Pozostałości po iStartSurf.com i innych śmieciach.

[BuddaPL]

Dzień dobry.

 

  Jakiś czas temu (po wakacyjnym pobycie siostrzeńców), miałem infekcję, chyba wszelkim typem internetowych śmieci: istartsurf, róznego rodzaju optimizery, searchery i inne tego typu śmieci. Myślałem, że rozwiązałem problem, ale ostatnio pojawiło się coś takiego u mnie (fragment logu MBAM):

<file>
<path>C:\Program Files (x86)\Windows Loader\Windows7Loader__8172_il730031.exe</path>
  <vendor>PUP.Optional.Amonetize</vendor>
    <action>success</action>
      <hash>13bb4ae5a7e4a98d8339c31b3bc6c23e</hash>
</file>
</items>
</mbam-log>

Przejrzałem też Harmonogram zadań i zobaczyłem wpisy dziwnych nazw zadań, które odnosiły się do kiedyś usuniętych śmieci, Zaobserwowałem też, że cośmi pozmieniało uprawnienia dla plików na dysku systemowym oraz rejestrze. Zresetowałem te uprawnienia do domyślnych programikiem

"C:\Program Files (x86)\Windows Resource Kits\Tools\subinacl.exe" /subkeyreg HKEY_LOCAL_MACHINE /grant=administratorzy=f /grant=system=f
"C:\Program Files (x86)\Windows Resource Kits\Tools\subinacl.exe" /subkeyreg HKEY_CURRENT_USER /grant=administratorzy=f /grant=system=f
"C:\Program Files (x86)\Windows Resource Kits\Tools\subinacl.exe" /subkeyreg HKEY_CLASSES_ROOT /grant=administratorzy=f /grant=system=f

"C:\Program Files (x86)\Windows Resource Kits\Tools\subinacl.exe" /subdirectories %SystemDrive%\ /grant=administratorzy=f /grant=system=f

Proszę o ocenę logów, czy coś jeszcze zostało. Np. widziałem, że jest zainstalowany GlobalUpdate i jakieś dziwne zadania w C:\Window\Task, ale nie wiem, czy jest to aktywne, czy tylko pozostałości po moich wcześniejszych zabiegach. Do usuwania używałem MBAM, ADWCleaner, CCleaner i Process Hacker do usuwania opornych kluczy z rejestru.

 

Log z GMERa jest pusty więc się nie chce załączyć.

Będę wdzięczny za każdą sugestię.

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

Otwórz Notatnik i wklej w nim:

 

globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== UWAGA
Task: C:\Windows\Tasks\0IdkliY74NYLV7Z9.job => D:\Users\rkujawiak\AppData\Roaming\0IdkliY74NYLV7Z9.exe <==== UWAGA
Task: C:\Windows\Tasks\2pnkELAuyFg8.job => D:\Users\rkujawiak\AppData\Roaming\2pnkELAuyFg8.exe <==== UWAGA
D:\Users\rkujawiak\AppData\Roaming\0IdkliY74NYLV7Z9.exe
D:\Users\rkujawiak\AppData\Roaming\2pnkELAuyFg8.exe
Task: C:\Windows\Tasks\h9u6cDssjq.job => D:\Users\rkujawiak\AppData\Roaming\h9u6cDssjq.exe <==== UWAGA
Task: C:\Windows\Tasks\sFRQerYYX.job => D:\Users\rkujawiak\AppData\Roaming\sFRQerYYX.exe <==== UWAGA
D:\Users\rkujawiak\AppData\Roaming\h9u6cDssjq.exe
D:\Users\rkujawiak\AppData\Roaming\sFRQerYYX.exe
CHR StartupUrls: Default -> "hxxp://www.google.com/ig","about:blank","hxxp://www.istartsurf.com/?type=hp&ts=1411067852&from=ild&uid=ST3250310AS_9RY05K2WXXXX9RY05K2W"
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.

 

GlobalUpdate - teraz powinien być widoczny, spróbuj odinstalować.

 

Zrób nowe logi FRST.

 

jessi

[BuddaPL]

Zalecenia wykonane. GlobalUpdate Helper pojawił się na liście i został odinstalowany.

Załączam wymagane logi

Fixlog.txt

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

W nowych logach nie widzę już niczego niepokojącego, więc chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

jessi

[BuddaPL]

Ostateczne czyszczenie wykonane.

 

Jessi, wielkie dzieki za pomoc. Pozdrawiam.

 

Robert