Przeglądarki zawalone reklamami, deunovo (czy jakoś tak)

Dla specjalistów Bezpieczeństwo
#1

Witam, mam problem z kolejnym komputerem. Wszystkie przeglądarki zawalone są jakimiś reklamami. Dotyczy to czegoś, co w spisie programów występuje pod nazwą deunovo (bądź podobną, niestety nie pamięam dokładnie), teraz to usunąłem, na chwilę jest spokój. Ale najczęściej wraca po paru dniach. Proszę e-koledzy o pomoc.

 

LOGI:

 

FRST: http://www.wklej.org/id/1803994/

ADD: http://www.wklej.org/id/1803995/

Shortcut: http://www.wklej.org/id/1803996/

#2

W panelu sterowania odinstaluj IB Updater Service.

Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Usuń (Cleaning).

Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

#3

dorzucam jeszcze logi z drugiego komputera (działającego w tej samej sieci), na którym były takie same objawy. Logi już po czyszczeniu AdwCleanerem. 

 

frst: http://wklej.org/id/1804235/

add: http://wklej.org/id/1804238/

shortcut: http://wklej.org/id/1804239/

 

niedługo jeszcze zedytuje i wkleje logi z pierwszego komputera.

#4

Odinstaluj McAfee WebAdvisor .

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S2 0214871443268744mcinstcleanup; C:\Windows\TEMP\021487~1.EXE [883024 2015-05-04] (McAfee, Inc.)
2015-09-26 13:53 - 2015-09-26 13:54 - 00000000 ____ D C:\AdwCleaner
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

#5

logi z pierwszego komputera: 

 

http://wklej.org/id/1804439/

http://wklej.org/id/1804441/

http://wklej.org/id/1804442/

#6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [ROC_ROC_NT] => "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT
Startup: C:\Users\Aleks\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\B5BA97.lnk [2012-12-17]
C:\Windows\System32\7EAFA8
HKU\S-1-5-21-1880958068-3406505793-779928829-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF NetworkProxy: "http", "localhost"
FF NetworkProxy: "http_port", 9666
FF NetworkProxy: "socks", "localhost"
FF NetworkProxy: "socks_port", 9050
FF NetworkProxy: "socks_remote_dns", true
FF NetworkProxy: "ssl", "localhost"
FF NetworkProxy: "ssl_port", 9666
CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Aleks\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-09-15]
U3 aa83a2io; Brak ImagePath
2015-09-25 23:37 - 2015-09-25 23:37 - 01662976 _____ C:\Users\Aleks\Downloads\adwcleaner_5.008.exe
2015-09-18 14:12 - 2015-09-25 14:12 - 00000000 ____ D C:\Windows\TEMPfolder
2015-09-11 11:25 - 2015-08-02 12:53 - 00000045 ____ C C:\user.js
2013-10-14 22:57 - 2013-10-14 22:57 - 50053120 _____ () C:\Program Files\GUT3B43.tmp
2013-07-08 22:43 - 2013-07-08 22:43 - 4249600 _____ () C:\Program Files\GUT3DDA.tmp
2015-03-24 07:57 - 2015-03-24 07:57 - 0000000 _____ () C:\Users\Aleks\AppData\Local\{9F394387-1C86-47AA-8370-46306BAFF5E5}
2015-03-31 08:06 - 2015-03-31 08:06 - 0000000 _____ () C:\Users\Aleks\AppData\Local\{C43B2B21-8968-4695-BA47-0ABD67F7117E}
Task: {3937605D-6C8A-439D-AAD2-EE5120CBDC60} - System32\Tasks\{AF045905-A7FD-4694-A9A5-A8CAA685352E} => pcalua.exe -a "F:\Mount &amp; Blade 1.003 + Crack\mountandblade_upgrade_1011.exe" -d "F:\Mount &amp; Blade 1.003 + Crack"
Task: {4CBA15E6-8AE2-410D-BB57-CDD2AFC07F05} - System32\Tasks\{979E68F0-535A-49FD-883C-B6DA5CA4A94E} => pcalua.exe -a G:\Setup.exe -d G:\
Task: {816C60D5-1C50-4B47-A0B2-41488985487E} - System32\Tasks\{3CAD5D26-CCAC-46C7-9E1E-EADA45740F43} => pcalua.exe -a "E:\IDM Downloads\daemon4303-lite.exe" -d "E:\IDM Downloads"
Task: {8EF38C2E-9319-4454-8756-688338DAC586} - System32\Tasks\{3B971BA2-5F61-4501-9B6A-DF0D6BC1DF3A} => pcalua.exe -a F:\disc1\setup.exe -d F:\disc1
Task: {F0953D72-6CEC-42BA-9D70-524EF9DAA39C} - System32\Tasks\{E21B3157-BB3E-4148-9C42-7E7181A2053A} => pcalua.exe -a "C:\Program Files\Common Files\aolshare\Aolunins_us.exe"
RemoveProxy:
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.