Adware BrowseFox i Dosearch

[ocznik1986]

Witam.

Znowu podobny problem z adware.

Spybot - Saerch & Destroy wykrył 4 BrowseFox (Adware-C) i 5 DoSearches (Adware-C), których nie mogę usunąć ponieważ są powiązane z jakimiś innymi plikami użytymi w tle.

Jeśli to o to chodzi to wysyłam nowe logi FRST.

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Proszę nie wyciągaj logów FRST z katalogu C:\FRST\Logs - tam jest archiwum, nie są mi te dane potrzene. Tylko bieżące logi. Usunęłam z posta nadwyżkowy log wygrzebany z tego folderu.

 

W systemie jest adware do-search.com oraz Primary Result. Na dodatek adware przekonwertowało całą przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana reinstalacja. Wg raportów widać, że conajmniej jedną porcję adware prawdopodobnie nabyłeś z portalu dobreprogramy.pl uruchamiając dziadostwo pod nazwą "Asystent pobierania": KLIK. Na dysku widać plik "Asystenta" tego serwisu. Ale w logu są też obiekty sugerujące, że ten portal to nie jedyne źródło adware.

 

Do wdrożenia:

 

1. Przez Panel sterowania odinstaluj adware do-search uninstall, Primary Result, Software Management Module, poszkodowane Google Chrome oraz zbędny przestarzały Spybot - Search & Destroy.

 

Przed deinstalacją Google Chrome: wyeksportuj zakładki oraz zresetuj synchronizację (o ile włączona): KLIK. Podczas deinstalacji Google Chrome wybierz opcję Usuń także dane przeglądarki. Nie instaluj na razie nowej wersji Google.

 

2. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
R1 {1601c372-fdd4-4d07-81cb-8d80cd533a89}Gw64; C:\Windows\System32\drivers\{1601c372-fdd4-4d07-81cb-8d80cd533a89}Gw64.sys [48792 2015-03-18] (StdLib)
R1 {7edae523-2f47-48a4-be5c-2db16c2cad61}Gw64; C:\Windows\System32\drivers\{7edae523-2f47-48a4-be5c-2db16c2cad61}Gw64.sys [48792 2015-03-15] (StdLib)
R1 {af159d03-4801-4284-bdcb-4497403da962}Gw64; C:\Windows\System32\drivers\{af159d03-4801-4284-bdcb-4497403da962}Gw64.sys [48792 2015-03-13] (StdLib)
S1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X]
Task: {6D0C6D48-A3AF-4800-A3E9-50CBA37E6DBE} - System32\Tasks\MaxigetMasterUpdate => C:\Users\ocznik1986\AppData\Roaming\Maxiget\Master\Updater\MasterUpdater.exe
HKLM-x32\...\Run: [gmsd_pl_55] => [X]
HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\...\Run: [MaxigetMasterUpdate] => "C:\Users\ocznik1986\AppData\Roaming\Maxiget\Master\Updater\MasterUpdater.exe" -autorun
HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\...\Run: [EpicScale] => [X]
Startup: C:\Users\ocznik1986\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\superpc_soft_partner.lnk
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms}
HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\Software\Microsoft\Internet Explorer\Main,Start Page =
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Primary Result
C:\ProgramData\{6eee2b1e-e01b-3c56-6eee-e2b1ee01ac7b}
C:\ProgramData\{7e510603-95ef-ca8d-7e51-1060395e180e}
C:\ProgramData\{caac1a9c-8aa9-1d9a-caac-c1a9c8aa6a72}
C:\ProgramData\{f07ed24d-8c9d-c41b-f07e-ed24d8c94936}
C:\ProgramData\{fd421ffc-f5c7-3260-fd42-21ffcf5c7ff3}
C:\ProgramData\AVAST Software
C:\Users\ocznik1986\AppData\Local\Google
C:\Users\ocznik1986\AppData\Local\GGEmpire
C:\Users\ocznik1986\AppData\Local\WorldofTanks
C:\Users\ocznik1986\AppData\Roaming\do-search
C:\Users\ocznik1986\AppData\Roaming\Maxiget
C:\Users\ocznik1986\AppData\Roaming\WorldofTanks
C:\Users\ocznik1986\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk
C:\Users\ocznik1986\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\avast! antivirus.lnk
C:\Users\ocznik1986\Downloads\*(*)-dp*.exe
C:\Windows\System32\drivers\{1601c372-fdd4-4d07-81cb-8d80cd533a89}Gw64.sys
C:\Windows\System32\drivers\{7edae523-2f47-48a4-be5c-2db16c2cad61}Gw64.sys
C:\Windows\System32\drivers\{af159d03-4801-4284-bdcb-4497403da962}Gw64.sys
C:\Windows\system32\drivers\Msft_Kernel_webTinstMK_01009.Wdf
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-21-2702095170-3591425996-2869741432-1001\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-21-2702095170-3591425996-2869741432-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[ocznik1986]

Zapisałem jako FRST2 ten plik, który powstał po wciśnięciu Scan. Plik FRST powstał po wciśnięciu Fix.

Fixlog.txt

FRST.txt

[picasso]

Fix uruchomiłeś aż trzy razy, skrypty są jednorazowe i nie należy ich powtarzać, bo ponownie ta sama akcja się nie wykona. Nie, to jest niemożliwe by po wciśnięciu "Fix" powstał log główny FRST.txt, Fix generuje tylko i wyłącznie plik Fixlog.txt. Zrobiłeś dwa razy Scan i dlatego są dwa logi. Usuwam nadwyżkę. Za to brak pliku FRST Addition.

[ocznik1986]

Zapomniałem wczoraj dodać. Addition. Już proszę bardzo.

Addition.txt