Zainfekowany komputer, malware, wyskakujące okna

[mortiiss]

Witam, mój kolega ma upierdliwy problem z komputerem. W systemie rezyduje mu jakieś trudne do usunięcia i przeszkadzające w normalnej pracy - niechciane oprogramowanie. Z racji tego że nie jest to komputer do którego mam bezpośredni dostęp nie jestem w stanie dokładnie opisać co się dzieje i proszę moderatorów o wyrozumiałość. Jak tylko będę miał bezpośredni dostęp do komputera opiszę dokładnie co się dzieje. Załączam logi.

gmer.txt.txt

FRST.txt

Shortcut.txt

Addition.txt

[Miszel03]

Cóż...konkretnej infekcji nie widać. System sprzątam z resztek po programach. W przeglądarce jedynie widoczny element wyszukiwarki adware, dlatego usuniemy go i wyczyścimy cała przeglądarkę. 

Wdrążam również skan przeciwko adware oraz PUP. 

 

1. Włącz przywracanie systemu.

 

2. Otwórz Notatnik w nim wklej: 

 

CloseProcesses:
CreateRestorePoint:
Task: {15D84BA6-82F1-459C-969E-E7CD1DEA80D2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {6AF99882-BAD5-4D1F-99E0-1CB8E9FC4FDD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {6CB91903-B166-443C-BDCE-C7740AEE370B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {83470142-A1A1-4ED1-BD72-144502C508E8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {83F88638-7FCF-40F6-941B-3E7ABE2E9D31} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {8AD245E1-BD4B-4C56-9AB9-867D5C83F18C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {B4837480-1CEC-43AF-9A39-ED8C4DEA5FBE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {C1BD80F0-A7E7-45D8-A2FA-D1F38449C803} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {C6370F13-719E-4556-BD3A-F63A3FDAE662} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {CBAF81DB-2A29-459A-902F-96BEAAF43BF9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {D9F1BD48-DA9C-45F2-81C3-28BCD0E1FED9} - \WPD\SqmUpload_S-1-5-21-1147513825-3514968562-1571062963-1002 -> Brak pliku 
Task: {F24FCC95-AC4F-40FA-A6C4-65D94594C1AF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
IFEO\taskmgr.exe: [Debugger]
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku
ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => -> Brak pliku
ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => -> Brak pliku
ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1147513825-3514968562-1571062963-1002 -> {4E31FA06-A5E2-4F3C-BE71-05C961498981} URL =
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1436956595&z=bf2afada6854750a0699ba0g9zdc1q5tdwcq8w4m6w&from=cor&uid=ST1000LM014-1EJ164_W380C4H1XXXXW380C4H1"
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
C:\Users\Dawid\Desktop\programy naprawiające\Malwarebytes Anti-Malware.lnk
DeleteKey: HKCU\Software\Mozilla\Firefox
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Dawid\AppData\Local\Mozilla\Firefox
C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox
C:\Users\Dawid\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze, z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

3. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin

4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt.