Zarażony laptop, reklamy w przeglądarce, samoczynnie otwierające się karty


(tomekkk1) #1

Jak w tytule, pacjentem jest laptop kolegi :confused: zainstalowany McAfee oczywiście nic nie wie i nic nie widział, zeskanowałem za pomocą Kaspersky Rescue Disc - pousuwał 5 wirusów, 26 trojanów i 18 adware. Odinstalowałem trochę syfu, kilku programów po usunięciu syfu nie mogłem, ale proszę o sprawdzenie logów:

 

FSRT:

http://www.wklej.org/id/1534254/

 

Addition:

http://www.wklej.org/id/1534256/

 

 


(Atis) #2

W panelu sterowania odinstaluj:

Fast And Safe

Performance Optimizer

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(tomekkk1) #3

Dzięki za szybką reakcję :slight_smile:

 

Próbowałem usunąć wcześniej Fast And Safe i Performance Optimizer - sypały się błędy i lipa. Po użyciu AdwCleaner znikły w "Programy i Funkcje.

 

Log po przeskanowaniu i usunięciu programem AdwCleaner:

 

FSRT:

http://www.wklej.org/id/1534265/


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0
HKLM\...\Policies\Explorer: [HideSCAHealth] 0
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-19\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup
HKU\S-1-5-20\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup
HKU\S-1-5-21-1479710322-2147022369-2664876732-1000\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup
HKU\S-1-5-21-1479710322-2147022369-2664876732-1000\...\Policies\Explorer: [TaskbarNoNotification] 0
HKU\S-1-5-21-1479710322-2147022369-2664876732-1000\...\Policies\Explorer: [HideSCAHealth] 0
HKU\S-1-5-21-1479710322-2147022369-2664876732-1000\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-21-1479710322-2147022369-2664876732-1000\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-18\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup
HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0
HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoControlPanel] 0
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKU\S-1-5-21-1479710322-2147022369-2664876732-1000 -> DefaultScope {C9750043-4966-44A0-A1DB-D7C17C256D4C} URL = 
SearchScopes: HKU\S-1-5-21-1479710322-2147022369-2664876732-1000 -> {7F85497E-5235-4620-B13C-7A69D7305276} URL = http://services.zinio.com/search?s={searchTerms}&rf=sonyslices
SearchScopes: HKU\S-1-5-21-1479710322-2147022369-2664876732-1000 -> {EC825A21-0F2F-4EAF-8034-8E2AC9F73E83} URL = http://rover.ebay.com/rover/1/710-42480-16445-33/4?mpre=http://shop.ebay.co.uk/?oemInLn=ieSrch-Q311&_nkw={searchTerms}
BHO: DownSave -> {b6526e66-d6ed-43c1-b68e-9f43fbe638c4} -> C:\ProgramData\DownSave\SIaCHTBWJxjBmm.x64.dll No File
BHO: SaveNewaAppz -> {fc7d7696-ddc9-4d14-b8ef-f8d8b1175b47} -> C:\ProgramData\SaveNewaAppz\KP8KCyEL3wSIUX.x64.dll No File
DPF: HKLM-x32 {6A060448-60F9-11D5-A6CD-0002B31F7455} 
S3 cpuz134; \??\C:\Users\Radoslaw\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S1 ttnfd; system32\drivers\ttnfd.sys [X]
S2 X5XSEx; \??\C:\Program Files (x86)\Free Ride Games\X5XSEx.Sys [X]
C:\AdwCleaner
C:\Users\Radoslaw\Desktop\FRST-OlderVersion
CustomCLSID: HKU\S-1-5-21-1479710322-2147022369-2664876732-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Radoslaw\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1479710322-2147022369-2664876732-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Radoslaw\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {00D45A24-2594-4635-85CE-C70F865199C3} - \Scheduled Update for Ask Toolbar No Task File <==== ATTENTION
Task: {423B13EE-6968-440A-84CA-1E76CCB8AD24} - System32\Tasks\FF Watcher {2BBB96DE-B6B0-450F-BA04-C9AE2DBB51B4} => C:\Program Files\V-bates\PrefHelper.exe <==== ATTENTION
Task: {77095BF2-0E74-4E4D-9101-87B0E0AC3365} - \LaunchApp No Task File <==== ATTENTION
Task: C:\Windows\Tasks\FF Watcher {2BBB96DE-B6B0-450F-BA04-C9AE2DBB51B4}.job => C:\Program Files\V-bates\PrefHelper.exe <==== ATTENTION
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(tomekkk1) #5

Fixlog:

http://www.wklej.org/id/1534308/

 

Nowy FRST:

http://www.wklej.org/id/1534307/

 

Śliczne podziękowania kolego - klasa sama w sobie :smiley:

Laptop ożył - Firefox (tu używany głównie) również ma się znacznie lepiej :slight_smile:


(Atis) #6

Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish


(tomekkk1) #7

Wszystko zrobione, Malwarebytes znalazł tylko 7 niegroźnych obiektów za pomocą heurystyki - do kwarantanny.

 

McAfee Total Security dostał wyrok, jego miejsce zajmie Kaspersky Pure 3.0 - u mnie się sprawdza, powstrzymał kiedyś słynnego wirusa"policja" - Combofix znalazł coś tam potem, ale system nie był zablokowany :slight_smile:

Oprócz tego kupimy Zemana Anti Logger - kolega nie zdaje sobie czasami sprawy z zagrożeń w sieci a kupuje online.

 

Atis , wielkie podziękowania ode mnie i kolegi za poświęcony czas :piwo: