Trojan.email.bot + adware

[Morys0856]

Witam serdecznie,

 

Podczas skanowania systemu programem Malwarebytes anti-malware wykryło całą masę adware oraz trojana. Dołączam wymagane logi oraz proszę o pomoc w usunięciu tego.

Addition.txt

Extras.Txt

FRST.txt

malwarebytes.txt

OTL.Txt

Shortcut.txt

[picasso]

MBAM wykrył ogromną ilość wpisów, gdyż adware jest w postaci pełnych instalacji. Dodatkowo plączą się tu szczątki robaka Gamarue. Do wdrożenia:

 

1. Otwórz Notatnik i wklej w nim:

 

(Somoto LTD) C:\Program Files\Movies Toolbar\SafetyNut\SafetyNutManager.exe
(Somoto LTD) C:\Program Files\Movies Toolbar\SafetyNut\SafetyNutManager.exe
(Somoto LTD) C:\Program Files\Movies Toolbar\SafetyNut\safetynut.exe
(Somoto) C:\Users\Ela\AppData\Local\FilesFrog Update Checker\update_checker.exe
() C:\Users\Ela\AppData\Local\WebPlayer\FLV Player\WebPlayer.exe
(Google Inc.) C:\Windows\TEMP\CR_233C4.tmp\setup.exe
HKLM\...\Policies\Explorer\Run: [61029] - C:\PROGRA~2\LOCALS~1\Temp\ccqmkzdie.pif No File
HKU\.DEFAULT\...\Run: [fts-reg] - c:\fts-reg\ftsreg.exe
HKU\S-1-5-21-1707032505-553885810-4120097439-1002\...\Run: [FLV Player] - C:\Users\Ela\AppData\Local\WebPlayer\FLV Player\WebPlayer.exe [202752 2012-10-26] ()
HKU\S-1-5-21-1707032505-553885810-4120097439-1002\...\CurrentVersion\Windows: [Load] C:\Users\Ela\LOCALS~1\Temp\cclyyuoom.exe 
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browsemngr.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browsermngr.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe
IFEO\cltmngsvc.exe: [Debugger] tasklist.exe
IFEO\delta babylon.exe: [Debugger] tasklist.exe
IFEO\delta tb.exe: [Debugger] tasklist.exe
IFEO\delta2.exe: [Debugger] tasklist.exe
IFEO\deltainstaller.exe: [Debugger] tasklist.exe
IFEO\deltasetup.exe: [Debugger] tasklist.exe
IFEO\deltatb.exe: [Debugger] tasklist.exe
IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\iminentsetup.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\rjatydimofu.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\sweetimsetup.exe: [Debugger] tasklist.exe
IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\safetynut\x64\safetycrt.dll
HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Movies Toolbar\SafetyNut\safetycrt.dll [490504 2014-04-07] ()
R2 SafetyNutManager; C:\Program Files\Movies Toolbar\SafetyNut\SafetyNutManager.exe [3544072 2014-04-07] (Somoto LTD)
R1 F06DEFF2-5B9C-490D-910F-35D3A9119622; C:\Program Files\Movies Toolbar\SafetyNut\configmgrc1.cfg [31104 2014-04-07] (Somoto LTD)
S3 adusbser; system32\DRIVERS\adusbser.sys [X]
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 DlinkUDSMBus; System32\Drivers\DlinkUDSMBus.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
Task: {4B337A06-2304-4294-A1C4-8BE72AE32355} - System32\Tasks\{995C96E6-02A1-4C51-8D90-B82E50962B80} => Iexplore.exe http://ui.skype.com/ui/0/6.0.0.126/pl/abandoninstall?page=tsProgressBar
Task: {D38A30E5-85A7-4011-B4B0-A8035DD9AE2A} - System32\Tasks\{5018004A-9D03-44FA-A936-94ED7AE42008} => Chrome.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/go/help.faq.installer?LastError=1601
Task: {D4662090-A0EF-4D91-B601-9EBCF65666B4} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\Ela\AppData\Local\FilesFrog Update Checker\update_checker.exe [2013-10-17] (Somoto) 
Task: {E77133DC-B1E4-4525-9F4B-E70E19A543E2} - System32\Tasks\DealPly => C:\Users\Ela\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-03-10] () 
Task: {F5C3E424-9A2B-4E18-97A7-3615EC3311C4} - System32\Tasks\DealPlyUpdate => C:\Program Files\DealPly\DealPlyUpdate.exe [2012-05-09] (DealPly) 
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?o=APN10640A&gct=hp&d=473-108&v=a12281-257&t=4
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
URLSearchHook: HKLM - gry Toolbar - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\prxtbgry.dll (Conduit Ltd.)
URLSearchHook: HKCU - gry Toolbar - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\prxtbgry.dll (Conduit Ltd.)
SearchScopes: HKLM - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076
SearchScopes: HKLM - {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=108&systemid=473&v=a12281-257&apn_uid=6870899205544012&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms}
SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076
SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
SearchScopes: HKCU - {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110815&user_guid=91B0C43CB494414385882BABE5096E2A&machine_id=c021039c160099d988692e42b99f78a9&browser=IE&os=win&os_version=6.0-x86-SP1&iesrc={referrer:source}
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=3A0A0ACA-68CB-4487-8D1F-1530291D4DCA&apn_sauid=F913F490-E9DE-4153-9306-543626F7A891
SearchScopes: HKCU - {3E9089D4-4E67-462F-9EC2-BE96D002B3A6} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=867034&p={searchTerms}
SearchScopes: HKCU - {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=108&systemid=473&v=a12281-257&apn_uid=6870899205544012&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms}
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076
BHO: No Name - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No File
BHO: gry Toolbar - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\prxtbgry.dll (Conduit Ltd.)
BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
BHO: Movies Toolbar (Dist. by Somoto Ltd.) - {c75a2d66-6d1d-4735-8f63-9d85dcc026a6} - C:\PROGRA~1\MOVIES~1\SAFETY~1\SRTOOL~1\IE\searchresultsDx.dll No File
Toolbar: HKLM - gry Toolbar - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\prxtbgry.dll (Conduit Ltd.)
Toolbar: HKLM - Movies Toolbar (Dist. by Somoto Ltd.) - {c75a2d66-6d1d-4735-8f63-9d85dcc026a6} - C:\PROGRA~1\MOVIES~1\SAFETY~1\SRTOOL~1\IE\searchresultsDx.dll No File
Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKCU - gry Toolbar - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - C:\Program Files\gry\prxtbgry.dll (Conduit Ltd.)
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\Ask.xml
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{7BA52691-1876-45ce-9EE6-54BCB3B04BBC}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn\
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
CHR HKLM\...\Chrome\Extension: [aaaaimdcedbpbcjjbbnfcbbjcngmomic] - C:\Users\Ela\AppData\Local\somotomoviestoolbar181\GC\toolbar.crx [2014-01-24]
CHR HKLM\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files\DealPly\DealPly.crx [2012-05-09]
CHR HKLM\...\Chrome\Extension: [jmfkcklnlgedgbglfkkgedjfmejoahla] - C:\Program Files\AVG\AVG10\Chrome\safesearch.crx [2012-05-09]
CHR HKCU\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files\DealPly\DealPly.crx [2012-05-09]
C:\Users\Ela\AppData\Local\Temp*.html
C:\Users\Marta\AppData\Roaming\AVG10
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh advfirewall reset
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware:

 

Bundled software uninstaller, DealPly (2 pozycje), FilesFrog Update Checker, FLV Player, gry Toolbar, Movies Toolbar for Chrome (Dist. by Somoto Ltd.), Movies Toolbar for Internet Explorer (Dist. by Somoto Ltd.), SweetIM for Messenger 3.7, Video Converter, Video Converter Bundle by SweetPacks

 

3. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj DealPly, Movies Toolbar (o ile nadal będą po w/w deinstalacjach)
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy ask.com i inne niedomyślne śmieci (o ile będą).
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Uruchom TFC - Temp Cleaner.

 

7. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[Morys0856]

Wszystko wykonane zgodnie z zaleceniami i kolejnością, dodaje nowe logi.

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko zrobione.

 

1. Poprawki. Otwórz Notatnik i wklej w nim:

 

C:\Program Files\SweetPacks
SearchScopes: HKLM - DefaultScope value is missing.
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll No File
FF Plugin: @pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Przez SHIFT+DEL skasuj używane narzędzia w folderze C:\Users\Ela\Desktop\logi. Dodatkowo, zastosuj DelFix.

 

3. Zrób ponownie pełny skan za pomocą MBAM i pokaż log, jeśli coś wykryje. Jeśli nic nie wykryje, log zbędny.

 

 

 

.

[Morys0856]

MBAM nic nie znalazł, prezentuję pozostałe logi.

DelFix.txt

Fixlog.txt

[picasso]

Na zakończenie:

 

1. Wyczyść foldery Przywracania systemu: KLIK.

 

2. Zaktualizuj poniżej wyliczone programy: KLIK.

 

Microsoft® Windows Vista™ Home Basic Service Pack 1 (X86) OS Language: Polish

Internet Explorer Version 7
 

==================== Installed Programs ======================
 

Adobe Flash Player 10 ActiveX (HKLM\...\{922E8525-AC7E-4294-ACAA-43712D4423C0}) (Version: 10.0.22.87 - Adobe Systems, Inc.) ----> wtyczka dla IE

Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla FF

Adobe Reader 9 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A90000000001}) (Version: 9.0.0 - Adobe Systems Incorporated)

Java 7 Update 11 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217011FF}) (Version: 7.0.110 - Oracle)

Microsoft Office XP Professional z programem FrontPage (HKLM\...\{90280415-6000-11D3-8CFE-0050048383C9}) (Version: 10.0.6626.0 - Microsoft Corporation)

Mozilla Firefox 17.0.1 (x86 pl) (HKLM\...\Mozilla Firefox 17.0.1 (x86 pl)) (Version: 17.0.1 - Mozilla)

 

 

 

.

[Morys0856]

Super, bardzo dziękuje za pomoc, wszystko zaktualizowałem, dodatkowo wgrałem Service pack 2 oraz wszystkie aktualizacje systemu i antywirusa