Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Malwarebytes - Nie usuwa zainfekowanych plików

MarcinBielany 22 Sty 2017 13:32 510 9
  • #1 22 Sty 2017 13:32
    MarcinBielany
    Poziom 3  

    Witam.
    Mam problem z programem Malwarebytes , a mianowicie z zainfekowanymi plikami które wykrył.
    Dodam że wcześniej miałem jakiegoś wirusa i Malware wykrył ok 8 tyś błędów.
    Problem polega na tym iż w momencie usuwania tych zainfekowanych plików system się zawiesza.
    Oczywiście rozumiem że może to być sprawa tych 8 tyś plików , w jaki sposób mam się tego pozbyć aby system działał normalnie.
    Pozdrawiam

    0 9
  • #2 22 Sty 2017 13:38
    Kolobos
    Spec od komputerów

    Podaj czym sa zainfekowane te pliki, jakie maja nazwy i gdzie sie znajduja (podaj chociaz ze dwa).

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zamiesc w zalaczniku logi z FRST (Frst.txt oraz Addition.txt):
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    Zrob pelny skan przy pomocy Cureit: http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    0
  • #3 22 Sty 2017 16:43
    MarcinBielany
    Poziom 3  

    Ok powiem tak z Malware nie udało mi się nic uzyskać ponieważ nie mogę wejść w historię , ale mam z Cureita :
    iobit-gb3.4-setup_Www.instalki.pl Program Unwandet.308
    installer.exe Trojan.InstallCore.1903
    hosts i tutaj nic nie ma napisane i
    gbinit.exe Program Unwandet.308

    0
  • #4 22 Sty 2017 16:53
    Kolobos
    Spec od komputerów

    Te wszystkie instalatory szkodliwych dodatkow mozesz usunac (Unwanted.308 oraz Unwandet.308).

    Dlaczego nie zamiesciles logow z frst? Adwc tez pewnie nie uzyles?

    0
  • #5 22 Sty 2017 17:05
    MarcinBielany
    Poziom 3  

    Adwc używałem a które informacje potrzebujesz z frst ? Bo sporo ich jest i nie wiem czego mam szukać :)

    0
  • #6 22 Sty 2017 17:09
    Kolobos
    Spec od komputerów

    Niczego nie szukaj tylko zamiesc oba logi w zalaczniku.

    0
  • #8 22 Sty 2017 17:48
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Adobe Reader 9.5.2 - Polish, zmien na Foxit: http://ninite.com/foxit/
    Hoolapp Packages
    McAfee Security Scan Plus
    PDF Reader Packages 34

    Zgraj zakladki z Chrome, profil zostanie usuniety. Zmien na poprawny profil w ustawieniach (Default).

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CustomCLSID: HKU\S-1-5-21-796845957-1409082233-839522115-1005_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> D:\Documents and Settings\Grażyna\Dane aplikacji\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku
    CustomCLSID: HKU\S-1-5-21-796845957-1409082233-839522115-1005_Classes\CLSID\{E69341A3-E6D2-4175-B60C-C9D3D6FA40F6}\localserver32 -> D:\Documents and Settings\Grażyna\Dane aplikacji\Dropbox\bin\Dropbox.exe /wiacallback => Brak pliku
    Task: D:\WINDOWS\Tasks\At1.job => D:\Program Files\HP\HP Deskjet 3050 J610 series\Bin\HPCustPartic.exe
    Task: D:\WINDOWS\Tasks\At2.job => D:\Program Files\HP\HP Deskjet 3050 J610 series\Bin\HPCustPartic.exe
    Task: D:\WINDOWS\Tasks\At3.job => D:\Program Files\HP\HP Deskjet 3050 J610 series\Bin\HPCustPartic.exe
    Task: D:\WINDOWS\Tasks\At4.job => D:\Program Files\HP\HP Deskjet 3050 J610 series\Bin\HPCustPartic.exe
    Task: D:\WINDOWS\Tasks\Game_Booster_AutoUpdate.job => D:\Program Files\IObit\Game Booster 3\AutoUpdate.exe
    Task: D:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => <==== UWAGA
    Task: D:\WINDOWS\Tasks\Thizigethiveph Cloud.job => D:\Program Files\Citocultbukopy\bopersh.exe
    ShortcutWithArgument: D:\Documents and Settings\Grażyna\Pulpit\Google Chrome.lnk -> D:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=14849...0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS
    ShortcutWithArgument: D:\Documents and Settings\Grażyna\Menu Start\Programy\Internet Explorer (2).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=14849...0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS
    ShortcutWithArgument: D:\Documents and Settings\Grażyna\Menu Start\Programy\Internet Explorer.lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=14849...0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS




    ShortcutWithArgument: D:\Documents and Settings\Grażyna\Menu Start\Programy\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=14849...0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS
    ShortcutWithArgument: D:\Documents and Settings\Grażyna\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\22apple.lnk -> D:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=14849...0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS
    ShortcutWithArgument: D:\Documents and Settings\Grażyna\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> D:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=14849...0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS
    ShortcutWithArgument: D:\Documents and Settings\Grażyna\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=14849...0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS
    ShortcutWithArgument: D:\Documents and Settings\Grażyna\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> D:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=14849...0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS
    ShortcutWithArgument: D:\Documents and Settings\Grażyna\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk -> D:\Program Files\Opera\launcher.exe (Opera Software) -> hxxp://www.amisites.com/?type=sc&ts=14849...0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS
    ShortcutWithArgument: D:\Documents and Settings\Grażyna\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=14849...0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS
    (McAfee, Inc.) D:\Program Files\McAfee Security Scan\3.11.334\SSScheduler.exe
    HKLM\...\Run: [] => [X]
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\Run: [ALLUpdate] => D:\Program Files\ALLPlayer\ALLUpdate.exe [1379840 2011-08-16] ()
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] => "D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\Run: [World of Tanks] => "C:\Games\World_of_Tanks\WargamingGameUpdater.exe"
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\MountPoints2: G - G:\setup\rsrc\Autorun.exe
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\MountPoints2: {15a87cf7-af8d-11e5-a52c-6cf049cd046b} - I:\Autorun.exe
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\MountPoints2: {23d79e59-79a2-11e6-a5bf-6cf049cd046b} - I:\setup.exe
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\MountPoints2: {2c42e915-4f0c-11e3-bace-6cf049cd046b} - F:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\MountPoints2: {3c81bb56-8027-11e6-a5c2-6cf049cd046b} - I:\setup.exe
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\MountPoints2: {5342cc15-5309-11e0-be76-6cf049cd046b} - F:\LaunchU3.exe -a
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\MountPoints2: {5b3cddc7-6a55-11e4-8655-6cf049cd046b} - E:\LGAutoRun.exe
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\MountPoints2: {8e668f6b-dc94-11e6-a5f0-6cf049cd046b} - F:\Startme.exe
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\MountPoints2: {ac245888-b83b-11e5-a53a-6cf049cd046b} - H:\autorun.exe
    HKU\S-1-5-21-796845957-1409082233-839522115-1005\...\MountPoints2: {ddaece39-f76f-11e2-ba6c-6cf049cd046b} - F:\HTC_Sync_Manager_PC.exe
    HKLM\...\Providers\8qh2wvgo: D:\Program Files\Kqghtaruciph Nodifier\local32spl.dll
    ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak pliku
    Startup: D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk [2017-01-18]
    ShortcutTarget: McAfee Security Scan Plus.lnk -> D:\Program Files\McAfee Security Scan\3.11.334\SSScheduler.exe (McAfee, Inc.)
    Startup: D:\Documents and Settings\Grażyna\Menu Start\Programy\Autostart\FIFA 11 Registration.lnk [2016-01-03]
    ShortcutTarget: FIFA 11 Registration.lnk -> D:\Program Files\EA Sports\FIFA 11\Support\EAregister.exe (Brak pliku)
    Startup: D:\Documents and Settings\Grażyna\Menu Start\Programy\Autostart\fliptoast.lnk [2012-02-13]
    ShortcutTarget: fliptoast.lnk -> D:\Program Files\fliptoast\fliptoast.exe (Brak pliku)
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    Winsock: Catalog5 04 D:\Program Files\Bonjour\mdnsNSP.dll [121704 2011-08-30] (Apple Inc.)
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    URLSearchHook: [S-1-5-21-796845957-1409082233-839522115-1005] UWAGA => Brak domyślnego URLSearchHook
    SearchScopes: HKLM -> Backup.Old.DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847}
    SearchScopes: HKU\S-1-5-21-796845957-1409082233-839522115-1005 -> Backup.Old.DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847}
    BHO: Search Helper -> {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} -> Brak pliku
    BHO: Brak nazwy -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> Brak pliku
    BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll => Brak pliku
    Toolbar: HKLM - Brak nazwy - {8dcb7100-df86-4384-8842-8fa844297b3f} - Brak pliku
    FF Homepage: D:\Documents and Settings\Grażyna\Dane aplikacji\Mozilla\Firefox\Profiles\xszrcdpa.default-1475614636656 -> hxxp://www.amisites.com/?type=hp&ts=14849...0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS
    FF SearchPlugin: D:\Documents and Settings\Grażyna\Dane aplikacji\Mozilla\Firefox\Profiles\xszrcdpa.default-1475614636656\searchplugins\amisites.xml [2017-01-20]
    FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - D:\Program Files\Java\jre6\lib\deploy\jqs\ff => nie znaleziono
    FF ExtraCheck: D:\Program Files\mozilla firefox\firefox.cfg [2013-06-03] <==== UWAGA
    CHR StartupUrls: Default -> "hxxps://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com","hxxp://google.pl/","hxxp://www.amisites.com/?type=hp&ts=1484914422&z=7989c91d3b4f26517fc5bbeg9z6b5zet7gacfb2q9q&from=che0812&uid=ST3500418AS_9VMV7WYSXXXX9VMV7WYS"
    D:\Documents and Settings\Grażyna\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\ChromeDefaultData
    CHR Profile: D:\Documents and Settings\Grażyna\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\ChromeDefaultData [2017-01-18] <==== UWAGA
    CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - D:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>
    S3 McComponentHostService; D:\Program Files\McAfee Security Scan\3.11.334\McCHSvc.exe [239880 2016-05-31] (McAfee, Inc.)
    S2 Anehichcousetion; D:\Program Files\Citocultbukopy\lglconfiguration.dll [X]
    S2 BITS; C:\WINDOWS\system32\qmgr.dll [X]
    S2 ES lite Service; "D:\Program Files\Gigabyte\EasySaver\ESSVR.EXE" [X]
    S2 JavaQuickStarterService; "D:\Program Files\Java\jre6\bin\jqs.exe" -service -config "D:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf"
    S2 SeaPort; "D:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe" [X]
    S1 avgtp; \??\D:\WINDOWS\system32\drivers\avgtpx86.sys [X]
    S3 USBAAPL; System32\Drivers\usbaapl.sys [X]
    S3 WinRing0_1_2_0; \??\D:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X]
    U1 WS2IFSL; Brak ImagePath
    2017-01-20 15:37 - 2017-01-22 11:10 - 00000000 ____D D:\AdwCleaner
    2017-01-20 13:13 - 2017-01-20 13:13 - 00000000 ____D D:\Program Files\amuleC2
    2017-01-20 13:13 - 2017-01-20 13:13 - 00000000 ____D D:\Documents and Settings\Grażyna\Dane aplikacji\aMule
    2017-01-19 01:50 - 2017-01-22 09:50 - 00000000 ____D D:\Program Files\xogt8pbn
    2017-01-18 09:28 - 2017-01-18 09:28 - 00000000 ____D D:\Documents and Settings\LocalService\Dane aplikacji\McAfee
    2017-01-18 02:06 - 2017-01-18 02:06 - 00000000 ____D D:\Documents and Settings\All Users\Menu Start\Programy\McAfee Security Scan Plus
    2017-01-17 22:41 - 2017-01-18 02:06 - 00001812 _____ D:\Documents and Settings\All Users\Pulpit\McAfee Security Scan Plus.lnk
    2017-01-17 22:41 - 2017-01-18 02:06 - 00000000 ____D D:\Program Files\McAfee Security Scan
    2017-01-17 22:41 - 2017-01-17 22:41 - 00000000 ____D D:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan
    2017-01-17 22:41 - 2017-01-17 22:41 - 00000000 ____D D:\Documents and Settings\All Users\Dane aplikacji\McAfee
    2017-01-07 14:49 - 2017-01-22 09:58 - 00000416 _____ D:\WINDOWS\Tasks\Thizigethiveph Cloud.job
    2017-01-07 14:49 - 2017-01-07 14:52 - 00000000 ____D D:\Documents and Settings\Gra﾿yna\Ustawienia lokalne\Dane aplikacji\Dbemno
    2017-01-07 14:49 - 2017-01-07 14:49 - 00000000 ____D D:\Documents and Settings\Gra﾿yna\Ustawienia lokalne\Dane aplikacji
    2017-01-07 14:49 - 2017-01-07 14:49 - 00000000 ____D D:\Documents and Settings\Gra﾿yna\Ustawienia lokalne
    2017-01-07 14:49 - 2017-01-07 14:49 - 00000000 ____D D:\Documents and Settings\Gra﾿yna
    2017-01-07 14:48 - 2017-01-22 11:03 - 00000000 ____D D:\Program Files\Citocultbukopy
    2017-01-07 14:48 - 2017-01-17 21:05 - 00000000 ____D D:\Documents and Settings\Grażyna\Dane aplikacji\Noguyplolersp
    2017-01-07 14:48 - 2017-01-07 18:31 - 00000000 ____D D:\Documents and Settings\Grażyna\Ustawienia lokalne\Dane aplikacji\Dbemno
    2012-08-23 07:48 - 2012-08-23 07:48 - 0440633 _____ (ALLPlayer ) D:\Program Files\ALLPlayerPL.exe
    2013-06-27 07:55 - 2013-06-27 07:57 - 0003716 ____C () D:\Program Files\Mozilla Firefoxavg-secure-search.xml
    2012-02-20 10:43 - 2012-02-20 10:43 - 2371152 _____ (DownVision ) D:\Documents and Settings\Grażyna\Ustawienia lokalne\Dane aplikacji\setup.exe
    D:\Windows\Tasks\At1.job
    D:\Windows\Tasks\At2.job
    D:\Windows\Tasks\At3.job
    D:\Windows\Tasks\At4.job
    EmptyTemp:

    W FRST wybierz Napraw.

    Wykonaj skan przy pomocy mbam, moze teraz uda sie cos usunac, a jak nie to usuwaj czesciowo az sie usunie wszystko (lub pomin to na czym sie zawiesza).

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.


    Ps. Ta marna infekcja nie radzi sobie z polskimi znakami w nazwie katalogu profilu i tworzy swoje ;)

    1
  • #9 23 Sty 2017 14:34
    MarcinBielany
    Poziom 3  

    Bardzo Ci Kolego dziękuję za pomoc.
    Po usunięciu programów które wymieniłeś system oraz internet śmigają normalnie :)
    Jeżeli chodzi o 2 część naprawy to chyba jest trochę bardziej pracochłonna :)
    Postaram się to dzisiaj zrobić i dam znać .

    0
  • #10 23 Sty 2017 18:24
    Kolobos
    Spec od komputerów

    > Jeżeli chodzi o 2 część naprawy to chyba jest trochę bardziej pracochłonna

    Nie jest, wystarczy utworzyc plik z podana zwartoscia i nacisnac Napraw. Zajmie Ci to pare minut.

    0