Skocz do zawartości

Podejrzane działanie - Coupon downloader, Site Matcher


Rekomendowane odpowiedzi

Witam,

 

Zauważyłem podejrzane działanie u siebie na komputerze. Dostrzegłem podejrzane aplikacje typu Site Matcher, coupon downloader. W normalnym trybie komputer nie chciał mi uruchomić OTL-a czy adwceleanera (przykładowy WARNING: adwcleaner.exe aplikacja nie jest zgodna z systemem Win32). Poza tym w Firefoxie co chwila mi wywalał Shockwave, że jest uszkodzony. Zrobiłem skan OTL-em:

 

Extras:

http://wklej.org/id/1493720/

OTL:

http://wklej.org/id/1493725/

 

Logi są brzydkie, prośba o pomoc. Z góry dziękuję.

 

Edit: Posprzątałem trochę AdwCleanerem, jak uruchomiłem w trybie awaryjnym z obsługą sieci.

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS1.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jeśli chodzi o błędy typu "aplikacja nie jest zgodna...", zwykle to oznacza niekompletnie pobrany lub uszkodzony plik.

 

Dostarczyłeś logi ze starej wersji FRST pozbawionej wielu nowych skanów, poprawek i komend:

 

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 31-08-2014 (ATTENTION: ====> FRST version is 50 days old and could be outdated)

 

Skąd pobierałeś? Przecież w przyklejonym wyraźnie jest link do strony domowej i nie jest możliwe pobranie starszej wersji: KLIK. Proszę pobrać FRST od nowa, zrobić nowe skany (trzy logi mają powstać: FRST.txt, Addition.txt i Shortcut.txt).

 

 

 

.

Odnośnik do komentarza

W pierwszym zestawie raportów były widoczne odpadkowe obiekty adware. W nowych raportach nic już nie widać, bo w międzaczasie użyłeś AdwCleaner. Do przeprowadzenia jednak akcje kosmetyczne:

 

1. Odinstaluj stare dziurawe wersje i zbędniki: Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Adobe Reader 9.5.3 - Polish, Java 7 Update 55, Java™ 6 Update 24, Java™ 6 Update 37, McAfee Security Scan Plus, ParetoLogic Data Recovery. A firma Paretologic nie jest zbyt godna zaufania.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ProxyServer: 201.76.113.14:8080
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1407352865&from=cor&uid=HitachiXHTS725050A9A364_100508PCK400VLHR107JX"
FF NetworkProxy: "type", 0
FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt
FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF Extension: HP Smart Web Printing - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010-10-29]
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
ShellExecuteHooks-x32: - UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No File [ ]
Task: {AA9B67B3-1491-4A76-ACD9-F7D55380CB51} - System32\Tasks\ParetoLogic Update Version2 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS2\Pareto_Update.exe
Task: {DE26AFDC-462E-4EB8-861A-7077D5A53E57} - System32\Tasks\ParetoLogic Registration => Rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS2\UUS.dll" RunUns
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Home^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^uyqfmuncfpwcgmsmglj.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\My Faster PC" /f
C:\Program Files (x86)\mozilla firefox\plugins
C:\Users\Home\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Home\AppData\Roaming\settings.ini
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\pss\uyqfmuncfpwcgmsmglj.lnk.Startup
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza

Skrypt wykonałeś więcej niż raz i podany tu log pochodzi aż z trzeciej rundy, skrypt jest jednorazowy i nie przetworzy powtórnie tego samego. Proszę o dostarczenie właściwego, czyli pierwszego raportu z serii. Wejdź do folderu archiwum C:\FRST\Logs i wyszukaj najstarszy plik Fixlog_data_czas.txt.

 

 

Zmienić hasła do konta bankowego, poczty itp itd?

Nie sądzę, by to było potrzebne. Według opisu było tu tylko adware (reklamiarze), a nie trojany z predyspozycją łowienia danych.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...