Wyskakujące reklamy

Dla specjalistów Bezpieczeństwo
#1

Witam

mam problem z wyskakującymi reklamami, badając źródło obiektu wyszło, że prowadzą do stron z ib.adnxs.com

skanowalem adwcleanerem, po usunieciu tego co wykryl właściwie nic się nie zmieniło.

załączam logi z FRST

http://wklej.to/T9Qx8

http://wklej.to/SHWW0

 

jak dla mnie do usunięcia jest (właściwie pierwszy raz robię to skanowanie i mogłem czegoś nie zobaczyć):

C:\Users\GRZEJNIK\AppData\Local\Temp\i4jdel0.exe

2015-03-02 23:29 - 2015-03-02 23:29 - 00023552 _____ () C:\Users\GRZEJNIK\Downloads\Chat_Spammer.exe

2015-04-01 18:38 - 2015-04-01 19:46 - 00001350 _____ () C:\Windows\Tasks\coupons_and_fun_notification_service.job
2015-04-01 18:38 - 2015-04-01 19:46 - 00001012 _____ () C:\Windows\Tasks\kRyfKXUoRuatT7.job
2015-04-01 18:38 - 2015-04-01 19:46 - 00000712 _____ () C:\Windows\Tasks\coupons_and_fun_updating_service.job

HKU\S-1-5-21-2590703506-2650043897-1976704271-1000\...\MountPoints2: {9511e084-c7da-11e4-80a5-1c6f658e3a35} - E:\Startme.exe
HKU\S-1-5-21-2590703506-2650043897-1976704271-1000\...\MountPoints2: {d22d623e-e025-11e3-89f8-806e6f6e6963} - E:\setup.exe

z góry dziękuję za pomoc i pozdrawiam

#2

Otwórz notatnik systemowy i wklej:

Task: {61E21582-8BF3-415C-BF4E-82A7FD428E07} - System32\Tasks\{C5B485A0-74EF-4BBB-83C5-0413EA0A63B2} = pcalua.exe -a "C:\Program Files (x86)\PlusHD-V1.9\Uninstall.exe" -c /fcp=1
Task: {D63D45DA-7EDE-432B-9E58-A393219F0075} - System32\Tasks\coupons_and_fun_updating_service = C:\Program Files (x86)\coupons and fun\coupons_and_fun_updating_service.exe
Task: {D704EB96-5BC3-43DE-8C81-59F59E19A246} - System32\Tasks\coupons_and_fun_notification_service = C:\Program Files (x86)\coupons and fun\coupons_and_fun_notification_service.exe
Task: C:\Windows\Tasks\coupons_and_fun_notification_service.job = C:\Program Files (x86)\coupons and fun\coupons_and_fun_notification_service.exeë/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='coupons and fun' /appid='73143' /srcid='2913' /bic='529429786efa6d155a0f045e644bea9b' /verifier='050f03be342fbe986674d5dca6f3a0fc' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif
Task: C:\Windows\Tasks\coupons_and_fun_updating_service.job = C:\Program Files (x86)\coupons and fun\coupons_and_fun_updating_service.exe° /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=coupons_and_fun_updating_service /funurl=http:/stats.buildomserv.com
Task: C:\Windows\Tasks\kRyfKXUoRuatT7.job = C:\Users\GRZEJNIK\AppData\Roaming\kRyfKXUoRuatT7.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKU\S-1-5-21-2590703506-2650043897-1976704271-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR Extension: (cihaednhfbocfdiflmpccekcmjepcnmb) - C:\Users\GRZEJNIK\AppData\Local\Google\Chrome\User Data\Default\Extensions\cihaednhfbocfdiflmpccekcmjepcnmb [2015-04-01]
CHR Extension: (No Name) - C:\Users\GRZEJNIK\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkidpnnapnfgjhfhkpmjpbckkbaodldb [2014-12-16]
CHR Extension: (SaaveeRon) - C:\ProgramData\ljoofcajafkbonoeohokcmmmfcpagbdl\ []
R3 ALSysIO; \\C:\Users\GRZEJNIK\AppData\Local\Temp\ALSysIO64.sys [X]
S3 EagleX64; \\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 esgiguard; \\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-04-01 19:43 - 2015-04-01 19:44 - 00000000 ____ D () C:\AdwCleaner
2015-03-31 10:14 - 2015-03-31 10:14 - 00004387 _____ () C:\Users\GRZEJNIK\AppData\Roaming\kRyfKXUoRuatT7
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Odinstaluj Chrome zaznaczając usunięcie danych przeglądania.

#3

niestety dalej to samo, wrzucam nowego loga

http://wklej.to/yMeKj

skanowałem jeszcze malwarebytes anti-malware i nic nie znalazł… Format nie za bardzo mi się uśmiecha więc może ktoś popatrzy jeszcze na te logi?

Pozdrawiam