Toolbary na dwóch komputerach

[urbanos]

Dwóch członków rodziny ma problemy ze swoimi komputerami. Wdarły się jakieś toolbary. Jeden z nich ma tydzień, ale już udało im się go zasyfić, drugi ma rok i ledwo chodzi. Przeskanowałem oba komputery programami First oraz Gmer. 

 

Komputer nr1 (ten który ledwo chodzi)

Addition.txt FRST.txt gmer.txt

 

Komputer nr2

Addition.txtFRST.txtgmer.txt

 

Jak skonfigurować ich komputery, aby były jak najbardziej odporne na infekcje?

 

Pozdrawiam,

[picasso]

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Działania wstępne:

 

 

KOMPUTER 1:

 

Straszliwie zaśmiecony adware. Do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj adware/PUP: 337 GAMES, Linkey, Optimizer Pro v3.2, Settings Manager, SiteFinder, sweet-page uninstaller, Tiny Download Manager (remove only), webporpoise, WildWestCoupon, Yahoo! Search.

 

Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątek Google Update Helper > Dalej

 

2. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms}
HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402574899&from=wpm0612&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms}
HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p
HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT
HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402574899&from=wpm0612&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms}
URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
URLSearchHook: HKLM-x32 - SiteFinder - {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\SiteFinder\SiteFinder.dll (Site Finder)
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13765&tm=299&src=ds&p={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13765&tm=299&src=ds&p={searchTerms}
SearchScopes: HKU\S-1-5-21-444939835-3135395253-820421808-1001 -> DefaultScope {7044103A-03FC-4C29-A24E-18CE9315C759} URL = http://rts.dsrlte.com/?q={searchTerms}&r=531
SearchScopes: HKU\S-1-5-21-444939835-3135395253-820421808-1001 -> {7044103A-03FC-4C29-A24E-18CE9315C759} URL = http://rts.dsrlte.com/?q={searchTerms}&r=531
SearchScopes: HKU\S-1-5-21-444939835-3135395253-820421808-1001 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13765&tm=299&src=ds&p={searchTerms}
BHO: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll No File
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll (McAfee, Inc.)
BHO-x32: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File
Toolbar: HKLM-x32 - SiteFinder - {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\SiteFinder\SiteFinder.dll (Site Finder)
Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml
FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\gzn5os3x.default\extensions\quick_start@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\gzn5os3x.default\extensions\faststartff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\gzn5os3x.default\extensions\shortcutff@gmail.com
FF HKU\S-1-5-21-444939835-3135395253-820421808-1001\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
Task: {0079F8E4-74EF-4216-A340-ED0787FE4FEA} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {34019F4A-152E-48CF-99B5-71DBC1314C1C} - System32\Tasks\{44D51695-1F66-4A48-9AF1-2CD033A9A841} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.11.0.102&LastError=12002
Task: {373E7757-BF2F-43A6-A487-75CB2F8F4AF2} - System32\Tasks\Yahoo! Search => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.8.2\dsrlte.exe 
Task: {4531397B-238C-4BA8-BB0B-0D0523A57AFC} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {868580AB-0968-4604-8B42-4BB6F5610E57} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe 
Task: {A065307D-30FC-429D-912B-B77B57CB15C5} - System32\Tasks\PennyBee => C:\Users\karolina\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE 
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\PennyBee.job => C:\Users\karolina\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE 
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.)
S1 MpKsla808b24a; C:\Windows\system32\MpEngineStore\MpKsla808b24a.sys [45352 2015-01-16] () [File not signed]
BootExecute: autocheck autochk *
C:\Program Files (x86)\Google
C:\Program Files (x86)\Optimizer Pro
C:\Program Files (x86)\Settings Manager
C:\Program Files (x86)\SiteFinder
C:\Users\Tomek\AppData\Local\Google
C:\Users\Tomek\AppData\Local\Pay-By-Ads
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\system32\MpEngineStore
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tiny download manager" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f
CMD: sc config "Internet Manager. RunOuc" start= disabled
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\karolina\AppData\Local
CMD: dir /a C:\Users\karolina\AppData\LocalLow
CMD: dir /a C:\Users\karolina\AppData\Roaming
CMD: dir /a C:\Users\Tomek\AppData\Local
CMD: dir /a C:\Users\Tomek\AppData\LocalLow
CMD: dir /a C:\Users\Tomek\AppData\Roaming
CMD: dir /a C:\Users\weronika\AppData\Local
CMD: dir /a C:\Users\weronika\AppData\LocalLow
CMD: dir /a C:\Users\weronika\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Jest tu wiele kont:

 

==================== Accounts: =============================
 

karolina (S-1-5-21-444939835-3135395253-820421808-1005 - Limited - Enabled) => C:\Users\karolina

Tomek (S-1-5-21-444939835-3135395253-820421808-1001 - Administrator - Enabled) => C:\Users\Tomek

weronika (S-1-5-21-444939835-3135395253-820421808-1004 - Administrator - Enabled) => C:\Users\weronika

 

Wymagane sprawdzenie każdego z osobna. Zaloguj się po kolei na każde poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika, na każdym zrób nowy log FRST z opcji Scan. Z każdego konta ma powstać para: główny FRST + Addition, natomiast na jednym z kont administracyjnych wystarczy utworzyć Shortcut tylko raz. Dodatkowa uwaga: na limitowanym koncie "karolina" FRST należy uruchomić przez dwuklik a nie opcją "Uruchom jako Administrator", by kontekst konta nie uległ zmianie.

 

Dołącz też plik fixlog.txt.

 

 

 

KOMPUTER 2:

 

Czy na pewno problem nadal tu występuje? Czy było jakieś czyszczenie? Nic tu nie widać, żadnych oznak adware. Tylko kosmetyczne działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


CreateRestorePoint:

HKLM-x32\...\Run: [] => [X]

C:\END

C:\Users\Tomek\AppData\Local\CrashRpt

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Pokaż ten plik.

 

2. Zlikwiduj błąd WMI numer 10 posługując się narzędziem Fix-it: KLIK.