Jungle net + Safe finder

[Agaski]

Dwa dni temu na skutek instalacji oprogramowania z niepewnego źródła (+ ewentualnie własnej głupoty z powodu bezsensownego klikania ciągle "next") zainstalowałem na komputerze Jungle Net, Safe Findera i chyba jeszcze Sonic Search. Zmęczenie na człowieku sprawia, że ten robi się bezmyślny .
Wynikiem infekcji było mnóstwo reklam, zmieniona strona startowa, wyskakujące okienka i włączanie się przeglądarki Safe Finder gdy chciałem otworzyć nową, czystą kartę.
Problem dotknął obie moje przeglądarki - Google chrome i Internet Explorer
W związku z wysypania się na moim komputerze masowych ilości reklam postanowiłem wziąć sprawę w swoje ręce. W tym celu:
- zainstalowałem antywirusa (Panda) - poprzedni był długo nieaktualny. Antywirus wykrył infekcje i przeniósł parę plików do kwarantanny, część wyrzucił. Nie rozwiązało to problemu.
- przy pomocy Revo uninstaller odinstalowałem złośliwe oprogramowanie i oprogramowanie które mi zalegało na komputerze od dłuższego czasu.
- Odinstalowałem rozszerzenia siedzące w przeglądarkach i wyczyściłem je ze wszystkiego co się dało.
- Zrestowałem ustawienia przeglądarek
- Wykorzystałem Adwcleaner, Malwarebytes Anty Malware, Hitmanpro - te programy przyniosły efekt i znalazły dodatkowe pliki i wpisy w rejestrze związane z moim problemem a nie wskazane przez Pandę. (Malwarebyres Anty Malware został dodatkowo uruchomiony w trybie awaryjnym)
- Spy-Bot - został użyty jako ostatni i nie znalazł więcej zainfekowanych plików.
- Spyhunter 4 - znalazł jeszcze parę plików, ale z racji braku licencji nie usunął ich. Znalazł dodatkowo jeszcze parę ciasteczek do szpiegowania i trojana (o ile jest to możliwe by ten siedział w Panda Toolbar).

 

W tym miejscu pojawiły się efekty działań - reklamy znikły. Ale niestety to nie dokońca rozwiązało problem, więc w tym celu...

... Zrozpaczony użyłem ComboFixa... a później wpadłem na pomysł by wejść na to forum. Myślałem że dam sobie radę z tym logiem...
Nie usunalem Daemon Tools Lite - na czas pracy tylko wysunąłem napęd.

 

Aktualna sytuacja prezentuje się następująco:
- Udało się pozbyć reklam z obu przeglądarek.
- Internet Explorer działa całkowicie w porządku.
- Google Chrome przy uruchomieniu i przy otwieraniu nowej karty ładuje najpierw:

hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csevoy1qAxqMda9dKs0YFaj-1aYVOQn8k4oBBJc-dJ3ILJ5SqVKabFsofJqBvN1SbmzNeYLafJsTb63Ar_qX4AU4N3jnpQZohBpcpgO98W0b4VaKMt9kj2giRoTXCxoZVdttRB-Gc8_Xbg,,&q={searchTerms}

 

Następnie ten link zamienia się w

 

hxxp://search.safefinder.com/?st=dn&q=

Dodatkowo nie mogę zmienić upierdliwej wyszukiwarki z omniboksa WebSearch. Zmiana ustawień przeglądarki nie ma wpływu na to co się dzieje.
- Prawdopodobnie (tak jak to znalazł spyhunter) zostało trochę tego Jungle Neta i być może siedzi trojan.
- Komputer oprócz tego co wymieniłem zachowuje się normalnie.

 

Potrzebuje pomocy w ogarnięciu działania Google Chrome, upewnieniu się czy wszystkie problemy zostały zażegnane a jeżeli nie zostały to w usunięciu ich. Mi już skończyły się pomysły i boję się dalej gmerać w tym wszystkim samemu.

Korzystam na laptopie z Windows 7 Home Premium 64 bity w wersji OEM - nie mam płytki systemowej.
W załączniku przesyłam logi.

 

Przyznaje się do wszystkich popełnionych win i więcej grzechów nie pamiętam.

Z góry dziękuję za pomoc i za poświęcony czas .
 

ComboFix.txt

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[jessica]

1) Odinstaluj niepotrzebny do niczego Akamai NetSession Interface

 

2) Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3416873059-519134790-2141062635-1001\...\Run: [Akamai NetSession Interface] => C:\Users\user\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.)
C:\Users\user\AppData\Local\Akamai\netsession_win.exe
AppInit_DLLs-x32: C:\ProgramData\Tristip\jchwrrlp.dll => C:\ProgramData\Tristip\jchwrrlp.dll [119808 2015-08-19] ()
C:\ProgramData\Tristip
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2010.lnk
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3416873059-519134790-2141062635-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3416873059-519134790-2141062635-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3416873059-519134790-2141062635-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
S2 Tristip; C:\ProgramData\Tristip\Tristip [X]
S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X]
S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X]
S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X]
C:\Users\user\Downloads\SpyHunter-Installer.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu\Gadu-Gadu.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu\StrongGG.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu\Usuń StrongGG.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire\Frets on Fire.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire\Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire\Uninstall Frets on Fire.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Drumsite Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Drumsite.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Uninstall Drumsite 1.3.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Tutorial\Advanced.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Tutorial\Advanced2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Tutorial\Basic.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Tutorial\Creative.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Tutorial\Patterns.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo II\Diablo II - Lord of Destruction.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo II\Lord of Destruction Czytaj to.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

3) Zrób nowe logi FRST.

 

4) Napisz, czy poprawiło to sytuację?

 

jessi

[Agaski]

Akamai Netsession Interface odinstalowany.
Użyłem tego kodu, a później skanowałem ponownie (za drugim razem się udało, za pierwszym złapał ścinę i musiałem zakończyć proces).
Po zmianie ustawień w Google Chrome przeglądarka zaczęła działać normalnie - udało się zmienić stronę startową i wyszukiwarkę. Ustawienia przetrwały nawet ponowne uruchomienie komputera .

Jak ta sprawa wygląda z tym wykrytym trojanem? A z resztkami Jungle Netu?

Logi w załączniku

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

trojana (o ile jest to możliwe by ten siedział w Panda Toolbar).

Toolbar może być wykrywany jako "zły", ale w tym przypadku nie traktuj tego wykrycia jako warte uwagi - SpyHunter to nie jest program zaufany, wręcz przeciwnie, zalecane jest jego usuwanie.

 

zaraz przejrzę nowe logi ...

 

W nowych logach nie widzę niczego podejrzanego.

 

A z resztkami Jungle Netu?

 

Prawdopodobnie już ich nie ma, w każdym bądź razie nie widać ich w logach.

 

Otwórz Notatnik i wklej w nim:

 

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

jessi

[Agaski]

Fix zrobiony, folder trwale usunięty.
Rozumiem że to wszystko . Dziękuję bardzo za pomoc:)!

[jan288]

Odistaluj , Adobe Reader 9.1 MUI , Java 6 Update 25 , Java 7 Update 5 , Spybot - Search & Destroy . 

Użyj AdwCleaner, opcja Scan i Clean ( Szukaj i Usuń):
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
Wykonaj pełny skan za pomocą MBAM po aktualizacji bazy wirusów i usuń wykryte zagrożenia:
http://www.bleepingcomputer.com/download/malwarebytes-anti-malware .