Złośliwe oprogramowanie booking/allegro

**Posty:** 4 · przez **sebstt** 19 Maj 2016, 00:21

Witam, prosze o pomoc przy FRST
zauważyłem dwa złośliwe oprogramowania na pulpicie, na pasku i programach "booking.com i allegro.pl" ale chciałbym aby ktoś zerknął na całość czy nie ma tego więcej oraz poprowadził jak to wszystko usunąć
Poniżej załączniniki

**Posty:** 4765 · przez **ordynat** 19 Maj 2016, 07:45

1) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

2) Zrób nowe logi FRST.
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".
.

**Posty:** 4 · przez **sebstt** 19 Maj 2016, 12:33

1) czyściłem dwa razy, bo raz po tym jak napisałem posta, a drugi teraz

2) wszystko w załącznikach

**Posty:** 4765 · przez **ordynat** 19 Maj 2016, 14:51

Otwórz Notatnik i wklej w nim:

{7DA0381B-9EFD-4EF6-8FDF-C6A39C8F230F} - System32\Tasks\{19912AA9-F641-C976-C42E-0DAA8C1F2321} => C:\Users\Paulina\AppData\Roaming\PRICEF~1\PRICEF~1.EXE
C:\Users\Paulina\AppData\Roaming\PRICEF~1
Task: {C8695323-6DC2-4014-958E-497ED75B5255} - System32\Tasks\{8C03CE1F-527A-47C9-B780-3B6736808522} => pcalua.exe -a C:\Users\Paulina\AppData\Local\Temp\~vis0000\vcredist_x64.exe -d C:\Users\Paulina\AppData\Local\Temp\~vis0000 -c /q:a
Task: C:\Windows\Tasks\{19912AA9-F641-C976-C42E-0DAA8C1F2321}.job => C:\Users\Paulina\AppData\Roaming\PRICEF~1\PRICEF~1.EXE
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
SearchScopes: HKLM -> DefaultScope - brak wartości
Toolbar: HKU\S-1-5-21-2908555322-1284010751-2332060038-1001 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku
CHR DefaultSearchKeyword: Default -> SafeFinder
S1 MpKslbe601245; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DF38AD6B-EAE2-4110-94C4-4553D1200ADC}\MpKslbe601245.sys [X]
CustomCLSID: HKU\S-1-5-21-2908555322-1284010751-2332060038-1001_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Paulina\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2908555322-1284010751-2332060038-1001_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Paulina\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2908555322-1284010751-2332060038-1001_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Paulina\AppData\Local\Google\Update\1.3.21.149\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2908555322-1284010751-2332060038-1001_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Paulina\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2908555322-1284010751-2332060038-1001_Classes\CLSID\{D166BD15-03AF-413A-BEFD-0679FF410B49}\InprocServer32 -> C:\Users\Paulina\AppData\Local\Dropbox\Update\1.3.27.29\psuser.dll => Brak pliku
HKU\S-1-5-21-2908555322-1284010751-2332060038-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-2908555322-1284010751-2332060038-1001\...\Run: [CW] => [X]
2016-03-22 14:51 - 2016-03-22 14:51 - 6493696 _____ () C:\Users\Paulina\AppData\Roaming\agent.dat
2016-03-22 14:51 - 2016-03-22 14:51 - 0127488 _____ () C:\Users\Paulina\AppData\Roaming\Installer.dat
2016-03-22 14:51 - 2016-03-22 14:51 - 0018432 _____ () C:\Users\Paulina\AppData\Roaming\Main.dat
hortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\allegro.pl.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.tbar.URL
ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\allegro.pl (2).lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.smenu.URL
ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\allegro.pl .lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Paulina\AppData\Local\YodBounteousness\allegro.pl.smenu.URL
ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Booking (2).lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\Booking.smenu.URL
ShortcutWithArgument: C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl .lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.smenu.URL
ShortcutWithArgument: C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.tbar.URL
ShortcutWithArgument: C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\Booking .lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\Booking.smenu.URL
ShortcutWithArgument: C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\Booking.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\Booking.tbar.URL
C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\Booking.lnk
C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.lnk
InternetURL: C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.smenu.URL -> hxxp://redirect.pmcdn.info/pfintermediate.html?type=quick&topic=iconStartmenuclick&partner=ironpf2&destination=allegro.pl&uid=&country=PL&storeKey=allegro.pl
InternetURL: C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.tbar.URL -> hxxp://redirect.pmcdn.info/pfintermediate.html?type=quick&topic=iconTaskbarclick&partner=ironpf2&destination=allegro.pl&uid=&country=PL&storeKey=allegro.pl
InternetURL: C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\Booking.smenu.URL -> hxxp://redirect.pmcdn.info/pfintermediate.html?type=quick&topic=iconStartmenuclick&partner=ironpf2&destination=Booking&uid=&country=PL&storeKey=Booking
InternetURL: C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\Booking.tbar.URL -> hxxp://redirect.pmcdn.info/pfintermediate.html?type=quick&topic=iconTaskbarclick&partner=ironpf2&destination=Booking&uid=&country=PL&storeKey=Booking
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Napisz, czy problem znikł?
.

**Posty:** 4 · przez **sebstt** 06 Cze 2016, 22:53

problem nie znikł

na załączonym zdjęciu widać dokładnie o co chodzi

może temat z tego forum w czymś pomoże
https://forum.dobreprogramy.pl/bookingcom-jak-odinstalowac-528755t.html

**Posty:** 4765 · przez **ordynat** 07 Cze 2016, 07:12

zrób nowe logi FRST.
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"
.

**Posty:** 4 · przez **sebstt** 08 Cze 2016, 12:39

Proszę

**Posty:** 4765 · przez **ordynat** 08 Cze 2016, 15:26

1) Spróbuj odinstalować ten program:
PriceFountain (HKU\S-1-5-21-2908555322-1284010751-2332060038-1001\...\ShutterbugsAnnouncer) (Version: - ) <==== UWAGA

2) Otwórz Notatnik i wklej w nim:

Shortcut: C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl .lnk -> C:\Windows\explorer.exe (Microsoft Corporation)
Shortcut: C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\Booking .lnk -> C:\Windows\explorer.exe (Microsoft Corporation)
ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\allegro.pl.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.tbar.URL
ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\allegro.pl (2).lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.smenu.URL
ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Booking (2).lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\Booking.smenu.URL
C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Booking (2).lnk
C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\allegro.pl (2).lnk
C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\allegro.pl.lnk
C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.tbar.URL
C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\allegro.pl.smenu.URL
C:\Users\Paulina\AppData\Local\ShutterbugsAnnouncer\Booking.smenu.URL
C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\allegro.pl .lnk
CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms}
CHR DefaultSearchKeyword: Default -> SafeFinder
CHR Extension: (SafeFinder Search) - C:\Users\Paulina\AppData\Local\Google\Chrome\User Data\Default\Extensions\jidkebcigjgheaahopdnlfaohgnocfai [2016-06-06]
Task: {7DA0381B-9EFD-4EF6-8FDF-C6A39C8F230F} - System32\Tasks\{19912AA9-F641-C976-C42E-0DAA8C1F2321} => C:\Users\Paulina\AppData\Roaming\PRICEF~1\PRICEF~1.EXE
C:\Users\Paulina\AppData\Roaming\PRICEF~1
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

3) Znasz to:

ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default
ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5c44604842e47a87\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default

4) Napisz, czy problem znikł?
.

Kto jest na forum