Złośliwy AnyProtect, Crossbrowse i mystartsearch.com

Dla specjalistów Bezpieczeństwo
#1

Witam!

 

Razem z jakąś darmową ‘gierką’ wkradło się do komputera jakieś paskudztwo, które samoczynnie instaluje różne niepotrzebne programy min: AnyProtect, mystartsearch.com, CrossBrowse, Youtube accelerator itp. Ręczne odinstalowywanie tylko pogarszało sytsuację. Dwa odpalenia Malwarebytes niby to wyczyściły, ale mystartsearch.com pozostał i mam ważenie, że proces instalacji tych śmieciowych programików rozpocznie się od nowa.

 

Poniżej logi z FRST:

Addition: http://wklej.to/aLBSq

FRST: http://wklej.org/id/1681184/

 

Czy może ktoś zajrzeć i podesłać procedurę czyszczącą?

 

Pozdrawiam,

MaGw

#2

Otwórz notatnik systemowy i wklej:

Task: {1BC0FEBF-09C5-4567-AA9C-5D4B033F7052} - System32\Tasks\HFN = C:\Users\SEMCO\AppData\Roaming\HFN.exe ==== ATTENTION
Task: {39DAC84B-CF22-42F2-AAE5-393F7A0FB8B0} - \SPBIW_UpdateTask_Time_333930373535343036372d3423412a55452a4123576c32 No Task File ==== ATTENTION
Task: {40804703-F901-4EDE-A032-F05EC0EE0F97} - \ShopperPro No Task File ==== ATTENTION
Task: {5C30D40F-42A3-40C9-BBBC-DB030D99904F} - \SPDriver No Task File ==== ATTENTION
Task: {6DD27265-8E95-48FD-991F-E5130C7B0CB2} - System32\Tasks\IJYWHV = C:\Users\SEMCO\AppData\Roaming\IJYWHV.exe ==== ATTENTION
Task: {7B11F64C-584C-44CC-880A-C6CF61E1A405} - System32\Tasks\WSLNEVMT = C:\Users\SEMCO\AppData\Roaming\WSLNEVMT.exe ==== ATTENTION
Task: {950563A8-1A37-4E49-B43F-0D48B17620FE} - \SmartWeb Upgrade Trigger Task No Task File ==== ATTENTION
Task: {AE45E8DB-13C3-414A-A696-4AC8570CFB2D} - \ShopperProJSUpd No Task File ==== ATTENTION
Task: {C6EBD27E-3FD7-48AB-B232-C63A90229DE8} - System32\Tasks\{BD24473C-8318-4989-AD39-E63289B0DF7D} = pcalua.exe -a C:\Users\SEMCO\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=face
Task: C:\Windows\Tasks\HFN.job = C:\Users\SEMCO\AppData\Roaming\HFN.exe ==== ATTENTION
Task: C:\Windows\Tasks\IJYWHV.job = C:\Users\SEMCO\AppData\Roaming\IJYWHV.exe ==== ATTENTION
Task: C:\Windows\Tasks\WSLNEVMT.job = C:\Users\SEMCO\AppData\Roaming\WSLNEVMT.exe ==== ATTENTION
HKLM\...\Run: [Adobe ARM] = C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1022152 2014-12-19] (Adobe Systems Incorporated)
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-1647760569-2294837884-3913391130-1000 - DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL =
SearchScopes: HKU\S-1-5-21-1647760569-2294837884-3913391130-1000 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1647760569-2294837884-3913391130-1000 - {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL =
SearchScopes: HKU\S-1-5-21-1647760569-2294837884-3913391130-1000 - {25954C5A-37F4-4F20-979C-6BE659484477} URL =
SearchScopes: HKU\S-1-5-21-1647760569-2294837884-3913391130-1000 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-1647760569-2294837884-3913391130-1000 - {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL =
BHO: No Name - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - No File
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
S1 innfd_1_10_0_13; system32\drivers\innfd_1_10_0_13.sys [X]
2015-04-06 16:51 - 2015-04-06 16:51 - 00613255 _____ (CMI Limited) C:\Users\SEMCO\AppData\Local\nseB0FE.tmp
2015-04-06 16:47 - 2015-04-06 17:25 - 00001332 _____ () C:\Windows\Tasks\HFN.job
2015-04-06 16:46 - 2015-04-06 17:25 - 00001338 _____ () C:\Windows\Tasks\IJYWHV.job
2015-04-06 14:24 - 2015-04-06 17:25 - 00001686 _____ () C:\Windows\Tasks\WSLNEVMT.job
2015-04-06 14:24 - 2015-04-06 17:22 - 00000000 ____ D () C:\Program Files\globalUpdate
2015-04-06 14:24 - 2015-04-06 14:24 - 00000000 ____ D () C:\Users\SEMCO\AppData\Local\globalUpdate
2015-04-06 14:23 - 2015-04-06 16:13 - 00000000 ____ D () C:\Users\Public\Documents\GOOBZO
2015-04-06 14:22 - 2015-04-06 14:22 - 00000000 ____ D () C:\Users\SEMCO\AppData\Local\CrashRpt
2015-04-06 14:22 - 2015-04-06 14:22 - 00000000 ____ D () C:\Program Files\predm
2015-04-06 14:19 - 2015-04-06 14:19 - 00613255 _____ (CMI Limited) C:\Users\SEMCO\AppData\Local\nsc2716.tmp
2015-03-26 21:14 - 2015-03-26 21:14 - 0004185 _____ () C:\Users\SEMCO\AppData\Roaming\HFN
2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\SEMCO\AppData\Roaming\IJYWHV
2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\SEMCO\AppData\Roaming\WSLNEVMT
2015-04-06 14:19 - 2015-04-06 14:19 - 0613255 _____ (CMI Limited) C:\Users\SEMCO\AppData\Local\nsc2716.tmp
2015-04-06 16:51 - 2015-04-06 16:51 - 0613255 _____ (CMI Limited) C:\Users\SEMCO\AppData\Local\nseB0FE.tmp
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#3

Dziękuję za wsparcie i wskazówki.

Na tą chwilę wygląda, że wszystko jest w porządku.

#4

Skasuj folder C:\FRST