Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Right Coupon - jak usunąć. Logi z FRST załączone

piepszu1 25 Mar 2017 13:15 762 4
  • #1 25 Mar 2017 13:15
    piepszu1
    Poziom 4  

    Witam,

    Proszę o pomoc w poniższej sprawie.

    Na wstępie zaznaczę, że w większości komputer jest używany przez 10 letniego syna, więc nie za bardzo wiem kiedy i co mógł przez przypadek zainstalować.

    Domyślna przeglądarka to Firefox, natomiast kilka dni temu zauważyłem na pasku przeglądarkę Chrom (chociaż w programach jej nie widzę).
    Język w Firefoxie zmienił się na angielski, zniknęła ikona mój komputer z pulpitu, przeglądając internet wyskakują reklamy (Rightcoupon).
    W programach wiedzę zainstalowane dziwne rzeczy - BikaQ, WinSnare i jeszcze parę innych, które jednak odinstalowałem i nie pojawiły się ponownie (przeciwnie do wyżej wymienionych).
    Komputer strasznie "muli". Choć wcześniej nie porywał prędkością to teraz jest o wiele gorzej.

    Komputer przeskanowałem FRST, logi załączone.

    Z góry dziękuję za pomoc

    0 4
  • #2 25 Mar 2017 13:34
    Kolobos
    Spec od komputerów

    Zgraj zakladki z Firefox'a, odinstaluj Firefox.

    Odinstaluj:
    BikaQ Rss
    McAfee Security Scan Plus
    WinSnare

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Wykonaj Fixlist.txt dla FRST:
    Task: {07E47217-E3C9-4469-900D-6694722901D7} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-03-21] ()
    Task: {3C51497E-CAC4-4CA9-9A8E-D096D937B53C} - System32\Tasks\Cocather => msiexec /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel....1DG142_S3PJ9DXAXXXXS3PJ9DXA&amp;v=2017211 /q <==== UWAGA
    Task: {4B009BB4-46DA-4C93-ABB6-48A137550E0B} - System32\Tasks\0615pizUpdateInfo => C:\ProgramData\Avg_Update_0615piz\0615piz_AVG-Secure-Search-Update.exe
    Task: {548B1AD7-3974-4525-AF60-53416E5B05AE} - System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => C:\Program Files (x86)\BikaQRss\BikaQ.exe [2017-03-21] (IEC) <==== UWAGA
    Task: {CD36F7EC-6D02-4B49-9105-01B252EE83B6} - System32\Tasks\Sterberph Controls => C:\Program Files (x86)\Clasertionreubadom\migersh.exe [2017-02-11] (Glarysoft Ltd)
    Task: {D82718E9-F3A3-4BB0-8D56-E3A714FA94D8} - System32\Tasks\{A909CBD6-BAAF-434D-873F-B98F21244FF9} => pcalua.exe -a "F:\Gry\AoE II\SETUPREG.EXE" -d "F:\Gry\AoE II"
    Task: C:\WINDOWS\Tasks\0615pizUpdateInfo.job => C:\ProgramData\Avg_Update_0615piz\0615piz_AVG-Secure-Search-Update.exe
    Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Footper\Application\chrome.exe (Google Inc.)
    2017-02-11 12:25 - 2017-02-11 12:25 - 00315904 _____ () C:\Program Files (x86)\Sterberph Controls\local64spl.dll
    2017-03-09 12:07 - 2017-03-08 07:44 - 00098816 _____ () C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
    2017-03-18 12:07 - 2017-03-21 12:27 - 00123392 _____ () C:\Users\Piepszu\AppData\Roaming\Kyubey\Kyubey.exe
    2017-02-11 12:25 - 2017-02-11 12:25 - 00121344 _____ () C:\Program Files (x86)\Clasertionreubadom\CrashReport.dll
    AlternateDataStreams: C:\Users\Piepszu\Desktop\akt urodzenia.jpeg:3or4kl4x13tuuug3Byamue2s4b [81]
    AlternateDataStreams: C:\Users\Piepszu\Desktop\akt urodzenia.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\Piepszu\Desktop\pesel_Pola.jpeg:3or4kl4x13tuuug3Byamue2s4b [81]
    AlternateDataStreams: C:\Users\Piepszu\Desktop\pesel_Pola.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    Hosts:
    () C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
    (Glarysoft Ltd) C:\Program Files (x86)\Clasertionreubadom\migersh.exe
    (IEC) C:\Program Files (x86)\BikaQRss\BikaQ.exe
    () C:\Users\Piepszu\AppData\Roaming\Kyubey\Kyubey.exe




    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2167747520-419279234-3598519154-1002\...\MountPoints2: {0273b205-f04d-11e6-82a1-68f72833fa33} - "G:\setup.exe"
    HKU\S-1-5-21-2167747520-419279234-3598519154-1002\...\MountPoints2: {bf44fa9f-7526-11e4-8254-806e6f6e6963} - "E:\vcd_play.exe" -fs
    HKU\S-1-5-21-2167747520-419279234-3598519154-1002\...\MountPoints2: {f18f3fea-bdf8-11e5-826c-7429af678eee} - "G:\Install.exe"
    HKLM\...\Providers\yks9i9i9: C:\Program Files (x86)\Sterberph Controls\local64spl.dll [315904 2017-02-11] ()
    ShellExecuteHooks: Brak nazwy - {49CA6BDA-ECD2-11E6-B70F-64006A5CFC23} - C:\Users\Piepszu\AppData\Roaming\Plpoentthvutain\Chuvet.dll -> Brak pliku
    Tcpip\..\Interfaces\{0FB8DDFD-6A0F-4572-A288-BA4C40B760B2}: [DhcpNameServer] 150.213.1.2
    HKU\S-1-5-21-2167747520-419279234-3598519154-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&a...n=instalki1&iwa_source=installer_instalki
    SearchScopes: HKU\S-1-5-21-2167747520-419279234-3598519154-1002 -> {E158E024-918D-4C37-A766-E0B59EEBA44B} URL = hxxps://search.yahoo.com/search?fr=chr-greent...mp;ei=utf-8&ilc=12&type=639975&p={searchTerms}
    FF ProfilePath: C:\Users\Piepszu\AppData\Roaming\Firefox\Firefox\naweriweentcofise\Profiles\asloemre.default-1442043837239\Profiles\asloemre.default-1442043837239 [nie znaleziono]
    FF user.js: detected! => C:\Users\Piepszu\AppData\Roaming\Mozilla\Firefox\Profiles\asloemre.default-1442043837239\user.js [2017-03-13]
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\asloemre.default-1442043837239 -> youndoo
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\asloemre.default-1442043837239 -> youndoo
    FF Homepage: Mozilla\Firefox\Profiles\asloemre.default-1442043837239 -> hxxp://www.luckysearch123.com?type=hp&ts=...;z=1b845d190dd0301bfcf314agezbbet4z8g4bfweo1w
    FF NewTab: Mozilla\Firefox\Profiles\asloemre.default-1442043837239 -> hxxp://www.luckysearch123.com?type=hp&ts=...;z=1b845d190dd0301bfcf314agezbbet4z8g4bfweo1w
    FF Extension: (Video AdBlock for Firefox) - C:\Users\Piepszu\AppData\Roaming\Mozilla\Firefox\Profiles\asloemre.default-1442043837239\Extensions\{a00bef25-f21a-4539-adbb-b179b29e2b92} [2015-09-20] [Brak podpisu cyfrowego]
    FF SearchPlugin: C:\Users\Piepszu\AppData\Roaming\Mozilla\Firefox\Profiles\asloemre.default-1442043837239\searchplugins\yks9i9i9.xml [2017-02-11]
    FF NewTab: Firefox\Firefox\Profiles\asloemre.default-1442043837239 -> hxxp://www.youndoo.com/?z=553a291edc01c0788f4...LT012-1DG142_S3PJ9DXAXXXXS3PJ9DXA&type=hp
    FF DefaultSearchEngine: Firefox\Firefox\Profiles\asloemre.default-1442043837239 -> youndoo
    FF SelectedSearchEngine: Firefox\Firefox\Profiles\asloemre.default-1442043837239 -> youndoo
    FF Extension: (SimilarWeb) - C:\Users\Piepszu\AppData\Roaming\Firefox\Firefox\Profiles\asloemre.default-1442043837239\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-03-10] [Brak podpisu cyfrowego]
    FF Extension: (FF Adr) - C:\Users\Piepszu\AppData\Roaming\Firefox\Firefox\Profiles\asloemre.default-1442043837239\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-03-09] [Brak podpisu cyfrowego]
    FF Extension: (Video AdBlock for Firefox) - C:\Users\Piepszu\AppData\Roaming\Firefox\Firefox\Profiles\asloemre.default-1442043837239\Extensions\{a00bef25-f21a-4539-adbb-b179b29e2b92} [2017-03-09] [Brak podpisu cyfrowego]
    FF SearchPlugin: C:\Users\Piepszu\AppData\Roaming\Firefox\Firefox\Profiles\asloemre.default-1442043837239\searchplugins\startsearch.xml [2017-03-09]
    FF SearchPlugin: C:\Users\Piepszu\AppData\Roaming\Firefox\Firefox\Profiles\asloemre.default-1442043837239\searchplugins\yks9i9i9.xml [2017-02-11]
    FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Piepszu\AppData\Roaming\Mozilla\Firefox\Profiles\asloemre.default-1442043837239\extensions\defsearchp@gmail.com => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Piepszu\AppData\Roaming\Mozilla\Firefox\Profiles\asloemre.default-1442043837239\extensions\deskCutv2@gmail.com => nie znaleziono
    CHR HKU\S-1-5-21-2167747520-419279234-3598519154-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [98816 2017-03-08] () [Brak podpisu cyfrowego]
    R2 Kyubey; C:\Users\Piepszu\AppData\Roaming\Kyubey\Kyubey.exe [123392 2017-03-21] () [Brak podpisu cyfrowego]
    S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.500\McCHSvc.exe [329480 2017-01-19] (McAfee, Inc.)
    R2 WinSAPSvc; C:\Users\Piepszu\AppData\Roaming\WinSAPSvc\WinSAP.dll [218624 2017-03-21] (Windows) [Brak podpisu cyfrowego]
    R2 WinSnare; C:\Users\Piepszu\AppData\Roaming\WinSnare\WinSnare.dll [777728 2017-03-21] (InterSect Alliance Pty Ltd) [Brak podpisu cyfrowego] <==== UWAGA
    S3 FirefoxDL; "C:\Users\Piepszu\AppData\Local\Temp\1\QQBrowser.exe" -isvc [X] <==== UWAGA
    S3 FootperSU; "C:\Users\Piepszu\AppData\Local\Temp\1\ttff.exe" /i [X] <==== UWAGA
    S0 mfeelamk; C:\WINDOWS\System32\drivers\mfeelamk.sys [80920 2015-07-02] (McAfee, Inc.)
    S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X]
    S3 rtsuvc; \SystemRoot\system32\DRIVERS\rtsuvc.sys [X]
    2017-03-21 12:27 - 2017-03-21 12:27 - 00003206 _____ C:\WINDOWS\System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel
    2017-03-21 12:27 - 2017-03-21 12:27 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BikaQ
    2017-03-21 12:27 - 2017-03-21 12:27 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.3.5)
    2017-03-18 12:07 - 2017-03-18 12:07 - 00000000 ____D C:\Program Files (x86)\58CD14FA_cacayima
    2017-03-14 11:28 - 2017-03-14 12:04 - 00000000 ____D C:\Users\Piepszu\AppData\Local\Google
    2017-03-14 11:28 - 2017-03-14 11:28 - 00000000 ____D C:\Users\Piepszu\AppData\Local\Footper
    2017-03-13 16:17 - 2016-05-23 03:41 - 00055056 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys
    2017-03-13 16:17 - 2016-05-19 07:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys
    2017-03-13 16:15 - 2017-03-18 12:07 - 00002237 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
    2017-03-13 16:15 - 2017-03-13 16:15 - 00000000 ____D C:\Program Files (x86)\58C6B79F_cacayima
    2017-03-09 12:07 - 2017-03-09 12:07 - 00000000 ____D C:\Users\Piepszu\AppData\Roaming\Firefox
    2017-03-09 12:07 - 2017-03-09 12:07 - 00000000 ____D C:\Users\Piepszu\AppData\Local\Firefox
    2017-03-09 12:07 - 2017-03-09 12:07 - 00000000 ____D C:\Program Files (x86)\Footper
    2017-03-09 12:06 - 2017-03-09 12:07 - 00000000 ____D C:\Program Files (x86)\Firefox
    2017-03-09 12:01 - 2017-03-18 12:07 - 00000000 _____ C:\WINDOWS\SysWOW64\4
    2017-03-09 12:01 - 2017-03-18 12:07 - 00000000 _____ C:\WINDOWS\SysWOW64\3
    2017-03-09 12:00 - 2017-03-25 12:43 - 00000000 _____ C:\Users\Public\Documents\report.dat
    2017-03-09 12:00 - 2017-03-18 12:07 - 00000000 _____ C:\Users\Public\Documents\temp.dat
    2017-03-09 12:00 - 2017-03-09 12:00 - 00000000 ____D C:\Program Files (x86)\58C135C1_cacayima
    2017-03-06 18:16 - 2017-03-21 12:27 - 00000000 ____D C:\Program Files (x86)\BikaQRss
    2017-03-06 18:16 - 2017-03-18 12:07 - 00000000 ____D C:\Users\Piepszu\AppData\Roaming\Kyubey
    2017-03-06 18:15 - 2017-03-21 12:26 - 00000000 ____D C:\Program Files (x86)\MK
    2017-03-25 12:14 - 2016-11-19 19:43 - 00000000 ____D C:\Users\Piepszu\AppData\LocalLow\Mozilla
    2017-03-21 12:27 - 2017-02-12 10:06 - 00003594 _____ C:\WINDOWS\System32\Tasks\Milimili
    2017-03-21 12:27 - 2017-02-12 10:06 - 00000000 ____D C:\Users\Piepszu\AppData\Roaming\WinSnare
    2017-03-21 12:26 - 2017-02-13 12:41 - 00000000 ____D C:\Users\Piepszu\AppData\Roaming\WinSAPSvc
    2017-03-21 12:26 - 2017-02-11 12:25 - 00000000 ____D C:\Program Files (x86)\Clasertionreubadom
    2017-03-21 12:25 - 2017-02-12 10:02 - 00000000 ____D C:\Program Files (x86)\yks9i9i9
    2017-03-18 09:21 - 2017-02-12 10:06 - 00000000 ____D C:\ProgramData\WinSAPSvc
    2017-03-18 09:06 - 2017-02-11 12:25 - 00003692 _____ C:\WINDOWS\System32\Tasks\Cocather
    2017-03-18 08:37 - 2017-02-11 12:25 - 00000000 ____D C:\Users\Piepszu\AppData\Roaming\Plpoentthvutain
    2017-03-18 08:36 - 2017-02-15 12:26 - 00000000 ____D C:\Program Files (x86)\BikaQRssReader
    2017-03-06 18:16 - 2017-02-12 10:06 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.1.0)
    C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
    EmptyTemp:

    W FRST wybierz Napraw.

    Po wykonaniu zainstaluj ponownie Firefox.

    Zamiesc tez nowe logi z FRST, ze skanowania.

    0
  • #4 30 Mar 2017 22:09
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #5 14 Kwi 2017 15:33
    piepszu1
    Poziom 4  

    Wielkie dzięki za pomoc.

    0