Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ponad 1100 wirusów w MBAM, wyskakujące okna w Chrome, logi z FRST

wojtex2581 01 Kwi 2018 14:03 714 13
  • #1 01 Kwi 2018 14:03
    wojtex2581
    Poziom 3  

    Witam, bardzo proszę o pomoc w przeanalizowaniu logów z FRST w celu usunięcia wirusów/złośliwego oprogramowania i wyskakujących okien w Chrome,
    rosyjskie adresy w YouTube obok filmów z reklamami zachęcającymi do kopania kryptowalut

    0 13
  • Pomocny post
    #2 01 Kwi 2018 14:16
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Adobe Reader 9.5.0 - Polish, zmien na najnowsza wersje AR lub na Foxit: http://ninite.com/foxit/
    Bing Bar
    McAfee WebAdvisor
    Служба автоматического обновления программ

    Usun recznie plik C:\Users\PC\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk

    Plik hosts zostanie zresetowany.

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    Task: {302EB1F1-3403-4FCC-80D0-F48C8C25A51F} - System32\Tasks\{64B850F6-9648-488E-811F-F0E42C11543C} => C:\Windows\system32\pcalua.exe -a C:\Users\PC\Downloads\Programs\vcredist_x64.exe -d C:\Users\PC\AppData\Roaming\IDM
    Task: {4ADE7866-F55E-4637-B716-6265E0A71BAA} - System32\Tasks\qFbxfDUevnccZZ => rundll32 "C:\Program Files (x86)\jzVqtpDsXbLU2\hZQTnnKyQjhbZ.dll",#1
    Task: {643EEFFE-109E-43E1-BB83-2267AAA09310} - System32\Tasks\{FE2193C6-1A88-4E28-BD8A-50531E064E08} => C:\Windows\system32\pcalua.exe -a C:\Users\PC\Downloads\Programs\vcredist_x64_2008.exe -d C:\Users\PC\AppData\Roaming\IDM
    Task: {88B12E2B-8445-461B-9DD0-EEF333CA6750} - System32\Tasks\dTRRfHQjsHOvbdt2 => rundll32 "C:\Program Files (x86)\LfFoujfjU\ZTnyjb.dll",#1
    Task: {938647F9-DA32-4F81-8035-30223D3BF69F} - System32\Tasks\Opera scheduled Autoupdate 1488301516 => C:\Users\PC\AppData\Local\Programs\Opera\launcher.exe
    Task: {A9E8C45A-2C81-4257-9571-BE3890F200B2} - System32\Tasks\{221A8636-C9B8-4C59-B4D9-8CCFAC087D9C} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{319D91C6-3D44-436C-9F79-36C0D22372DC}\setup.exe" -c -runfromtemp -l0x0009 -removeonly
    Task: {B9246580-F1A7-483A-A40C-C7E378E711E8} - System32\Tasks\WlbBJSMcknvngxNxC2 => rundll32 "C:\Program Files (x86)\mAUzXDPkZrvZtXzyunR\nJTVMLI.dll",#1
    Task: {D3628082-DA8B-487C-BBF3-48B258639B6E} - System32\Tasks\dIxshjfnsDsrepSSqPt2 => rundll32 "C:\Program Files (x86)\pidIvTaYsJowC\tkYsEnz.dll",#1
    Task: {EA0B6F54-1647-4553-96D3-C660E0D493F5} - System32\Tasks\{2A9416D2-AD08-4F50-ACAC-8A8EF2BD85F9} => C:\Windows\system32\pcalua.exe -a "C:\Users\PC\Desktop\mhfgtjkm\Mount & Blade Warband SPOLSZCZENIE by Mordor.exe" -d C:\Users\PC\Desktop\mhfgtjkm
    C:\Users\PC\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
    Hosts:
    (McAfee, Inc.) C:\Program Files (x86)\McAfee\SiteAdvisor\mcsacore.exe
    () C:\Program Files (x86)\SteamServerBrowser\SteamServerBrowser.exe
    (Mail.Ru) C:\Users\PC\AppData\Local\Mail.Ru\MailRuUpdater.exe
    (McAfee, Inc.) C:\Program Files (x86)\McAfee\SiteAdvisor\saUI.exe
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\Run: [vatican] => C:\Users\PC\Downloads\Gta 5 crack.exe
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\Run: [SteamServerBrowser] => C:\Program Files (x86)\SteamServerBrowser\SteamServerBrowser.exe [228352 2017-02-26] ()
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\Run: [MailRuUpdater] => C:\Users\PC\AppData\Local\Mail.Ru\MailRuUpdater.exe [4053176 2018-03-02] (Mail.Ru) <==== UWAGA
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\MountPoints2: G - G:\setup.exe
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\MountPoints2: {5338aa80-dae4-11e6-a32a-4ccc6a916287} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\MountPoints2: {e1088416-e45a-11e6-a4c4-4ccc6a916287} - G:\cdp-sptfbw.exe
    Tcpip\..\Interfaces\{67AA29F8-BEE0-4E30-95B0-FADAD4E337B8}: [NameServer] ,,
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\program files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    BHO-x32: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\program files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\program files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    Handler-x32: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\program files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi
    FF Extension: (McAfee® WebAdvisor) - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi [2018-02-09]
    FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi
    C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811013"
    CHR NewTab: Default -> Not-active:"chrome-extension://mafmbfcmgifkdahieiddfiebgaabkdpd/newtab.html"
    C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho
    CHR Extension: (McAfee® WebAdvisor) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho [2018-03-09]
    C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\gcpkohnhcheajaneelkpaiebgkbdafmi
    CHR Extension: (Adblocker for Youtube™) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\gcpkohnhcheajaneelkpaiebgkbdafmi [2018-03-11]
    C:\Users\PC\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\jnoejnlbkbnckikbkmnpippafneemknp
    CHR Extension: (Brak nazwy) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\jnoejnlbkbnckikbkmnpippafneemknp [2018-03-11]
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx [2015-04-20]
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx [2015-04-20]
    R2 McAfee SiteAdvisor Service; C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe [604312 2018-03-19] (McAfee, Inc.)
    R3 mfesapsn; C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [111608 2017-02-14] (McAfee, Inc.)
    S3 MSICDSetup; \??\F:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
    2018-03-12 08:35 - 2018-03-12 08:38 - 000000266 __RSH C:\ProgramData\ntuser.pol
    2018-03-11 22:09 - 2018-03-11 22:10 - 000000000 ____D C:\Users\PC\AppData\LocalLow\HHbsGmflFYCDR
    2018-03-11 22:09 - 2018-03-11 22:09 - 000000000 ____D C:\Users\PC\AppData\Roaming\wget
    2018-03-11 22:07 - 2018-03-11 22:07 - 000000000 ____D C:\Users\PC\AppData\Local\Вoйти в Интeрнет
    2018-03-11 22:03 - 2018-03-11 22:03 - 000003060 _____ C:\Windows\System32\Tasks\qFbxfDUevnccZZ
    2018-03-11 22:03 - 2018-03-11 22:03 - 000002872 _____ C:\Windows\System32\Tasks\WlbBJSMcknvngxNxC2
    2018-03-11 22:03 - 2018-03-11 22:03 - 000002860 _____ C:\Windows\System32\Tasks\dIxshjfnsDsrepSSqPt2
    2018-03-11 22:03 - 2018-03-11 22:03 - 000002850 _____ C:\Windows\System32\Tasks\dTRRfHQjsHOvbdt2
    2018-03-11 22:01 - 2018-03-11 22:01 - 000000000 ____D C:\Users\PC\AppData\Local\Поиcк в Интeрнете
    2018-03-11 21:56 - 2018-03-11 22:13 - 000000000 ____D C:\Users\PC\AppData\Local\Mail.Ru
    2018-03-11 21:55 - 2018-03-11 22:08 - 000000000 ____D C:\ProgramData\Mail.Ru
    2018-03-11 21:52 - 2018-03-11 21:52 - 001510817 _____ C:\Users\PC\Downloads\Fortnite hack 08.03.18.rar
    2018-03-11 21:52 - 2018-03-11 21:52 - 001510817 _____ C:\Users\PC\Downloads\fortnite hack 08 03 18.rar
    2018-03-11 21:50 - 2018-03-11 21:50 - 000000504 _____ C:\Users\PC\Downloads\fortnite_hack_08_03_18_906-98f.torrent
    2018-03-11 21:25 - 2018-03-11 21:25 - 000000000 ___HD C:\ProgramData\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8}
    2018-03-11 21:24 - 2018-03-11 22:18 - 000000000 ___HD C:\ProgramData\MicrosoftCorporation
    2018-03-11 21:24 - 2018-03-11 21:24 - 000000000 ___HD C:\ProgramData\{4FCEED6C-B7D9-405B-A844-C3DBF418BF87}
    2018-03-11 21:23 - 2018-03-11 21:29 - 000654060 _____ C:\Users\PC\Documents\HackFortnite.zip
    2018-03-29 18:57 - 2018-04-01 09:06 - 000000983 _____ () C:\Users\PC\AppData\Roaming\downloads.json
    C:\Users\PC\AppData\Local\Mail.Ru\MailRuUpdater.exe
    EmptyTemp:

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #3 01 Kwi 2018 14:29
    wojtex2581
    Poziom 3  

    Nowe logi w załączniku

    co do

    Code:
    Usun recznie plik C:\Users\PC\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk 


    Tego folderu w ogóle nie było w tej ścieżce

    Dodatkowo dodam że przy uruchamianiu chociażby Origina odpala się Chrome, sam z siebie, w sumie 3 chromy przy starcie systemu (Windows 7)

    0
  • #4 01 Kwi 2018 15:05
    Kolobos
    Spec od komputerów

    > Tego folderu w ogóle nie było w tej ścieżce

    Jak moze go nie byc skoro w logu plik nadal jest widoczny?!

    Wklej w uruchom: "C:\Users\PC\AppData\Local\Microsoft\Start Menu\" po otworzeniu usun wspomniany plik.

    Usun tez recznie:
    2018-03-11 22:07 - 2018-03-11 22:07 - 000000000 ____D C:\Users\PC\AppData\Local\Вoйти в Интeрнет
    2018-03-11 22:01 - 2018-03-11 22:01 - 000000000 ____D C:\Users\PC\AppData\Local\Поиcк в Интeрнете
    I nawet nie probuj pisac, ze tez go nie ma.

    Nowy Fixlist.txt dla FRST:
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\Run: [Flvto YouTube Downloader] => C:\Users\PC\AppData\Local\Flvto YouTube Downloader\FlvtoYoutubeDownloader.Redesign.exe [689152 2018-03-29] ()
    S2 0045621522585183mcinstcleanup; C:\Users\PC\AppData\Local\Temp\004562~1.EXE -cleanup -nolog [X] <==== UWAGA
    2018-03-30 09:43 - 2018-03-30 09:43 - 000000000 __SHD C:\82ace7d6-0197-474d-bf4b-a2043e72329b
    2018-03-30 09:22 - 2018-03-30 09:22 - 000005800 _____ C:\Users\PC\Downloads\5ae9a2f0-f1d2-4083-b179-e725767ca2ee.tmp

    > Dodatkowo dodam że przy uruchamianiu chociażby Origina odpala się Chrome

    Sprawdz skrot, ktorym go uruchamiasz czy nie ma tam czegos dopisanego. Jezeli jest to usun i utworz nowy.

    0
  • #5 01 Kwi 2018 15:13
    wojtex2581
    Poziom 3  

    Wykonane
    2 foldery ręcznie usunięte, były, już ich nie ma

    Ponad 1100 wirusów w MBAM, wyskakujące okna w Chrome, logi z FRST

    Opcje pokazywania ukrytych plików i folderów również włączone

    0
  • #6 01 Kwi 2018 15:16
    Kolobos
    Spec od komputerów

    Wylacz jeszcze ukrywanie plikow chronionych i sprawdz ponownie.

    0
  • #7 01 Kwi 2018 15:19
    wojtex2581
    Poziom 3  

    Kolobos napisał:
    Wylacz jeszcze ukrywanie plikow chronionych i sprawdz ponownie.


    Faktycznie, to było to
    Fixlog po ostatnim skanowaniu w załączniku

    0
  • #8 01 Kwi 2018 15:26
    Kolobos
    Spec od komputerów

    Czy nadal wystepuja jakies problemy z systemem?

    0
  • #9 01 Kwi 2018 15:30
    wojtex2581
    Poziom 3  

    Kolobos napisał:
    Czy nadal wystepuja jakies problemy z systemem?


    Losowo przy odpaleniu jakiejś strony w Chrome odpala się nowe okno Chrome ze stroną lawsivo (dot ru) czy jakoś tak, dodatkowo filmiki na YouTube trzeba odpalac ręcznie po ich włączeniu, nie odpalają się automatycznie, i chyba ostatnie, 3 okna chrome odpalają się nadal po włączeniu Windows, mimo że wyłączyłem autostart Origina i programów które o to podejrzewałem

    0
  • #10 01 Kwi 2018 15:33
    Kolobos
    Spec od komputerów

    Zgraj zakladki z Chrome, usun katalog profilu z C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default, jezeli synchronizujesz ustawienia Chrome z konta google to usun tez dane synchronizacji z konta.

    Czy te strony, ktore sie otwieraja przy starcie maja jakis adres?

    Uzyj AdwCleaner, opcja Scan/Szukaj i Clean/Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zamiesc tez nowe logi z FRST, ze skanowania.

    1
  • #11 01 Kwi 2018 15:36
    wojtex2581
    Poziom 3  

    Instaluję Opere, sprawdzę na niej, edytuję ten post o nowe informację za chwilę

    Co do wyskakujących okien Chrome przy starcie, nie, to okna z pustą stroną startową

    @Kolobos

    Zrobione, po usunięciu profilu domyślnego Chrome filmy w YouTube odpalają się normalnie jak powinny, nie zauważyłem też żeby odpalała się jakaś rosyjska strona jako nowe okno

    Jedyne co w takim razie zostało to odpalające się, nadal, 3 okna chrome podczas startu Windows 7, zauważyłem też że okno również się włącza od razu kiedy z traya Windowsa zamknę MBAMa

    Ah, i ADWCleaner wykonany również

    Logi z FRST w załączniku

    0
  • Pomocny post
    #12 01 Kwi 2018 16:00
    Kolobos
    Spec od komputerów

    Sciagnij Autoruns ze strony MS i wylacz te zadania i wpisy:
    Task: {229CE356-3186-435B-8DB5-9FD67DFD0F4E} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_29_0_0_113_Plugin.exe [2018-03-15] (Adobe Systems Incorporated)
    Task: {39E138B8-C1FA-4F53-8922-3E7D0C3E6360} - System32\Tasks\Intel PTT EK Recertification => C:\Program Files\Intel\iCLS Client\IntelPTTEKRecertification.exe [2016-02-19] (Intel(R) Corporation)
    Task: {3BBF0CE0-9803-46B5-A6FA-C8E79B634164} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2018-03-15] (Adobe Systems Incorporated)
    Task: {C049499D-C3F3-4111-A0B3-B7ECA27B965A} - System32\Tasks\Connect => C:\Program Files (x86)\MAGIX\Connect\connect.exe [2017-05-10] (MAGIX Software GmbH)
    HKLM\...\Run: [XboxStat] => C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe [825184 2009-09-30] (Microsoft Corporation)
    HKLM\...\Run: [Malwarebytes TrayApp] => C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\mbamtray.exe [2780112 2017-01-20] (Malwarebytes)
    HKLM-x32\...\Run: [CanonQuickMenu] => C:\Program Files (x86)\Canon\Quick Menu\CNQMMAIN.EXE [1314432 2016-06-09] (CANON INC.)
    HKLM-x32\...\Run: [Launch 0 FwCustom] => C:\Program Files (x86)\MotoSpeed Gaming Keyboard CK108 Driver\FwCustom.exe /Start
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\Run: [IDMan] => C:\Program Files (x86)\Internet Download Manager\IDMan.exe [1391616 2015-04-20] (Tonec Inc.)
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\TP-LINK Wireless Configuration Utility.lnk [2016-12-22]
    ShortcutTarget: TP-LINK Wireless Configuration Utility.lnk -> C:\Program Files (x86)\TP-LINK\TP-LINK Wireless Configuration Utility\TWCU.exe ()

    Tylko ich nie usuwaj, jedynie odznacz w Autoruns, uruchom ponownie system i sprawdz czy okna przegladarki nadal sie otwieraja.

    0
  • #13 01 Kwi 2018 16:09
    wojtex2581
    Poziom 3  

    Elegancko! Wszystko teraz działa jak należy, dzięki śliczne :D, jeżeli coś jeszcze zauważę to dam znać, śliczne dzięki raz jeszcze

    0
  • #14 01 Kwi 2018 16:19
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i C:\AdwCleaner i to wszystko.

    0