Infekcja "iktmmny", "Drivers" i "Services" mają oznaczenie "U" (FRST)

[adiorz]

Witam,

 

na polecenie @gajedana z forum idg, piszę z prośbą o sprawdzenie poniżej zamieszczonych logów.

W czasie pracy przeglądarki, tekst zostaje zamieniany na linki prowadzące do "iktmmny". Dodatkowo okna systemowe posiadają dziwną zieloną ramkę:

FRST.txt: http://wklejto.pl/240186

Addition.txt: http://wklejto.pl/240187

Shortcut.txt: http://www.wklejto.pl/240188

GMER: http://wklejto.pl/240322

Pozdrawiam,

Adiorz

[picasso]

Po pierwsze, proszę zrób ponownie logi FRST z najnowszej wersji. Podane tu logi pochodzą z Version:16-11-2015. Aktualna wersja z pewnymi fiksami to Version:17-11-2015. Po drugie, proszę wstaw te nowe logi jako załączniki forum. Wymagam oryginalnych formatów raportów w kodowaniu UTF-8, przeklejanie zmienia pewne rzeczy, a użyty serwis jest niedobry (widać w logu conajmniej jeden źle przekodowany znak).

 

Gdy otrzymam logi z nowszej wersji, zabiorę się za analizę. Na szybko powiem, że:

- Przypuszczanie owe oznaczenia "U" i zablokowana usługa BFE Windows to wynik aktywności Comodo Internet Security. Dobrze by było więc zrobić nowe raporty FRST przy tymczasowo wyłączonym Comodo, by porównać stan.

- Zielone ramki to oznaczenie, że aplikacja działa wirtualnie w piaskownicy Comodo. Do wglądu opis w dokumentacji: KLIK.

[adiorz]

Przy uruchomieniu FRST pojawia się komunikat "C:\Windows\ERUNT.exe is not a valid Win32 application.", jednak aplikacja wydaje się działać.

 

Logi zostały wykonane po wyłączeniu Comodo.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Jak mówiłam, przypuszczalnie Comodo blokuje dostęp do poboru danych i dlatego status usług nie jest czytany poprawnie oraz występuje ten błąd ERUNT podczas pracy FRST, tym bardziej że FRST jest "niepełnosprawny", tzn. działa wirtualnie w piaskownicy Comodo. Podjęcie jakichkolwiek operacji w FRST będzie wymagało i tak tymczasowego wstrzymania wszystkich aktywności Comodo, bo Comodo uniemożliwi pracę FRST.

 

Jeśli chodzi o problem adware, to widać w starcie szkodnika mbot_jp_145, ale to jedyny aktywny element i mam szczere wątpliwości czy to przyczyna problemów. Prócz tego kilka przekierowań trackid=sp-006 w IE (to na pewno nie robi podkreśleń słów) i jakieś martwe szczątki na liście instalacji. Twoją główną domyślną przeglądarką jest Google Chrome, więc mam podejrzenie, że może być globalna modyfikacja plików Chrome (np. plik resources.pak), która jest kompletnie niewykrywana przez żaden skaner. Wstępnie:

 

 

1. Deinstalacje:

 

-----> Via Panel sterowania:

- Te pozycje adware/PUP: Remote Desktop Access (VuuPC), WinThruster, Word Proser 1.10.0.2. Niektóre są uszkodzone działaniem AdwCleaner. Jeśli będą niewidoczne lub wystąpi błąd, nie szkodzi, zajmę się tym potem.

- Odinstaluj także: Facebook Video Calling 3.1.0.521 (uszkodzony), Java SE Development Kit 7 Update 51, Java SE Development Kit 8 Update 60 (64-bit) (starsze wersje), Spybot - Search & Destroy (przestarzały program), Windows Installer Clean Up (przestarzały). Windows Installer Clean Up został wycofany z użytku ze względu na błędy i zastąpiony nowocześniejszym odpowiednikiem linkowanym poniżej.

 

----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis Metric Collection SDK > Dalej. Ten wpis to pozostałość po niechcianej instalacji Lenovo REACHit.

 

2. Utwórz ręcznie punkt Przywracania systemu, bo FRST nie był zdolny stworzyć kopii zapasowej rejestru, a automatyczne tworzenie punktu w skrypcie się nie uda. Następnie otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM-x32\...\Run: [mbot_jp_145] => C:\Program Files (x86)\mbot_jp_145\mbot_jp_145.exe [3976136 2014-11-05] ()
HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE
HKLM-x32\...\RunOnce: [upmbot_jp_145.exe] => C:\Users\Adiorz\AppData\Local\mbot_jp_145\upmbot_jp_145.exe -runonce
HKU\S-1-5-21-319641768-3134415942-743037567-1000\...\Policies\Explorer: []
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-319641768-3134415942-743037567-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.dashi.com
HKU\S-1-5-21-319641768-3134415942-743037567-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-319641768-3134415942-743037567-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-319641768-3134415942-743037567-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-319641768-3134415942-743037567-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-319641768-3134415942-743037567-1006 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll => No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll => No File
Toolbar: HKU\S-1-5-21-319641768-3134415942-743037567-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
FF DefaultSearchEngine: Yahoo
FF SelectedSearchEngine: Yahoo
FF Plugin HKU\S-1-5-21-319641768-3134415942-743037567-1000: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Users\Adiorz\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll [No File]
FF HKLM-x32\...\Firefox\Extensions: [web2pdfextension@web2pdf.adobedotcom] - D:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Browser\WCFirefoxExtn
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> D:\Program Files\Autodesk\AutoCAD 2015\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> D:\Program Files\Autodesk\AutoCAD 2015\acad.exe => No File
CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> D:\Program Files\Autodesk\AutoCAD 2015\en-US\acadficn.dll => No File
CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File
CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File
CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File
CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File
CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File
CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File
CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File
CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File
Task: {088BCA5E-21AF-4BF6-9B8F-7D0A6909D333} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000UA => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {0ADE385F-14C5-48C6-8828-29805A8A4FF9} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000Core => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {49B3FE08-87D3-4A98-B726-143D2FD2C0A1} - System32\Tasks\{09C82817-2C3F-4398-B972-A407D3F24B43} => pcalua.exe -a C:\Users\Adiorz\Downloads\widescreen-v3.05.exe -d C:\Users\Adiorz\Downloads
Task: {4FF3074A-EF6A-4747-B1D7-F7C5570C56D3} - System32\Tasks\{05E7C2B8-156C-4122-BB66-BEFF987219F4} => pcalua.exe -a C:\Users\Adiorz\Downloads\irfanview_plugins_438_setup.exe -d C:\Users\Adiorz\Downloads
Task: {84EEA1C5-B189-4FCF-931A-21CCA27BB0CC} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
Task: {B2E6E789-ED72-484F-BA4C-6FE72F5A636D} - System32\Tasks\{A49270A1-AD49-4039-86DE-09691EC658CF} => pcalua.exe -a F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0\Setup.exe -d F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0 -c /qn /norestart
Task: {BB910DEF-B3EC-45CD-AD28-0CE6FD5DEE82} - System32\Tasks\{17CFFC38-7CC7-43E5-A282-9E9F2E4D0EB6} => pcalua.exe -a F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0\Setup.exe -d F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0 -c /qn /norestart
Task: {CAE244B2-8303-48BF-98AB-74172218C22C} - System32\Tasks\{E4AC4DE1-C955-46F7-8CA9-38D54CAD26AD} => pcalua.exe -a C:\Users\Adiorz\Downloads\msicuu_7.2.exe -d C:\Users\Adiorz\Downloads
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000Core.job => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000UA.job => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
S3 ALSysIO; \??\C:\Users\Adiorz\AppData\Local\Temp\ALSysIO64.sys [X]
C:\Program Files (x86)\Lenovo
C:\Program Files (x86)\mbot_jp_145
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cygwin
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GNU Octave 3.2.4
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Impressions Games
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MYBESTOFFERSTODAY
C:\Users\Adiorz\REACHit
C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Chrome App Launcher.lnk
C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Web Data
C:\Users\Adiorz\AppData\Local\Microsoft\Windows\GameExplorer\{E5DA8FD5-4699-4CBB-BE24-1C9E8F440713}
C:\Users\Adiorz\AppData\Roaming\GoldenGate
C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Chrome App Launcher.lnk
C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk
C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hugin
C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Portforward.com
C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam
C:\Users\Adiorz\Desktop\Continue installation .lnk
C:\Windows\System32\Tasks\Lenovo
C:\Windows\SysWOW64\REN*.tmp
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ADSKAppManager" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Autodesk Sync" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows i upewnij się, że Comodo nie jest w żaden sposób uruchomiony. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też fixlog.txt. Jeśli problem reklamodawczych hyperlinków nadal będzie występował w Chrome, skopiuj na pulpit poniższe foldery:

 

C:\Program Files (x86)\Google\Chrome

C:\Users\Adiorz\AppData\Local\Google\Chrome

 

Wszystko spakuj do ZIP, shostuj gdzieś i na PW wyślij mi link.

[adiorz]

Dzień dobry,

W czasie procesu nie następujące aplikacje nie były widoczne z poziomu Panelu:

Remote Desktop Access

WinThruster

Word Proser

poniżej logi z FRST, fix jak i scan wykonane z poziomu safe mode.

Dodatkowo widok mojej partycji D został zmieniony na następujący (prawdopodobnie w wyniku kliknięcia na Advanced-Download zamiast Run now):
 

Niestety linki reklamowe nadal są widoczne, w związku z czym przesyłam link do paczek na pw.

 

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Czekam na paczki. Natomiast od razu skomentuję pewne sprawy:

- Niewątpliwie te dziwne detekcje usług / sterowników w FRST to wpływ Comodo, w Trybie awaryjnym (minimalne interferencje Comodo) wszystko wygląda inaczej, tzn. w porządku.

- Aplikacje niewidoczne w Panelu sterowania rzeczywiście już zniknęły. Coś było więc robione pomiędzy wytworzeniem pierwszych raportów FRST, a Fixem FRST.

- Widok partycji D to skutek wyboru wersji "portable" Fix-it. Ta wersja jest przeznaczona do montowania na pendrive, dlatego na dysku tworzy elementy zmieniające nazwę woluminu i ikonę, taki szczegół identyfikacyjny, nic poważnego. Skutkiem ubocznym na dysku twardym jest to co pokazujesz. Powinien być na dysku nowy plik D:\autorun.inf. Usuń go, a prezentacja dysku powinna wrócić do normy.

[picasso]

Przeanalizowałam foldery Google i nic oczywistego nie widzę. Pliki DLL i zasobów nie wyglądają na naruszone, a w profilu nie mogę się doszukać motora tych przekierowań, choć podejrzewam, że odpowiada za to jedno z zainstalowanych rozszerzeń, pomimo że teoretycznie wszystkie są hostowane w Chrome Web Store. I są pewne zastanawiające punkty:

- Chrome jest tu w starszej wersji niż dostępna i nie zaktualizowało się automatycznie, pomimo obecności zadań Google w Harmonogramie. To jest podejrzane.

- Chrome jest tu zainstalowane w trybie "per user". Normalnie jest wymuszana globalna instalacja, chyba że na dialogu UAC padnie odmowa, co powoduje pytanie o instalację bez uprawnień administratora.

- W profilu Chrome siedzą różne stare rozszerzenia, niektóre nie są aktualizowane od dawna i nie mam pewności czy to Twój wybór, że taki zestaw nadal jest zainstalowany, czy może wynik tego że masz czynną synchronizację z serwerem Google (przywraca z serwera ustawienia profilu).

 

Skoro są przekierowania, to wykonaj kilka testów definiujących czy są one orientowane na profil, czy działają niezależnie od profilu:

- W menu Ustawienia > Ustawienia > Osoby > utwórz nowy testowy profil > uruchom nowy profil i podaj czy nadal widzisz przekierowania. Jeśli nie:

- Wróć na stary profil i wyłączaj po jednym rozszerzeniu na raz + restart przeglądarki, aż wyłowisz który element jest przyczyną.

[adiorz]

W nowym profilu nie zauważyłem przekierowań. 
Udało mi się ustalić, że przy wyłączeniu wtyczki "Shortcuts for All Google", linki przekierujące zniknęły. Rzeczywiście nie przypominam sobie żebym sam instalował taką wtyczkę. W permissions wtyczki widzę "Read and change all your data on the websites you visit". Ta charakterystyka pasuje do pokazujących się linków.
Zastanawia mnie teraz, czy za pomocą tego mogły być wykradzione np. hasła do kont bankowych?

[picasso]

Udało mi się ustalić, że przy wyłączeniu wtyczki "Shortcuts for All Google", linki przekierujące zniknęły. Rzeczywiście nie przypominam sobie żebym sam instalował taką wtyczkę.

Kurde, a brałam to pod uwagę ze względu na to, że to najnowsze rozszerzenie i jako jedyne mające reinstalatory na poziomie rejestru (czyli musiało być instalowane w innej paczce a nie bezpośrednio). Zmyliło mnie to, że jest hostowane w Chrome Web Store i nic jawnego w nim nie mogłam się doszukać. Zakładam, że rozszerzenie odinstalowałeś, czyli usuń jeszcze powiązane wpisy rejestru:

 

1. Otwórz Notatnik i wklej w nim:

 

CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07]
CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz Comodo na czas akcji.. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

 

2. Dla pewności zrób nowy log z FRST (bez Shortcut i Addition) prezentujący wygląd przeglądarki Chrome po akcjach.

 

 

Zastanawia mnie teraz, czy za pomocą tego mogły być wykradzione np. hasła do kont bankowych?

Szczerze wątpię. To typ adware.

[adiorz]

Załączam fixlog.txt oraz FRST.txt.

Bez usunięcia wpisów z rejestru, wtyczka instalowała się automatycznie przy uruchomieniu przeglądarki.

Fixlog.txt

FRST.txt

[picasso]

Wszystko wygląda w porządku. Kończymy:

 

1. Ostatni Fix do FRST adresujący m.in. szczątki po Skanerach, zapuszczony przy wyłączonym Comodo:

 

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
BootExecute: autocheck autochk * sdnclean64.exe
SearchScopes: HKU\S-1-5-21-319641768-3134415942-743037567-1006 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\ProgramData\Malwarebytes
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy

 

2. Usuń FRST i jego logi z folderu C:\Users\Adiorz\Desktop\fix. Następnie skorzystaj jeszcze z DelFix, a na koniec wyczyść foldery Przywracania systemu: KLIK.

[adiorz]

Log z delfix w załączniku. Niestety strona narzędzia nie była dostępna, skorzystałem z wersji v1.011 znalezionej na innym forum. Myślę, że aktualna.

Pozdrawiam,
Adiorz

DelFix.txt

[picasso]

Niestety strona narzędzia nie była dostępna, skorzystałem z wersji v1.011 znalezionej na innym forum. Myślę, że aktualna.

? Strona cały czas jest dostępna i pobieram bez problemu. Jesteś pewien, że nie zablokował połączenia Comodo? Niektóre "nadgorliwe" skanery mogą blokować pobieranie stamtąd ze wględu na hostowanie specyficznych narzędzi.

 

Skasuj plik C:\delfix.txt z dysku. To tyle.