Infekcje - duże użycie transferu internetu mobilnego

[fkz88]

Witam!

Problem jest następujący, koleżanka zauważyła bardzo duże użycie swojego Internetu mobilnego Orange (prawie 40GB przez ostatnie 60 dni). Zmiana stron domyślnych w przeglądarkach, wyskakujące okienka itp..

 

Komputer został przeskanowany za pomocą Malwarebytes Anti-Malware, infekcji było sporo (załączam raport Malwarebytes Anti-Malware.txt). Wszystko trafiło do kwarantanny.

 

Zauważyłem także, że przy starcie systemu uruchamiał się program "Tt.2.126.2015.rar" - wyłączyłem go.

 

Załączam także wymagane raporty z tym, że GMER miał problemy z jego utworzeniem, tyle ile dał rade tyle załączam.

 

Proszę was o pomoc.

 

System: Windows 8.1 x64

Malwarebytes Anti-Malware.txt

GMER.txt

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Czynnej infekcji już tu nie widać, tylko szczątki po adware, ale jest inny grubszy problem - działa wspólnie Avast z niepoprawnie pozornie odinstalowanym McAfee (sterowniki czynne). Do wdrożenia następujące akcje:

 

 

1. Deinstalacje:

- Wejdź w Tryb awaryjny i zastosuj McAfee Consumer Product Removal Tool.

- Opuść Tryb awaryjny. Odinstaluj w normalny sposób ten stary zintegrowany z Acer Norton Online Backup.

 

2. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tt.2.126.2015.rar.lnk [2015-03-08]
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140914
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140914
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-570667405-809793547-468171985-1002 -> DefaultScope {DCB811C6-E54A-4D26-92BB-64B90605BF8C} URL =
SearchScopes: HKU\S-1-5-21-570667405-809793547-468171985-1002 -> {DCB811C6-E54A-4D26-92BB-64B90605BF8C} URL =
SearchScopes: HKU\S-1-5-21-570667405-809793547-468171985-1002 -> {ED4235A7-3875-48B4-8E8B-9AB4FDEC7DC8} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=404
S3 cpuz136; \??\C:\Users\user\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X]
S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver"
C:\Program Files (x86)\CoupMania
C:\Program Files (x86)\WhiatteCoUpon
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\{c7505c27-787c-1612-c750-05c27787709d}
C:\ProgramData\8831565796815270903
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\All MMO Games.lnk
C:\Users\user\AppData\Local\Mozilla
C:\Users\user\AppData\Roaming\Mozilla
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RtkGUI.lnk
Folder: C:\Windows\SchCache
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Tt.2.126.2015.rar.lnk /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{11F6D5AB-263F-388E-74DE-E3DECD390E3F} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\HKU\S-1-5-21-570667405-809793547-468171985-1001\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\HKU\S-1-5-21-570667405-809793547-468171985-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[fkz88]

Dziękuję za odpowiedź. Załączam logi. Deinstalacji za pomocą MCPR nie udało się wykonać w trybie awaryjnym, ale w normalnym już tak.

 

Fixlog.txt

FRST.txt