Malware/spyware - "ulepszacze w systemie"

[darkness202]

Witam,

 

Moja znajoma poszukując sterowników do swojego telefonu pościągała kilka plików które miały nimi być ale okazało się że oprócz tego doinstalowało się parę "dodatków". Między innymi zmieniona została strona startowa firefoxa i jej wyszukiwarka, pojawia się również instalacja windows live.

Dołączam logi.

Z góry dziękuję za pomoc.

Pozdrawiam.

Michał

gmer.txt

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Przeprowadź następujące działania:

 

1. Przez Panel sterowania odinstaluj: Internet Speed Checker, McAfee Security Scan Plus, MyFreeCodec, Remote Desktop Access (VuuPC), webssearches uninstall, WindowsMangerProtect20.0.0.1277.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
HKU\S-1-5-21-3038848894-515659263-2552522708-1000\...\MountPoints2: {6a017db0-253e-11e4-a8d1-001180d6d3e3} - explorer.exe http://www.drei.at/inside3
HKU\S-1-5-21-3038848894-515659263-2552522708-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
HKU\S-1-5-21-3038848894-515659263-2552522708-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3038848894-515659263-2552522708-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3038848894-515659263-2552522708-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms}
BHO: Internet Speed Checker -> {11111111-1111-1111-1111-110611171152} -> C:\Program Files\Internet Speed Checker\Internet Speed Checker-bho.dll (Speedchecker)
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\webssearches.xml
FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\eu0bkx8n.default\extensions\faststartff@gmail.com
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985
FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-01] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-01] (globalUpdate) [File not signed]
R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-12-01] (Cherished Technololgy LIMITED)
R2 servervo; C:\Users\Admin\AppData\Roaming\VOPackage\VOsrv.exe [135680 2014-12-01] () [File not signed]
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [484352 2014-12-01] (Fuyu LIMITED) [File not signed]
Task: {407B1A72-B5AA-42D8-AFBF-244ABCEDC839} - System32\Tasks\41be1e9f-3e75-475b-8e2b-470d7b4a04c0 => C:\Program Files\Internet Speed Checker\41be1e9f-3e75-475b-8e2b-470d7b4a04c0.exe [2014-12-01] (Speedchecker) 
Task: {5C611655-5F58-4EB6-B78E-8E9BB02F7862} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe [2014-12-01] (Speedchecker) 
Task: {6F1C9165-6A8E-41AD-8FC8-A8EB7EAD4A40} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5_user => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe [2014-12-01] (Speedchecker) 
Task: {7EBCF565-DC2A-46BD-9FD6-035FC622107A} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-12-01] (globalUpdate) 
Task: {8BFDBFAB-7CBD-48DC-BD9D-AC8BB4182AE3} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-2 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-2.exe [2014-12-01] (Speedchecker) 
Task: {B734B160-DD8B-410B-A0FF-053D4A9FEB78} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-12-01] (globalUpdate) 
Task: {BC45FC48-E806-4AC5-AD52-1BC3B07CBE32} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-4 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-4.exe [2014-12-01] (Speedchecker) 
Task: {C7F4C2BC-00C7-4952-A8C5-0C8E5745DB1E} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-1 => C:\Program Files\Internet Speed Checker\Internet Speed Checker-codedownloader.exe [2014-12-01] (Speedchecker) 
Task: {D4512796-E56D-4E8C-9024-9353F10E05B0} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-11 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-11.exe [2014-12-01] (Speedchecker) 
Task: {F6260223-D6B6-4D41-BB6C-15ABB34ABC49} - System32\Tasks\a6aaeeac-87bc-4503-ad5c-cc38703deace => C:\Program Files\Internet Speed Checker\a6aaeeac-87bc-4503-ad5c-cc38703deace.exe [2014-12-01] () 
Task: C:\Windows\Tasks\41be1e9f-3e75-475b-8e2b-470d7b4a04c0.job => C:\Program Files\Internet Speed Checker\41be1e9f-3e75-475b-8e2b-470d7b4a04c0.exe 
Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-1.job => C:\Program Files\Internet Speed Checker\Internet Speed Checker-codedownloader.exe 
Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-11.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-11.exe 
Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-2.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-2.exe 
Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-4.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-4.exe 
Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe 
Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5_user.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe 
Task: C:\Windows\Tasks\a6aaeeac-87bc-4503-ad5c-cc38703deace.job => C:\Program Files\Internet Speed Checker\a6aaeeac-87bc-4503-ad5c-cc38703deace.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe 
C:\Program Files\globalUpdate
C:\Program Files\Internet Speed Checker
C:\Program Files\MyFree Codec
C:\Program Files\SupTab
C:\ProgramData\IePluginServices
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec
C:\Users\Admin\AppData\Local\globalUpdate
C:\Users\Admin\AppData\Roaming\dlg
C:\Users\Admin\AppData\Roaming\webssearches
C:\Users\Admin\AppData\Roaming\VOPackage
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
C:\Users\Admin\Desktop\Continue Live Installation.lnk
C:\Users\Admin\Downloads\Samsung_GSM(2G)_GT-C3750_Aktualizacja_sterownika_10-2014.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus + DownloadHelper trzeba będzie przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[darkness202]

WItam,

 

Dziękuję za tak szybką i profesjonalną odpowiedź

W załączniku logi.

Fixlog.txt

FRST.txt

[picasso]

1. Fix miał trudność przetwarzając ten skrót:

 

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk => Unable to remove or repair shortcut agument. The shortcut could be damaged.

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Skasuj zlokalizowany tam skrót Internet explorer (bez dodatków) i zastąp go tym: KLIK.

 

2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

[darkness202]

W załączniku log z AdwCleaner. Skrót zamieniony

 

AdwCleanerR0.txt

[picasso]

Finalizujemy sprawy:

 

1. Uruchom AdwCleaner ponownie, tym razem zastosuj combo Szukaj + Usuń. Wynikowego raportu już nie muszę sprawdzać.

 

2. Skasuj ręcznie pobrane skanery z folderu C:\Users\Admin\Downloads\FixItPC.

 

3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

4. Na liście zainstalowanych jest archaiczny kaleka Gadu-Gadu 7.7. Polecam zamianę nowoczesnym i bezreklamowym WTW (bardzo dobra obługa protokołu GG8 do GG11, czego brak w oryginalnym GG7): KLIK.

[darkness202]

Bardzo dziękuję za pomoc ode mnie i od mojej znajomej

Pozdrawiam.