Safefinder

Dla specjalistów Bezpieczeństwo
#1

Witam

Gdzieś w sieci zaraziłem się syfem zwanym safe finder 

FRST : http://www.wklej.org/id/1921620/

Shortcut : http://www.wklej.org/id/1921622/

Addition : http://www.wklej.org/id/1921623/

Z góry dziękuje za pomoc.

 

 

#2

W panelu sterowania odinstaluj Setup

#3

Nie mam czegoś takiego w programach.

Skan ADW cleanera http://www.wklej.org/id/1921817/

#4

Podałem link skąd należy pobrać najnowszą wersję AdwCleaner.

#5

Przepraszam, jakiś rozkojarzony jestem.

Logi : http://www.wklej.org/id/1921849/

#6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
AppInit_DLLs: C:\ProgramData\Airtostrong\Daltredity.dll = C:\ProgramData\Airtostrong\Daltredity.dll [805376 2016-01-23] ()
AppInit_DLLs-x32: C:\ProgramData\Airtostrong\X-dom.dll = C:\ProgramData\Airtostrong\X-dom.dll [257536 2016-01-23] ()
HKU\S-1-5-21-1947418190-1859756925-1038771272-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdNUNt4iU5mnJ240jgw5k7ntkZnwcM0OeGl6X6FrwR1NH74wjYB7y-np9LDNS9U1k3x_3xv2ScobXGtBYPKMgA9Wf9J3Jdi0CDVLInslrIjMJiuK5L12p3g72AM8jbJK7e2SjliCICCYUAcPB0pFd3eTsSAYUu4,q={searchTerms}
SearchScopes: HKLM - DefaultScope - brak wartości
SearchScopes: HKLM-x32 - DefaultScope - brak wartości
CHR HomePage: Default - hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdNUNt4iU5mnJ240jgw5k7ntkZnwcM0OeGl6X6FrwR1NH74wjYB7y-np9LDNS9U1k3xkqaXX_je_H2-irCs7KmX4SSbv0vo9kc--ISYb9tOWG-xt-aBQ0n6VMFDGsA_2V67YX7IpXYzDAKgtnyBomb5w86AVso8,
CHR DefaultSearchURL: Default - hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdNUNt4iU5mnJ240jgw5k7ntkZnwcM0OeGl6X6FrwR1NH74wjYB7y-np9LDNS9U1k3xowvHmvdp14XHFuLGV5CHM46CKbY2cyqnmz71wNvJAJ1Zu9iQzjNEqds-Tl5JtWsoHUgLSDk9YwX6j_TkiJ0vNBIBWtEY,q={searchTerms}
CHR DefaultSearchKeyword: Default - feed.sonic-search.com
CHR DefaultSuggestURL: Default - hxxps://search.yahoo.com/sugg/chrome?output=fxjsonappid=crmascommand={searchTerms}
R2 Airtostrong; C:\ProgramData\\Airtostrong\\Airtostrong.exe [540160 2016-01-23] () [Brak podpisu cyfrowego]
R2 dlohn; C:\ProgramData\\dlohn\\dlohn.exe [540160 2016-01-24] () [Brak podpisu cyfrowego]
S3 PAExec; C:\Windows\PAExec.exe [189112 2015-12-23] (Power Admin LLC)
R2 turodhctdoonloader; C:\Users\Johnny Bravo\AppData\Local\Canlatlane.exe [28160 2016-01-23] () [Brak podpisu cyfrowego]
S1 {aadb4035-d1f2-441d-b828-aa8f979500c3}Gw64; system32\drivers\{aadb4035-d1f2-441d-b828-aa8f979500c3}Gw64.sys [X]
2016-01-27 17:35 - 2016-01-27 17:36 - 00000000 ____ D C:\AdwCleaner
C:\AdwCleaner*.txt
2016-01-24 08:55 - 2016-01-27 17:38 - 00000000 ____ D C:\ProgramData\dlohn
2016-01-24 08:55 - 2016-01-24 08:55 - 00000000 ____ D C:\ProgramData\dlohns
2016-01-23 19:20 - 2016-01-27 17:38 - 00000000 ____ D C:\ProgramData\Airtostrong
2016-01-23 19:20 - 2016-01-23 19:20 - 03708349 _____ () C:\Program Files\Common Files\w0oaqrid.exe
2016-01-23 19:20 - 2016-01-23 19:20 - 00000000 ____ D C:\ProgramData\Airtostrongs
2016-01-23 19:19 - 2016-01-23 19:19 - 00000000 ____ D C:\Program Files\Common Files\wioztqe1
2016-01-23 17:57 - 2016-01-23 17:57 - 00636146 _____ C:\Users\Johnny Bravo\Downloads\AdwCleaner 2.303 [32Bit 64Bit] [PL].7z
2016-01-23 17:57 - 2013-06-12 06:56 - 00648201 _____ C:\Users\Johnny Bravo\Desktop\AdwCleaner 2.303.exe
2016-01-23 17:39 - 2016-01-23 17:39 - 00000000 ____ D C:\ProgramData\Solotoughs
2016-01-23 17:21 - 2016-01-23 17:21 - 00041472 _____ C:\Users\Johnny Bravo\AppData\Local\Canlatlane.dat
2016-01-23 17:21 - 2016-01-23 17:21 - 00028160 _____ C:\Users\Johnny Bravo\AppData\Local\Canlatlane.exe
2016-01-23 17:21 - 2016-01-23 17:21 - 00000187 _____ C:\Users\Johnny Bravo\AppData\Local\Canlatlane.exe.config
2016-01-23 17:20 - 2016-01-23 17:19 - 00000967 _____ C:\Windows\system32\Drivers\etc\hp.bak
2016-01-23 17:19 - 2016-01-26 09:19 - 00000000 ____ D C:\Users\Johnny Bravo\AppData\Local\Extension Balance
2016-01-08 21:40 - 2016-01-08 21:40 - 00000000 ____ D C:\ProgramData\TEMP
Task: {4A9314B3-44FC-401B-88C5-66BD63439855} - System32\Tasks\RegClean Pro_UPDATES = C:\Program Files (x86)\RCP\RegCleanPro.exe ==== UWAGA
Task: {71A8D166-77AE-485A-803D-52A15E8CB942} - System32\Tasks\bespakduct = C:\Windows\system32\config\systemprofile\AppData\Local\Sunlight [2016-01-23] () ==== UWAGA
Task: {90B5AC4A-A0D7-4604-AE34-3D57E31D9948} - System32\Tasks\DLL-Files.Com Fixer_Updates = C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe
Task: {A05ADEFF-9C0D-41A5-BAF7-65EDF04C938E} - System32\Tasks\RegClean Pro = C:\Program Files (x86)\RCP\RegCleanPro.exe ==== UWAGA
Task: {B8B2CA70-E483-4091-8EA4-E2EE0F39F460} - System32\Tasks\DLL-Files.Com Fixer_MONTHLY = C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe
Task: {C509077E-AC06-448F-AEC8-59FB352073EC} - System32\Tasks\Chrome Cleanup Tool post reboot run = C:\Users\Johnny Bravo\Downloads\chrome_cleanup_tool.exe
Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove - Brak pliku ==== UWAGA
Task: C:\Windows\Tasks\DLL-Files.Com Fixer_MONTHLY.job = C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe
Task: C:\Windows\Tasks\DLL-Files.Com Fixer_Updates.job = C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe
Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job = C:\Program Files (x86)\RCP\RegCleanPro.exe ==== UWAGA
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec = ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec = ""="Service"
HKU\S-1-5-21-1947418190-1859756925-1038771272-1000\Software\Classes\.exe:  =  ===== UWAGA
Hosts:
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

 

#7

Raport usuwania http://wklej.org/id/1921918/

Nowy log FRTS http://wklej.org/id/1921920/

 

#8

Skasuj folder C:\FRST

#9

Zrobiłem wszystko co Pan kazał, i wkoncu pozbyłem się tego syfu z komputera, a także kilku innych.

Bardzo dziękuje za profesjonalną pomoc i pozdrawiam. :slight_smile: