RightSurf.BrowserAdapter64

[ubekistannn]

Witam

Przez przypadek ściągnełem sam sobie ten program zauważyłem ze po jakimś czasie pojawiająsie co raz to nowe procesy które są nastepstwem plików pobranych przez surfa. Surfa znalazlem w

 

  C:\Program Files (x86)\RightSurf\bin 

 

 

Próbowałem poprostu usunąć to za pomocą ccleanera jednak fail

Zamykałem proces w menagerze i potem probowałem to usunąć poprostu prawym i delete jednak wyskakiwał komunikat: który mówi ze dany plik jest urzywany przez i nazwa tego pliku. A pliki które da się usunąć po chwili pojawiaja sie znowu.

 

Nie jestem informatykiem prosze o łopatologiczne tłumaczenie

 

Z góry dziekuje i proszę o rozpatrzenie sprawy

Addition.txt

Shortcut.txt

FRST.txt

[picasso]

Przypominam, że zestaw obowiązujących raportów jest tu szerszy, również OTL i GMER są obowiązkowe.

 

Problem adware pochodzi z uruchomienia tzw. "downloaderów", na dysku widać conajmniej jeden plik tego typu. Do czytania potem na co uważać: KLIK.

 

C:\Users\Admin\Downloads\ToshibaTouchpadDisable_EnableUtility_downloader-I1IhNEv9m.exe

 

W systemie jest zresztą więcej typów adware, nie tylko ów "RightSurf". Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-09] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-09] (globalUpdate) [File not signed]
R2 Update RightSurf; C:\Program Files (x86)\RightSurf\updateRightSurf.exe [522528 2014-10-12] ()
R2 Util RightSurf; C:\Program Files (x86)\RightSurf\bin\utilRightSurf.exe [522528 2014-10-12] () )
R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-04-18] (StdLib)
R1 {b9a19c25-a741-47e5-91a2-0b62bef307ff}w64; C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys [61112 2014-04-24] (StdLib)
Task: {6D4B5E92-518E-4251-8C4D-DD5C0D2ADAB9} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-09] (globalUpdate) 
Task: {6F88297E-477E-4B15-AF42-DA5EDFEBE233} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-09] (globalUpdate) 
Task: {C7A3732A-C63E-443F-B8CA-6F05C3B2D2BC} - System32\Tasks\YWDGNH => C:\Users\Admin\AppData\Roaming\YWDGNH.exe [2014-10-09] (Object Browser) 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\Windows\Tasks\YWDGNH.job => C:\Users\Admin\AppData\Roaming\YWDGNH.exe 
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.dalesearch.com/?babsrc=HP_ss&mntrId=4E4F001B9EEBA14D&affID=119357&tt=021013_dle&tsp=5023
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.dalesearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4E4F001B9EEBA14D&affID=119357&tt=021013_dle&tsp=5023
SearchScopes: HKCU - {EE36B910-E61C-46E5-8375-0A788BA8502E} URL = http://rts.dsrlte.com/?q={searchTerms}&r=316
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\Mobogenie3
C:\Program Files (x86)\RightSurf
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat
C:\ProgramData\TEMP
C:\ProgramData\Thunder Network
C:\ProgramData\Xunlei
C:\Users\Admin\AppData\Local\CrashRpt
C:\Users\Admin\AppData\Local\globalUpdate
C:\Users\Admin\AppData\Local\Lollipop
C:\Users\Admin\AppData\Local\Mobogenie
C:\Users\Admin\AppData\Roaming\*.exe
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
C:\Users\Admin\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
C:\Users\Admin\AppData\Roaming\newnext.me
C:\Users\Admin\Downloads\*downloader*.exe
C:\Users\Admin\Downloads\*patch*.exe
C:\Users\Admin\Documents\Mobogenie
C:\Users\Public\Documents\GOOBZO
C:\Users\Public\Documents\YTAHelper
C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys
C:\Windows\System32\drivers\wStLibG64.sys
C:\Windows\SysWOW64\GroupPolicy\GPT.INI
RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Skype Packages
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Admin\AppData\Local
CMD: dir /a C:\Users\Admin\AppData\LocalLow
CMD: dir /a C:\Users\Admin\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Specjalny skrót Internet Explorer jest uszkodzony:

 

Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.

 

4. Wyczyść Google Chrome z adware:

• Ustawienia > karta Rozszerzenia > odinstaluj adware Widget context
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[ubekistannn]

Sumiennie wypełniłem wszystkie podpunkty załaczam logi xD

Fixlog.txt

FRST.txt

[picasso]

Wszystko zrobione. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\ProgramData\Babylon
RemoveDirectory: C:\ProgramData\BitGuard
RemoveDirectory: C:\ProgramData\McAfee
RemoveDirectory: C:\Users\Admin\AppData\Local\avgchrome
RemoveDirectory: C:\Users\Admin\AppData\Local\cache
RemoveDirectory: C:\Users\Admin\AppData\Local\genienext
RemoveDirectory: C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ombmmloebnfnpehgjnmkcgoegfachobp
RemoveDirectory: C:\Users\Admin\AppData\LocalLow\Delta
RemoveDirectory: C:\Users\Admin\AppData\Roaming\0F1F1C2Y1H1P1C0I0T
RemoveDirectory: C:\Users\Admin\AppData\Roaming\Babylon
RemoveDirectory: C:\Users\Admin\AppData\Roaming\Mobogenie
RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. Przedstaw go.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Dostarcz ten log.

 

 

 

.

[ubekistannn]

ok wykonane Załączam wyniki

Fixlog.txt

AdwCleanerS0.txt

[picasso]

Gładko poszło i finalizujemy sprawy:

 

1. Usuń folder C:\Users\Admin\Desktop\frst64 oraz popraw na za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

To tyle. Artykuł na co uważać już linkowałam.