Podejrzane działanie - Coupon downloader, Site Matcher

[marciano]

Witam,

 

Zauważyłem podejrzane działanie u siebie na komputerze. Dostrzegłem podejrzane aplikacje typu Site Matcher, coupon downloader. W normalnym trybie komputer nie chciał mi uruchomić OTL-a czy adwceleanera (przykładowy WARNING: adwcleaner.exe aplikacja nie jest zgodna z systemem Win32). Poza tym w Firefoxie co chwila mi wywalał Shockwave, że jest uszkodzony. Zrobiłem skan OTL-em:

 

Extras:

http://wklej.org/id/1493720/

OTL:

http://wklej.org/id/1493725/

 

Logi są brzydkie, prośba o pomoc. Z góry dziękuję.

 

Edit: Posprzątałem trochę AdwCleanerem, jak uruchomiłem w trybie awaryjnym z obsługą sieci.

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS1.txt

[picasso]

Jeśli chodzi o błędy typu "aplikacja nie jest zgodna...", zwykle to oznacza niekompletnie pobrany lub uszkodzony plik.

 

Dostarczyłeś logi ze starej wersji FRST pozbawionej wielu nowych skanów, poprawek i komend:

 

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 31-08-2014 (ATTENTION: ====> FRST version is 50 days old and could be outdated)

 

Skąd pobierałeś? Przecież w przyklejonym wyraźnie jest link do strony domowej i nie jest możliwe pobranie starszej wersji: KLIK. Proszę pobrać FRST od nowa, zrobić nowe skany (trzy logi mają powstać: FRST.txt, Addition.txt i Shortcut.txt).

 

 

 

.

[marciano]

"Tak słusznie. Jak człowieka przyprze to zapomina o regulaminie."

 

No hard feelings:)

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

W pierwszym zestawie raportów były widoczne odpadkowe obiekty adware. W nowych raportach nic już nie widać, bo w międzaczasie użyłeś AdwCleaner. Do przeprowadzenia jednak akcje kosmetyczne:

 

1. Odinstaluj stare dziurawe wersje i zbędniki: Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Adobe Reader 9.5.3 - Polish, Java 7 Update 55, Java™ 6 Update 24, Java™ 6 Update 37, McAfee Security Scan Plus, ParetoLogic Data Recovery. A firma Paretologic nie jest zbyt godna zaufania.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ProxyServer: 201.76.113.14:8080
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1407352865&from=cor&uid=HitachiXHTS725050A9A364_100508PCK400VLHR107JX"
FF NetworkProxy: "type", 0
FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt
FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF Extension: HP Smart Web Printing - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010-10-29]
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
ShellExecuteHooks-x32: - UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No File [ ]
Task: {AA9B67B3-1491-4A76-ACD9-F7D55380CB51} - System32\Tasks\ParetoLogic Update Version2 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS2\Pareto_Update.exe
Task: {DE26AFDC-462E-4EB8-861A-7077D5A53E57} - System32\Tasks\ParetoLogic Registration => Rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS2\UUS.dll" RunUns
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Home^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^uyqfmuncfpwcgmsmglj.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\My Faster PC" /f
C:\Program Files (x86)\mozilla firefox\plugins
C:\Users\Home\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Home\AppData\Roaming\settings.ini
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\pss\uyqfmuncfpwcgmsmglj.lnk.Startup
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[marciano]

Dzięki za pomoc.

 

Przy fixie coś mi się przyciął program, więc możliwe że nie do końca poszedł, chociaż z logów wynika że wszystko poszło jak na mój gust.

 

Zmienić hasła do konta bankowego, poczty itp itd?

Fixlog.txt

FRST.txt

[picasso]

Skrypt wykonałeś więcej niż raz i podany tu log pochodzi aż z trzeciej rundy, skrypt jest jednorazowy i nie przetworzy powtórnie tego samego. Proszę o dostarczenie właściwego, czyli pierwszego raportu z serii. Wejdź do folderu archiwum C:\FRST\Logs i wyszukaj najstarszy plik Fixlog_data_czas.txt.

 

 

Zmienić hasła do konta bankowego, poczty itp itd?

Nie sądzę, by to było potrzebne. Według opisu było tu tylko adware (reklamiarze), a nie trojany z predyspozycją łowienia danych.

 

 

 

.