Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ważne - Wirus Ghokswa; Google Chrome, które nie jest Google Chrome.

Montezuman 08 Lis 2016 11:26 1344 18
  • #1 08 Lis 2016 11:26
    Montezuman
    Poziom 4  

    Witam, walczę z tym problemem od dłuższego czasu, gdzie już czasami mam dość.

    Problem wizualnie objawia się tym, że 'mam zainstalowaną' przeglądarkę Google Chrome, które faktycznie nie instalowałem (posiadam Operę). Gdy wejdę do lokalizacji pliku (ze skrótu Chrome na pulpicie) to przenosi mnie do folderu Tooleat.
    Skanowałem Malwarebytesem komputer i na koniec pokazało ok. 1700 wirusów, konkretniej 1700 plików z wirusem Ghokswa (wstawiłem poniżej logi ze skanu programem Malwarebytes). Dodatkowo zauważyłem w C:\Program Files (x86) dziwne foldery, których nie da rady usunąć a są powiązane z tą niby przeglądarką Google Chrome:
    - Win Archer (zawiera plik WinArcher.dll)
    - Cluwerdomghsight (

    Spoiler:
    Ważne - Wirus Ghokswa; Google Chrome, które nie jest Google Chrome.

    - podawany wcześniej Tooleat (
    Spoiler:
    Ważne - Wirus Ghokswa; Google Chrome, które nie jest Google Chrome.
    )
    - dodatkowo mam zainstalowany (nie wiem skąd) program amuleC.

    Macie jakieś porady jak to coś usunąć? Jak tylko wejdę w to Google Chrome to opera spowalnia jak i system.

    Wstawiam w załączniku logi ze skanu Malwarebytes jak i Combofixa.

    0 18
  • CControls
  • #3 08 Lis 2016 12:22
    Montezuman
    Poziom 4  

    Zrobiłem to co napisałeś (wstawiam logi).

    Zauważyłem, że w logach z AdwCleanera jest napisane, że skrót na pulpicie Google Chrome został usunięty, ale jednak on został. W C:\Program Files (x86) folder Cluwerdomghsight jakby ponownie się utworzył od razu po skanowaniu AdwCleanerem (12:11) czyli chwile po skanowaniu. I później 5 minut potem także folder Opery się zmodyfikował (chodzi mi o date modyfikacji - 12:16 w tym przypadku).

    0
  • #4 08 Lis 2016 12:32
    Domino_2
    Pomocny dla użytkowników

    Cytat:

    Task: {2C5790B3-46D7-4BB3-B45E-3E7A6EEE4528} - System32\Tasks\Opera scheduled Autoupdate 1474654212 => C:\Program Files (x86)\Opera\launcher.exe [2016-10-24] (Opera Software)
    Task: {823C2E6E-FB1D-403D-8351-FD5A1C133AAD} - System32\Tasks\{68961C29-9C9E-4F0D-89D4-940F7B62DA75} => pcalua.exe -a G:\sterowniki_dell\DW1702_W8_X01_A01_Setup-3K92G_ZPE.exe -d G:\sterowniki_dell
    Task: {DE511F65-428A-41B2-9677-7F14AAD5CE99} - System32\Tasks\{7C55E0B0-E325-4CAA-ADBF-745FD8E80FA2} => pcalua.exe -a C:\Dell\Drivers\3K92G\Setup.exe -d C:\Dell\Drivers\3K92G
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1736329333-1611086863-1361131622-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    FF ProfilePath: C:\Users\vostro\AppData\Roaming\Mozilla\Firefox\naweriweentcofise\Profiles\vwtayhji.default\Profiles\vwtayhji.default [nie znaleziono]
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\vwtayhji.default -> youndoo
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\vwtayhji.default -> youndoo
    FF Homepage: Mozilla\Firefox\Profiles\vwtayhji.default -> hxxps://www.malwarebytes.org/restorebrowser/
    FF HKU\S-1-5-21-1736329333-1611086863-1361131622-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\vostro\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => nie znaleziono
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin HKU\S-1-5-21-1736329333-1611086863-1361131622-1000: @acestream.net/acestreamplugin,version=3.1.7 -> C:\Users\vostro\AppData\Roaming\ACEStream\player\npace_plugin.dll [Brak pliku]
    CHR DefaultSearchURL: Default -> hxxp://www.mylucky123.com/search/?type=ds&...D2500BEVT-24A23T0_WD-WXD1A80J1503J1503&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> mylucky123
    CHR HKU\S-1-5-21-1736329333-1611086863-1361131622-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    S3 VSStandardCollectorService140; "D:\Programy\Visual Studio\Team Tools\DiagnosticsHub\Collector\StandardCollector.Service.exe" [X]
    S3 cpuz139; \??\C:\Users\vostro\AppData\Local\Temp\cpuz139\cpuz139_x64.sys [X]
    S3 GPU-Z; \??\C:\Users\vostro\AppData\Local\Temp\GPU-Z.sys [X]
    2016-11-08 12:08 - 2016-11-08 12:10 - 00000000 ____D C:\AdwCleaner
    2016-11-08 11:23 - 2016-11-08 10:37 - 00033708 _____ C:\Users\vostro\Desktop\ComboFix.txt
    2016-11-08 10:37 - 2016-11-08 10:37 - 00033708 _____ C:\ComboFix.txt
    2016-10-27 09:57 - 2016-11-08 10:37 - 00000000 ____D C:\Qoobox
    2016-10-27 09:57 - 2016-11-08 10:27 - 05659834 ____R (Swearware) C:\Users\vostro\Desktop\ComboFix.exe
    2016-10-27 09:57 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
    2016-10-27 09:57 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
    2016-10-27 09:57 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2016-10-27 09:57 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2016-10-27 09:57 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2016-10-27 09:57 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
    2016-10-27 09:57 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
    2016-10-27 09:57 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, uruchom go i kliknij Fix/Napraw.

    0
  • CControls
  • #5 08 Lis 2016 12:51
    Montezuman
    Poziom 4  

    Zrobiłem to co wyżej kolega napisał. Wstawiam w załączniku logi z tego naprawiania.

    Ponadto zaobserwowałem po raczej zrestartowaniu komputera (wymagany po tym naprawianiu), że znów w C:\Program Files (x86) utworzył się folder WinArcher z Archer.dll w środku i ponownie zmodyfikował się o porze restartu komputera folder
    Cluwerdomghsight (konkretniej zawarty w nim folder " _ALLOWDEL_2eec " , ktory zawiera:

    Spoiler:
    Ważne - Wirus Ghokswa; Google Chrome, które nie jest Google Chrome.
    )

    0
  • #8 08 Lis 2016 17:18
    Acorus 20
    Spec od komputerów

    Odinstaluj amuleC, trotux - Uninstall, UvConverter. Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: {2F5A2BE6-7187-4D79-AF0F-5E59B76C8D27} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) <==== UWAGA
    WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
    ShortcutWithArgument: C:\Users\vostro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Tooleat\Application\chrome.exe (Google Inc.) -> hxxp://9o0gle.com/
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Tooleat\Application\chrome.exe (Google Inc.) -> hxxp://9o0gle.com/
    ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Tooleat\Application\chrome.exe (Google Inc.) -> hxxp://9o0gle.com/
    HKU\S-1-5-21-1736329333-1611086863-1361131622-1000\...\Run: [001d46a4] => C:\Users\vostro\AppData\Local\Temp\world-super-ext.exe [4477928 2016-11-08] () <===== UWAGA
    HKU\S-1-5-21-1736329333-1611086863-1361131622-1000\...\Run: [mineApplication] => C:\Users\vostro\AppData\Roaming\MinesweeperApp\mineApplication.exe [195584 2016-11-08] ()
    ShellExecuteHooks: - {807CDEA6-9EC1-11E6-913B-64006A5CFC23} - C:\Users\vostro\AppData\Roaming\Rukisyreitse\Stuhoterrerle.dll [147968 2016-11-08] ()
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    CHR HomePage: ChromeDefaultData -> hxxp://www.trotux.com/?z=9cc08f7daea2c7c54d15...BEVT-24A23T0_WD-WXD1A80J1503J1503&type=hp
    CHR StartupUrls: ChromeDefaultData -> "hxxp://www.trotux.com/?z=9cc08f7daea2c7c54d1528egcz2mfbeqfgem7w0gbw&from=icb&uid=WDCXWD2500BEVT-24A23T0_WD-WXD1A80J1503J1503&type=hp"
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.trotux.com/search/?q={searchTerms}&z=9cc08f7daea2c7c54d1528egcz2mfbeqfgem7w0gbw&from=icb&uid=WDCXWD2500BEVT-24A23T0_WD-WXD1A80J1503J1503&type=sp
    CHR DefaultSearchKeyword: ChromeDefaultData -> trotux




    CHR Profile: C:\Users\vostro\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-11-08] <==== UWAGA
    OPR Extension: (Fast search) - C:\Users\vostro\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-11-08]
    R2 InstalkiInstalki; D:\Instalki\InstalkiInstalki.exe [222720 2016-11-08] () [Brak podpisu cyfrowego]
    R2 InstalkiProgramFiles; D:\Program Files\InstalkiProgramFiles.exe [222720 2016-11-08] () [Brak podpisu cyfrowego]
    R2 Mermoly; C:\Program Files (x86)\Cluwerdomghsight\assdebuger.dll [279552 2016-09-24] () [Brak podpisu cyfrowego]
    R2 Veletplerpitain; C:\Program Files (x86)\Stosert\ChhEng.dll [273408 2016-11-08] () [Brak podpisu cyfrowego]
    R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [186880 2016-11-08] () [Brak podpisu cyfrowego]
    2016-11-08 16:16 - 2016-11-08 16:22 - 00000000 ____D C:\Users\vostro\Doctor Web
    2016-11-08 12:43 - 2016-11-08 12:43 - 00003442 _____ C:\Windows\System32\Tasks\ChelfNotify Task
    2016-11-08 12:43 - 2016-11-08 12:43 - 00000000 ____D C:\ProgramData\WinSAPSvc
    2016-11-08 12:43 - 2016-11-08 12:43 - 00000000 ____D C:\ProgramData\ChelfNotify
    2016-11-08 12:43 - 2016-11-08 12:43 - 00000000 ____D C:\Program Files (x86)\WinArcher
    2016-11-08 12:43 - 2016-11-08 12:43 - 00000000 ____D C:\Program Files (x86)\e0gzw30v
    2016-11-07 17:54 - 2016-11-08 10:20 - 00000000 ____D C:\Program Files (x86)\{F0BF996D-23B9-4411-9DD7-56BDDBCF9A29}
    2016-11-02 21:42 - 2016-11-05 08:29 - 00000000 ____D C:\Program Files (x86)\{2B5D32D5-6E78-4171-B8B6-6340B85E4C5C}
    2016-11-02 19:32 - 2016-11-02 19:32 - 00000000 ____D C:\Users\vostro\AppData\Local\Tooleat
    2016-11-02 19:32 - 2016-11-02 19:32 - 00000000 ____D C:\Program Files (x86)\Tooleat
    2016-11-02 17:41 - 2016-11-05 08:29 - 00000000 ____D C:\Program Files (x86)\{5B1697D1-BAD6-4203-98D7-8955E2C8EEBD}
    2016-10-25 15:49 - 2016-10-25 16:49 - 00000000 ____D C:\Program Files (x86)\{12C3C753-86C3-4C4B-AD2C-42A39E534214}
    2016-10-17 12:45 - 2016-10-17 12:45 - 00000000 ____D C:\Program Files (x86)\{00A3E495-42E4-48C0-B086-CF9E40862B49}
    2016-10-11 11:25 - 2016-10-27 09:53 - 00000000 ____D C:\Users\vostro\AppData\Roaming\aMule
    2016-10-11 11:25 - 2016-10-11 11:25 - 00000000 ____D C:\Users\vostro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC
    2016-10-11 11:25 - 2016-10-11 11:25 - 00000000 ____D C:\Program Files (x86)\amuleC
    2016-09-24 11:58 - 2016-09-24 11:58 - 07175680 _____ C:\Users\vostro\AppData\Roaming\agent.dat
    2016-09-24 11:58 - 2016-09-24 11:58 - 00018432 _____ C:\Users\vostro\AppData\Roaming\Main.dat
    2016-09-24 11:58 - 2016-09-24 11:58 - 00000000 ____D C:\Users\Public\Thunder Network
    2016-09-24 11:55 - 2016-09-24 11:55 - 00140288 _____ C:\Users\vostro\AppData\Roaming\Installer.dat
    2016-09-24 11:50 - 2016-09-24 11:50 - 00000000 _____ C:\TOSTACK
    2016-09-24 11:48 - 2016-11-08 16:05 - 00000000 ____D C:\ProgramData\Avira
    2016-09-24 11:48 - 2016-11-08 12:43 - 00000000 ____D C:\Program Files (x86)\Cluwerdomghsight
    2016-09-24 11:48 - 2016-09-24 11:48 - 00000000 ___HD C:\Program Files (x86)\wu41k3cp
    2016-09-24 11:48 - 2016-09-24 11:48 - 00000000 ____D C:\Users\vostro\AppData\Local\Ovudom
    2016-09-24 11:48 - 2016-09-24 11:48 - 00000000 ____D C:\ProgramData\Avg
    2016-09-24 11:48 - 2016-09-24 11:48 - 00000000 ____D C:\ProgramData\AVAST Software
    2016-09-24 11:58 - 2016-09-24 11:58 - 0018432 _____ () C:\Users\vostro\AppData\Roaming\Main.dat
    C:\Windows\svchost.exe
    UWAGA ====> Check for partition/boot infection.
    C:\Users\vostro\AppData\Local\Temp\world-super-ext.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #9 08 Lis 2016 19:21
    Montezuman
    Poziom 4  

    Niestety nie mogę odpalić naprawiania. FRST po paru sekundach się zawiesza jak i cały system. Nie mogę wejść w start a ctrl+alt+delete nie działa, jedynie restart lapka. Walczyć dalej czy format?

    0
  • #11 08 Lis 2016 19:45
    Montezuman
    Poziom 4  

    Na trybie awaryjnym poszło. Załączam fixlog.

    Dodam, że już nie mam folderu Cluwerdomghsight a jakiś nowy się wytworzył o identycznej zawartości co ten Cluwerdomghsight i utworzył się jakiś folder '0xr1ehir' (niepusty).

    0
  • #12 08 Lis 2016 20:05
    Acorus 20
    Spec od komputerów

    Pokaż nowe logi z FRST.

    0
  • #14 08 Lis 2016 21:17
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {72A56F17-1569-4084-8A9A-3E272FB106BC} - \ChelfNotify Task -> Brak pliku <==== UWAGA
    Task: {BF997DB3-8313-428B-8B1B-EA9B42D275FA} - System32\Tasks\Microsoft\Windows\Multimedia\SoundProvider => C:\Users\vostro\SoundProvider\SoundProvider.exe [2016-10-28] ()
    Task: {E80A5C17-8285-492B-B81F-EC36A66D2EE6} - System32\Tasks\Chohigh Cloud => C:\Program Files (x86)\Stosert\pers.exe [2016-11-08] (Glarysoft Ltd)
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1736329333-1611086863-1361131622-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    S2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    2016-11-08 19:41 - 2016-11-08 19:41 - 00000000 ____D C:\Program Files (x86)\0xr1ehir
    2016-11-08 17:01 - 2016-11-08 17:02 - 00000000 ____D C:\Program Files (x86)\kvfogmzh
    2016-11-08 16:51 - 2016-11-08 16:51 - 00036104 _____ C:\ComboFix.txt
    2016-11-08 16:42 - 2016-11-08 16:51 - 00000000 ____D C:\Qoobox
    2016-11-08 16:42 - 2016-11-08 16:51 - 00000000 ____D C:\ComboFix
    2016-11-08 16:42 - 2016-11-08 16:42 - 05659834 ____N (Swearware) C:\Users\vostro\Desktop\ComboFix.exe
    2016-11-08 16:42 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
    2016-11-08 16:42 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
    2016-11-08 16:42 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2016-11-08 16:42 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2016-11-08 16:42 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2016-11-08 16:42 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
    2016-11-08 16:42 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
    2016-11-08 16:42 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
    2016-11-08 16:08 - 2016-11-08 16:16 - 144168704 _____ C:\Users\vostro\Desktop\glwu9pzx.exe
    2016-11-08 16:05 - 2016-11-08 19:41 - 00000000 ____D C:\Program Files (x86)\Stosert
    2016-11-08 16:05 - 2016-11-08 19:19 - 00000000 ____D C:\Users\vostro\AppData\Roaming\Rukisyreitse
    2016-11-08 16:05 - 2016-11-08 16:05 - 00006016 _____ C:\Windows\System32\Tasks\Chohigh Cloud
    2016-11-08 16:05 - 2016-11-08 16:05 - 00000000 ____D C:\Windows\Azart
    2016-11-08 16:05 - 2016-11-08 16:05 - 00000000 ____D C:\Users\vostro\AppData\Local\Codach
    2016-11-01 14:16 - 2016-11-05 08:29 - 00000000 ____D C:\Program Files (x86)\{1520AD1C-ABAF-45E3-A307-7569DA61D826}
    2016-10-27 09:53 - 2016-10-27 09:53 - 00000000 ____D C:\Users\vostro\Documents\aMule Downloads
    2016-10-18 04:31 - 2016-10-21 17:07 - 00000000 ____D C:\Program Files (x86)\{78C11BAE-3EBA-4726-9A8B-3685FAF119C2}


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #15 08 Lis 2016 21:27
    Montezuman
    Poziom 4  

    Załączam wyniki poniżej (fixlog).

    Edit:
    Dobra, sprawa wygląda tak. W C:\Program Files (x86) żadnych nowych zmian, ten folder Cluwerdomghsight jak i Stosert czy Tooleat są w FRST/Quarantine. Czyli już wszystko po herbacie? Coś jeszcze trzeba zmieniać bo już raczej problem został wyeliminowany?

    Edit2:
    Dodaje jeszcze na zapas logi po skanowaniu (FRST + Addition).

    0
  • #17 09 Lis 2016 20:02
    Montezuman
    Poziom 4  

    Zrobione, coś jeszcze?

    0
  • Pomocny post
    #18 09 Lis 2016 20:23
    Acorus 20
    Spec od komputerów

    To wszystko.

    0
  • #19 09 Lis 2016 20:24
    Montezuman
    Poziom 4  

    Wielkie dzięki! Temat zamykam i mam nadzieję, że z tym świństwem nie będę musiał walczyć ponownie... :)

    0