Usunięcie Deal Keeper - Pomoc przy logach

Dla specjalistów Bezpieczeństwo
#1

Witam, chciałbym prosić o pomoc przy logach z FRST. Przeczytałem większość tematów z forum odnośnie usuwania Deal Keeper i stosowałem się do instrukcji. Przed skanowaniem i wygenerowaniem raportów z FRST, uzyłem adwcleaner_4.111 i przeskanowałem komputer z usunięciem wykrytych zagrożeń. Nastepnie skan FRST, a poniżej zamieszczam wyświetlone raporty. Proszę o pomoc.

Pozdrawiam.

FRST: http://wklej.to/bp2lL

 

ADDITION: http://wklej.to/2oLBQ

 

Z góry dziekuję.

#2

Odinstaluj McAfee Security Scan Plus.Otwórz notatnik systemowy i wklej:

Task: C:\windows\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job = C:\windows\system32\xp_eos.exe
Task: C:\windows\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job = C:\windows\system32\xp_eos.exe
HKLM\...\Run: [RTHDCPL] = C:\windows\RTHDCPL.EXE [16862720 2008-05-16] (Realtek Semiconductor Corp.)
HKLM\...\Run: [AzMixerSel] = C:\Program Files\Realtek\Audio\InstallShield\AzMixerSel.exe [53248 2006-07-17] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Adobe ARM] = C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-05-11] (Adobe Systems Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] = C:\Program Files\Common Files\Java\Java Update\jusched.exe [253816 2013-03-12] (Oracle Corporation)
HKLM\...\Run: [iTunesHelper] = D:\Program Files\iTunes\iTunesHelper.exe [152392 2014-07-08] (Apple Inc.)
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk - C:\Program Files\McAfee Security Scan\3.8.150\SSScheduler.exe (McAfee, Inc.)
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-1275210071-1364589140-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.google.com" ======= ATTENTION
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll (McAfee, Inc.)
FF SelectedSearchEngine: Yahoo! Search
FF Extension: Deal Keeper - C:\Documents and Settings\oo\Dane aplikacji\Mozilla\Firefox\Profiles\i0va33rt.default\Extensions\{d2f6cfdf-5a59-4a05-b513-291270f3d08b}.xpi [2014-10-14]
FF HKU\S-1-5-21-1275210071-1364589140-725345543-1004\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: McAfee Security Scan Plus - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
S4 NMIndexingService; "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" [X]
U3 a8mwgtup; C:\windows\system32\Drivers\a8mwgtup.sys [0] (Intel Corporation) ==== ATTENTION (zero size file/folder)
U3 amqctrbt; C:\windows\system32\Drivers\amqctrbt.sys [0] (Intel Corporation) ==== ATTENTION (zero size file/folder)
S4 IntelIde; No ImagePath
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]
U3 TlntSvr; No ImagePath
S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]
2015-03-01 11:46 - 2015-03-01 11:55 - 00000000 ____ D () C:\AdwCleaner
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#3

Dziękuje bardzo kolego! Wszystko śmiga jak należy! :slight_smile: Miałem już dość nowych iPhone’ów, kuponów do hipermarketów, zaproszeń do kasyn itp… :wink:

 

Mam jeszcze jeden komputer, nota bene nie mój, który powinienem doprowadzić do stanu używalności.

Tam problem jest podobny, też wyskakujące ogłoszenia, reklamy, banery, nowe karty. Z tego co doszedłem problemem jest “clock hand ads”.

Czy w tym problemie też możesz mi pomoc?

Z tym komputerem, o którym teraz pisze jestem ostrożniejszy, bo  po pierwsze to nie mój komputer, po drugie jest to komputer służbowy, który ma zainstalowane wiele programów branżowych, które służą obsłudze działalności gospodarczej.

 

Moje pytanie, czy CLOCK HAND też mogę potraktować w ten sam sposób co DEAL KEEPER?

 

Pozdrawiam serdecznie i czekam na odpowiedź.

#4

Skasuj folder C:\FRST

Potrzebne logi z tamtego komputera.

#5

Logi zdobyć tak samo jak z obecnego, czyli przez FRST? Skanować wcześniej tamten komputer przez adwcleaner_4.111?

#6

Logi z FRST .Nie musisz.

#7

FRST: http://wklej.to/DSYka

 

ADDITION: http://wklej.to/CvNcO

 

Logi z drukiego komputera.

#8

Odinstaluj Adobe Reader 8.1.2,Clock Hand,Spybot - Search & Destroy.Otwórz notatnik systemowy i wklej:

Task: C:\WINDOWS\Tasks\Check for updates (Spybot - Search Destroy).job =
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job =
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job =
Task: C:\WINDOWS\Tasks\Refresh immunization (Spybot - Search Destroy).job =
Task: C:\WINDOWS\Tasks\Scan the system (Spybot - Search Destroy).job =
HKLM\...\Run: [Adobe Reader Speed Launcher] = C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [39792 2008-01-11] (Adobe Systems Incorporated)
HKLM\...\Run: [UpdateLBPShortCut] = C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe [222504 2008-02-21] (CyberLink Corp.)
HKLM\...\Run: [CLMLServer] = C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe [104936 2008-07-18] (CyberLink)
HKLM\...\Run: [UpdateP2GoShortCut] = C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [210216 2008-09-24] (CyberLink Corp.)
HKLM\...\Run: [RemoteControl] = C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [87336 2008-04-02] (Cyberlink Corp.)
HKLM\...\Run: [LanguageShortcut] = C:\Program Files\CyberLink\PowerDVD\Language\Language.exe [62760 2008-02-22] ()
HKLM\...\Run: [UpdatePPShortCut] = C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe [222504 2008-01-04] (CyberLink Corp.)
HKLM\...\Run: [UpdatePSTShortCut] = C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe [210216 2008-10-22] (CyberLink Corp.)
HKLM\...\Run: [] = [X]
HKLM\...\Run: [SDTray] = C:\Program Files\Spybot - Search Destroy 2\SDTray.exe [4101576 2014-06-24] (Safer-Networking Ltd.)
HKU\S-1-5-21-1960408961-2077806209-1417001333-1004\...\Run: [MSMSGS] = C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] - {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} = No File
BootExecute: autocheck autochk * bddel.exe
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1960408961-2077806209-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-1960408961-2077806209-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://home.mywebsearch.com/index.jhtml?n=77DE8857p2=^HJ^xdm073^YY^plptb=09268BE2-CE89-4504-A533-D558AA8C749Bsi=pconverter
FF DefaultSearchEngine: omiga-plus
FF SearchPlugin: C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\s8g1ukko.default\searchplugins\my-web-search.xml
FF SearchPlugin: C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\s8g1ukko.default\searchplugins\omiga-plus.xml
FF Extension: FF Toolbar - C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\s8g1ukko.default\Extensions\fftoolbar2014@etech.com [2015-02-02]
FF Extension: Clock Hand 1.0.1 - C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\s8g1ukko.default\Extensions\{60b4ca60-5c76-463e-8bce-058498c2450d}.xpi [2015-02-02]
FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\s8g1ukko.default\extensions\fftoolbar2014@etech.com
CHR StartupUrls: Default - "hxxp://isearch.omiga-plus.com/?type=hpts=1422902271from=coruid=ST9320325AS_5VE50Z0YXXXX5VE50Z0Y"
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\40.0.2214.115\ppGoogleNaClPluginChrome.dll No File
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll No File
CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_149.dll No File
CHR Extension: (Clock Hand) - C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dboobfghnnnlmngfjifahcbfbgjedhkj [2015-02-23]
R2 SDScannerService; C:\Program Files\Spybot - Search Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.)
R2 SDUpdateService; C:\Program Files\Spybot - Search Destroy 2\SDUpdSvc.exe [2088408 2014-06-27] (Safer-Networking Ltd.)
S2 SDWSCService; C:\Program Files\Spybot - Search Destroy 2\SDWSCSvc.exe [171928 2014-04-25] (Safer-Networking Ltd.)
R2 Update Clock Hand; C:\Program Files\Clock Hand\updateClockHand.exe [403184 2015-03-01] ()
R2 Util Clock Hand; C:\Program Files\Clock Hand\bin\utilClockHand.exe [403184 2015-03-01] ()
R1 {291bfea4-019b-41de-a68d-736bec29b080}Gt; C:\WINDOWS\System32\drivers\{291bfea4-019b-41de-a68d-736bec29b080}Gt.sys [55824 2015-02-25] (StdLib)
R1 {d3faa606-99ad-4927-8f30-167a217dc4db}Gt; C:\WINDOWS\System32\drivers\{d3faa606-99ad-4927-8f30-167a217dc4db}Gt.sys [55824 2015-02-28] (StdLib)
S3 ASUSProcObsrv; \\E:\I386\AsProcOb.sys [X]
S4 IntelIde; No ImagePath
S2 SSPORT; \\C:\WINDOWS\system32\Drivers\SSPORT.sys [X]
U1 WS2IFSL; No ImagePath
2015-02-23 05:21 - 2015-02-23 20:39 - 00065536 _____ () C:\WINDOWS\system32\config\SpybotSD.evt
2015-02-22 19:16 - 2015-03-01 08:48 - 00000644 _____ () C:\WINDOWS\Tasks\Check for updates (Spybot - Search Destroy).job
2015-02-22 19:16 - 2015-02-22 20:51 - 00065536 _____ () C:\WINDOWS\system32\config\Spybot -.evt
2015-02-22 19:16 - 2015-02-22 19:31 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search Destroy
2015-02-22 19:16 - 2015-02-22 19:16 - 00001842 _____ () C:\Documents and Settings\All Users\Menu Start\Programy\Spybot-SD Start Center.lnk
2015-02-22 19:16 - 2015-02-22 19:16 - 00001836 _____ () C:\Documents and Settings\All Users\Pulpit\Spybot-SD Start Center.lnk
2015-02-22 19:16 - 2015-02-22 19:16 - 00000616 _____ () C:\WINDOWS\Tasks\Refresh immunization (Spybot - Search Destroy).job
2015-02-22 19:16 - 2015-02-22 19:16 - 00000446 _____ () C:\WINDOWS\Tasks\Scan the system (Spybot - Search Destroy).job
2015-02-22 19:16 - 2015-02-22 19:16 - 00000000 ____ D () C:\Documents and Settings\All Users\Menu Start\Programy\Spybot - Search Destroy 2
2015-02-22 19:16 - 2013-09-20 10:49 - 00018968 _____ (Safer Networking Limited) C:\WINDOWS\system32\sdnclean.exe
2015-02-22 19:15 - 2015-02-22 19:22 - 00000000 ____ D () C:\Program Files\Spybot - Search Destroy 2
2015-02-02 19:39 - 2015-02-22 16:16 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect
2015-02-02 19:38 - 2015-02-22 15:03 - 00000000 ____ D () C:\Documents and Settings\user\Dane aplikacji\omiga-plus
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#9

Rozumiem, że Foxit Reader jest zastępstwem dla Adobe Reader?

#10

Tak.Prawidłowy tok rozumowania.

#11

Dziękuję ogromnie! Wszystko działa jak trzeba!

Gdybyś tylko potrzebował jakiejś porady w zakresie mechaniki samochodowej, odzywaj się na priv! :slight_smile:

Chociaż tak mogę Ci się odwdzięczyć! :slight_smile:

 

Pozdrawiam jeszcze raz!

#12

Skasuj folder C:\FRST