Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Win 7 x64 - Zainfekowany komputer plaga wirusów Adware.

Yotiz 12 Sty 2017 10:03 285 9
  • #1 12 Sty 2017 10:03
    Yotiz
    Poziom 3  

    Witam serdecznie.
    Zgłaszam się z prośbą o pomoc w związku z zainfekowanym komputerem. Przez głupotę mój komputer stał się posiadaczem wirusów typu adware. MBAM znalazło wirusy typy Adware.Tuto4PC.Generic, Adware.Sasquor.SPL, Adware.Elex, Adware.Neobar a nawet Trojan.Elex.
    Niestety próbowałem wiele i faktycznie poradziłem sobie z wieloma z nich, natomiast daleko do powrotu komputera do stanu przed infekcją. Dodatkowymi problemami są: NIE DZIAŁAJĄCY WORD, NIE REAGUJĄCY NA DRUKARKĘ KOMPUTER, CZARNY EKRAN PO ZALOGOWANIU (wchodzę po przez ponowne uruchomienie explorer.exe).

    Załączam logi oraz proszę o instrukcje, dziękuję bardzo.
    PS. Gdybym o czymś zapomniał nie podając informacji przepraszam z góry. Jestem kompletnym żółtodziobem.

  • Pomocny post
    #2 12 Sty 2017 10:37
    Domino_2
    Pomocny dla użytkowników

    Odinstaluj ASUS WebStorage.

    Cytat:

    Task: {32E9F1D2-803C-4ADC-A4DA-DC455CF7DF3F} - System32\Tasks\{B744DBB0-22F3-4E69-8103-8EE1B5E5AC20} => pcalua.exe -a "D:\Grand Theft Auto IV\GTAIV_spolszczenie_1.0.exe" -d "D:\Grand Theft Auto IV"
    Task: {350AB8DC-9A82-4BFF-9A04-D452A8938822} - System32\Tasks\ASUS Live Update => C:\Program Files (x86)\ASUS\ASUS Live Update\ALU.exe [2007-11-30] ()
    Task: {5CF8F152-DB00-4EA8-98F9-40BAA1477AB7} - System32\Tasks\{795A44C1-B7BB-4CB1-ACE9-27654B6AC136} => pcalua.exe -a G:\setup.exe -d G:\
    Task: {6C357A9F-1AC9-40F5-8ABB-3BAF009A47F0} - System32\Tasks\{6596CF72-C5A9-4D68-94DF-3B446AFE28CD} => D:\FM2013\FIFA Manager 13\Manager13.exe
    Task: {754361CF-1288-46E9-B675-2983BAEE428F} - System32\Tasks\{DA5D6795-174E-4B1E-BD8A-187911B89C49} => D:\gothic2\System\Gothic2.exe
    Task: {C082DBDD-AD46-4030-953C-C35B2F4A5415} - System32\Tasks\{BE544377-230C-49EE-95FB-7E5D37CFFD05} => pcalua.exe -a "C:\Program Files (x86)\Xilisoft\Video Cutter 2\Uninstall.exe"
    Task: {C9047695-5556-494F-914A-C6ABE53718DD} - System32\Tasks\{6FE48635-016F-4187-A392-EACF75EA4187} => pcalua.exe -a F:\Europa_Universalis_III-PL_dodatki_ze_Spolszczeniem-400\Europa_Universalis_III-PL_dodatki_ze_Spolszczeniem\dodatki\NapoleonsAmbition\na_v2.2.exe -d F:\Europa_Universalis_III-PL_dodatki_ze_Spolszczeniem-400\Europa_Universalis_III-PL_dodatki_ze_Spolszczeniem\dodatki\NapoleonsAmbition
    Task: {F8D61098-8314-48F2-93E4-18B4B867D0BD} - System32\Tasks\{0D754F6C-C2C7-4178-83ED-CFEA00EDAA72} => pcalua.exe -a "D:\Kuba, Fifa\Installer.exe" -d "D:\Kuba, Fifa"
    Task: C:\Windows\Tasks\AVG EUpdate Task.job => C:\Program Files (x86)\AVG\Setup\avgsetupx.exe
    HKLM\...\Run: [ASUS WebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe [1754448 2010-03-16] ()
    HKU\S-1-5-21-706623569-1526098764-3165296189-1000\...\MountPoints2: {2b668013-3ab7-11e5-80e0-bcaec5d51d8c} - F:\AutoRun.exe
    HKU\S-1-5-21-706623569-1526098764-3165296189-1000\...\MountPoints2: {7c2bf90c-d313-11e5-a85c-bcaec5d51d8c} - J:\Autorun.exe
    HKU\S-1-5-21-706623569-1526098764-3165296189-1000\...\MountPoints2: {7c2bf913-d313-11e5-a85c-bcaec5d51d8c} - H:\Autorun.exe
    HKU\S-1-5-21-706623569-1526098764-3165296189-1000\...\MountPoints2: {7c2bf916-d313-11e5-a85c-bcaec5d51d8c} - I:\AutoRun.exe --autorun
    ShellExecuteHooks: Brak nazwy - {8395822C-D1C8-11E6-9072-64006A5CFC23} - -> Brak pliku
    ShellIconOverlayIdentifiers: [AsusWSShellExt_B] -> {6D4133E5-0742-4ADC-8A8C-9303440F7190} => C:\Program Files (x86)\ASUS\ASUS WebStorage\service\AsusWSShellExt64.dll [2009-11-26] (eCareme Technologies, Inc.)
    ShellIconOverlayIdentifiers: [AsusWSShellExt_O] -> {64174815-8D98-4CE6-8646-4C039977D808} => C:\Program Files (x86)\ASUS\ASUS WebStorage\service\AsusWSShellExt64.dll [2009-11-26] (eCareme Technologies, Inc.)
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
    SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
    SearchScopes: HKU\S-1-5-21-706623569-1526098764-3165296189-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKU\S-1-5-21-706623569-1526098764-3165296189-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-706623569-1526098764-3165296189-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
    SearchScopes: HKU\S-1-5-21-706623569-1526098764-3165296189-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={B80A8C38-4ED4-4F64-B43C-2F6DE05D3F4C}&mid=f2afda12e6f547d2a06c6de78331f47f-2e25d3311a431da645ea01971570333043c96777&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-03-22 18:55:11&v=18.8.0.179&pid=safeguard&sg=&sap=dsp&q={searchTerms}
    BHO-x32: Brak nazwy -> {067DF9EC-26B7-40DC-8DB8-CD8BE85AE367} -> Brak pliku
    Handler: WSAllMyTubechrome - {0A0C95CF-A116-4C74 - Brak pliku
    FF ProfilePath: C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\naweriweentcofise\Profiles\olwsvbbi.default\Profiles\olwsvbbi.default [nie znaleziono]
    FF Extension: (Brak nazwy) - C:\ProgramData\AVG SafeGuard toolbar\FireFoxExt\17.3.1.91 [2017-01-12] [Brak podpisu cyfrowego]
    FF HKLM-x32\...\Firefox\Extensions: [AllMyTube@Wondershare.com] - C:\ProgramData\Wondershare\AllMyTube\AllMyTube@Wondershare.com_xpi => nie znaleziono
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.9.0\\npsitesafety.dll [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [Brak pliku]
    CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-11] <==== UWAGA
    S1 p1484130413am; \??\C:\Users\Mateusz\AppData\Local\Temp\bkFB4F.tmp\p1484130413am.sys [X]
    U3 tmlwf; Brak ImagePath
    U3 tmwfp; Brak ImagePath
    2017-01-10 09:45 - 2017-01-12 16:44 - 00000000 ____D C:\Program Files\CGXXQMJV0G
    2017-01-10 09:45 - 2017-01-12 16:44 - 00000000 ____D C:\Program Files\AV1L27K1WL
    2017-01-12 16:44 - 2013-11-14 21:39 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, uruchom go i kliknij Fix/Napraw.

    Zainstaluj sobie dodatek do przeglądarki uBlock Origin.

  • #3 12 Sty 2017 10:58
    Kolobos
    Spec od komputerów

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

  • #4 12 Sty 2017 11:13
    Yotiz
    Poziom 3  

    Sytuacja wygląda tak, drukarka, word działają w odpowiedni sposób. Explorer.exe też ruszył i po kilku sekundach czarnego ekranu działał. Niestety komputer dalej włącza się kilka minut, a da się zauważyć spowolnienia ale poza tym jest lepiej. Dużo pomógł przedtem MBAM, bo z większością nie radził sobie ADWcleaner i CCleaner.

    Wklejam logi o które prosił użytkownik Kolobos.

  • #6 12 Sty 2017 11:34
    Yotiz
    Poziom 3  

    Przepraszam za mój błąd.

    Niestety jak już wspominałem nie jestem zbyt zaawansowanym użytkownikiem dlatego też screen z programu process explorer musiałem ze względu na ilość procesów umieścić na trzech screenach.

  • Pomocny post
    #7 12 Sty 2017 11:53
    Kolobos
    Spec od komputerów

    Zgaduje, ze zainfekowales system sciagajac bezmyslnie, zainfekowany program?
    O ten: 2017-01-09 17:19 - 2017-01-09 17:19 - 02704841 _____ C:\Users\Mateusz\Downloads\rpgvxace-patchpl.rar jezeli tak to usun ten plik.

    Odinstaluj:
    Adobe Reader 9.3 - Polish, zmien na najnowsza wersje AR lub Foxit: http://ninite.com/foxit/
    Google Toolbar for Internet Explorer
    Qtrax Player
    AVG SafeGuard toolbar

    Zainstaluj http://ninite.com/java/

    Nowy Fixlist.txt dla FRST:
    Task: {296B9D95-6F2B-4A8F-9DA9-069E5C6FC415} - System32\Tasks\{863EAC19-A547-45B8-9CB3-9B26F88D0F87} => D:\office download\MSO 2010\OFFICE 2010\office 2010 pro pl.exe
    Task: {6CE0E6D9-1E34-470C-A0D4-931C7235D24A} - System32\Tasks\{EE685A71-5772-4718-9050-06779F3CFD39} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" -c /uninstall ENTERPRISE /dll OSETUP.DLL
    Task: {6F820197-D777-454A-9A63-4C40BC709CF4} - System32\Tasks\ASUSControlDeck => C:\Program Files (x86)\ASUS\ControlDeck\ControlDeck.exe [2010-06-09] (asus)
    Task: {84C7F197-D183-4BF4-AB10-8E135A3D3D37} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-04-18] (Google Inc.)
    Task: {8A0038DC-DD3A-4886-B7DE-37EC16B9292C} - System32\Tasks\{063C7E25-B133-49C8-A3E8-B49DD47646B7} => D:\FM2013\FIFA Manager 13\Manager13.exe
    Task: {D3392B75-8243-47C4-8000-E5794DCC70FD} - System32\Tasks\{A76716F1-74A7-4F7E-A3C7-314BC500480C} => D:\FM2013\FIFA Manager 13\Manager13.exe
    Task: {D9B80F48-32BC-439D-9636-2EAD0C7E34CA} - System32\Tasks\{BE9E71C7-420E-45DA-907E-94D0FE468E14} => D:\FM2013\FIFA Manager 13\Manager13.exe
    Task: {DF9B6CAA-1F2E-4D7F-8ABE-73395738764E} - System32\Tasks\{D2FE86AE-276A-4A3F-923D-BDC8999C6A63} => D:\FM2013\FIFA Manager 13\Manager13.exe
    Task: {E8E7776B-C4BA-444D-A0E6-AA64A1AED175} - System32\Tasks\{7AB28AB8-2F0B-4955-B253-AB82E6BE5D1C} => D:\FM2013\FIFA Manager 13\Manager13.exe
    Task: {EF269479-4CAE-41BB-BD7C-9B8FF7361587} - System32\Tasks\{40F3B4B7-A225-4E6C-B272-ECF708C7A795} => D:\F14\FIFA 14\Game\fifa14-3dm.exe
    Task: {FB97F735-3C90-4E8F-9955-2A6C1E142F26} - System32\Tasks\{1426521F-ED61-4502-B871-C5E3E3977AF5} => D:\office download\MSO 2010\OFFICE 2010\office 2010 pro pl.exe
    HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2137744 2016-10-08] (Wondershare))
    HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2013-05-09] (Microsoft Corporation)
    Handler: WSAllMyTubechrome - {0A0C95CF-A116-4C74 - Brak pliku
    2017-01-12 10:59 - 2017-01-12 10:59 - 00000000 _____ C:\Windows\SysWOW64\sho39C6.tmp
    2017-01-11 16:17 - 2017-01-11 16:17 - 00000000 ____D C:\Program Files\1hc210ks
    2017-01-11 15:57 - 2017-01-11 15:57 - 00000000 ____D C:\Program Files (x86)\{4DF00D4E-AF84-461B-B416-D6E4DA225DD7}
    2017-01-11 15:43 - 2017-01-11 15:46 - 00007680 ___SH C:\Users\Mateusz\AppData\Roaming\Thumbs.db
    2017-01-10 13:19 - 2017-01-12 16:44 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.0.4)
    2017-01-10 13:19 - 2017-01-11 11:41 - 00000000 ____D C:\Users\Mateusz\AppData\Roaming\WinSnare
    2017-01-10 09:45 - 2017-01-12 16:44 - 00000000 ____D C:\Program Files (x86)\mpck
    2017-01-09 17:34 - 2017-01-09 17:34 - 00140288 _____ C:\Users\Mateusz\AppData\Roaming\Installer.dat
    2017-01-09 17:30 - 2017-01-12 16:44 - 00000000 ____D C:\ProgramData\My Web Shield
    2017-01-09 17:29 - 2017-01-11 14:18 - 00000000 ____D C:\Program Files (x86)\Anomusyercit
    2017-01-09 17:29 - 2017-01-10 09:15 - 00000000 ____D C:\Users\Mateusz\AppData\Roaming\Gireshckcge
    2017-01-09 17:29 - 2017-01-09 17:35 - 00000000 ____D C:\Users\Mateusz\AppData\Local\Presowardanahotion
    2017-01-09 17:25 - 2017-01-09 17:25 - 00000000 ____D C:\Users\Mateusz\AppData\Roaming\Enterbrain
    2017-01-09 17:34 - 2017-01-09 17:34 - 0099678 _____ () C:\Users\Mateusz\AppData\Roaming\booking.ico
    2017-01-09 17:34 - 2017-01-09 17:34 - 0140288 _____ () C:\Users\Mateusz\AppData\Roaming\Installer.dat
    2017-01-11 15:43 - 2017-01-11 15:46 - 0007680 ___SH () C:\Users\Mateusz\AppData\Roaming\Thumbs.db

  • Pomocny post
    #9 12 Sty 2017 12:38
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt dla FRST:
    Handler: WSAllMyTubechrome - {0A0C95CF-A116-4C74 - Brak pliku
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    S2 WinSnare; C:\Users\Mateusz\AppData\Roaming\WinSnare\WinSnare.dll [X]

    Po wykonaniu usun katalog C:\FRST i to wszystko.

  • #10 12 Sty 2017 14:55
    Yotiz
    Poziom 3  

    Panowie, jestem Wam ogromnie wdzięczny za pomoc! Dzięki temu uratowałem system i mogę się uczyć do sesji ze wszystkimi materiałami!
    Pozdrawiam serdecznie, miłego dnia życzę i jeszcze raz dziękuję bardzo.