR => C:\Users\sarqah\AppData\Roaming\ILEXZTR.exe <==== ATTENTION
Task: {9B47DE88-D391-4AC4-9734-DE02B370EE0C} - System32\Tasks\YTAUpdate => C:\Program Files (x86)\YouTube Accelerator\Updater.exe [2014-11-23] (Goobzo) <==== ATTENTION
Task: {C0A411CF-99F7-45E8-AB29-DECB021C9DB5} - \YTAHelper No Task File <==== ATTENTION
Task: {E1096802-9D0B-4035-8B07-5D6AD2A1FFA8} - \SPDriver No Task File <==== ATTENTION
Task: C:\Windows\Tasks\ILEXZTR.job => C:\Users\sarqah\AppData\Roaming\ILEXZTR.exe <==== ATTENTION
Task: C:\Windows\Tasks\YKGNHD.job => C:\Users\sarqah\AppData\Roaming\YKGNHD.exe <==== ATTENTION
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll [2014-06-15] (Goobzo Ltd.)
BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll [2014-06-15] (Goobzo Ltd.)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1416700618&from=smt&uid=HITACHIXHTS547575A9E384_J2540054HX7WXEHX7WXEX
R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2014-11-23] (GOOBZO)
S2 51cdb72; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.11\OptProCrash.dll",ENT
S2 Update Clock Hand; "C:\Program Files (x86)\Clock Hand\updateClockHand.exe" [X]
S2 Util Clock Hand; "C:\Program Files (x86)\Clock Hand\bin\utilClockHand.exe" [X]
R1 {cb70d938-64a3-429a-9de7-76efb8483eb3}Gw64; C:\Windows\System32\drivers\{cb70d938-64a3-429a-9de7-76efb8483eb3}Gw64.sys [48784 2015-02-04] (StdLib)
R1 {cb70d938-64a3-429a-9de7-76efb8483eb3}w64; C:\Windows\System32\drivers\{cb70d938-64a3-429a-9de7-76efb8483eb3}w64.sys [48784 2015-02-04] (StdLib)
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-02-03] (SysTool PasSame LIMITED) [File not signed]
C:\Windows\System32\drivers\{cb70d938-64a3-429a-9de7-76efb8483eb3}Gw64.sys
C:\Windows\System32\drivers\{cb70d938-64a3-429a-9de7-76efb8483eb3}w64.sys
2015-03-15 18:24 - 2015-03-15 18:28 - 02018376 _____ (iS3, Inc.) C:\Users\sarqah\Downloads\STOPzillaPRO_Downloader.exe
2015-03-15 18:24 - 2015-03-15 18:27 - 10751992 _____ (ParetoLogic, Inc.) C:\Users\sarqah\Downloads\XoftSpy_AV_Setup.exe
2014-09-01 09:18 - 2014-09-01 09:18 - 0002086 _____ () C:\Users\sarqah\AppData\Roaming\ILEXZTR
2014-09-01 09:18 - 2014-09-01 09:18 - 0001248 _____ () C:\Users\sarqah\AppData\Roaming\YKGNHD
CMD: netsh winsock reset
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Pobierz i uruchom AdwCleaner Kliknij Scan i później Cleaning.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.