Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Ponad 1100 wirusów w MBAM, wyskakujące okna w Chrome, logi z FRST

01 Apr 2018 14:03 975 13
  • Level 5  
    Witam, bardzo proszę o pomoc w przeanalizowaniu logów z FRST w celu usunięcia wirusów/złośliwego oprogramowania i wyskakujących okien w Chrome,
    rosyjskie adresy w YouTube obok filmów z reklamami zachęcającymi do kopania kryptowalut
  • Helpful post
    IT specialist
    Odinstaluj:
    Adobe Reader 9.5.0 - Polish, zmien na najnowsza wersje AR lub na Foxit: http://ninite.com/foxit/
    Bing Bar
    McAfee WebAdvisor
    Служба автоматического обновления программ

    Usun recznie plik C:\Users\PC\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk

    Plik hosts zostanie zresetowany.

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    Task: {302EB1F1-3403-4FCC-80D0-F48C8C25A51F} - System32\Tasks\{64B850F6-9648-488E-811F-F0E42C11543C} => C:\Windows\system32\pcalua.exe -a C:\Users\PC\Downloads\Programs\vcredist_x64.exe -d C:\Users\PC\AppData\Roaming\IDM
    Task: {4ADE7866-F55E-4637-B716-6265E0A71BAA} - System32\Tasks\qFbxfDUevnccZZ => rundll32 "C:\Program Files (x86)\jzVqtpDsXbLU2\hZQTnnKyQjhbZ.dll",#1
    Task: {643EEFFE-109E-43E1-BB83-2267AAA09310} - System32\Tasks\{FE2193C6-1A88-4E28-BD8A-50531E064E08} => C:\Windows\system32\pcalua.exe -a C:\Users\PC\Downloads\Programs\vcredist_x64_2008.exe -d C:\Users\PC\AppData\Roaming\IDM
    Task: {88B12E2B-8445-461B-9DD0-EEF333CA6750} - System32\Tasks\dTRRfHQjsHOvbdt2 => rundll32 "C:\Program Files (x86)\LfFoujfjU\ZTnyjb.dll",#1
    Task: {938647F9-DA32-4F81-8035-30223D3BF69F} - System32\Tasks\Opera scheduled Autoupdate 1488301516 => C:\Users\PC\AppData\Local\Programs\Opera\launcher.exe
    Task: {A9E8C45A-2C81-4257-9571-BE3890F200B2} - System32\Tasks\{221A8636-C9B8-4C59-B4D9-8CCFAC087D9C} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{319D91C6-3D44-436C-9F79-36C0D22372DC}\setup.exe" -c -runfromtemp -l0x0009 -removeonly
    Task: {B9246580-F1A7-483A-A40C-C7E378E711E8} - System32\Tasks\WlbBJSMcknvngxNxC2 => rundll32 "C:\Program Files (x86)\mAUzXDPkZrvZtXzyunR\nJTVMLI.dll",#1
    Task: {D3628082-DA8B-487C-BBF3-48B258639B6E} - System32\Tasks\dIxshjfnsDsrepSSqPt2 => rundll32 "C:\Program Files (x86)\pidIvTaYsJowC\tkYsEnz.dll",#1
    Task: {EA0B6F54-1647-4553-96D3-C660E0D493F5} - System32\Tasks\{2A9416D2-AD08-4F50-ACAC-8A8EF2BD85F9} => C:\Windows\system32\pcalua.exe -a "C:\Users\PC\Desktop\mhfgtjkm\Mount & Blade Warband SPOLSZCZENIE by Mordor.exe" -d C:\Users\PC\Desktop\mhfgtjkm
    C:\Users\PC\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
    Hosts:
    (McAfee, Inc.) C:\Program Files (x86)\McAfee\SiteAdvisor\mcsacore.exe
    () C:\Program Files (x86)\SteamServerBrowser\SteamServerBrowser.exe
    (Mail.Ru) C:\Users\PC\AppData\Local\Mail.Ru\MailRuUpdater.exe
    (McAfee, Inc.) C:\Program Files (x86)\McAfee\SiteAdvisor\saUI.exe
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\Run: [vatican] => C:\Users\PC\Downloads\Gta 5 crack.exe
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\Run: [SteamServerBrowser] => C:\Program Files (x86)\SteamServerBrowser\SteamServerBrowser.exe [228352 2017-02-26] ()
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\Run: [MailRuUpdater] => C:\Users\PC\AppData\Local\Mail.Ru\MailRuUpdater.exe [4053176 2018-03-02] (Mail.Ru) <==== UWAGA
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\MountPoints2: G - G:\setup.exe
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\MountPoints2: {5338aa80-dae4-11e6-a32a-4ccc6a916287} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\MountPoints2: {e1088416-e45a-11e6-a4c4-4ccc6a916287} - G:\cdp-sptfbw.exe
    Tcpip\..\Interfaces\{67AA29F8-BEE0-4E30-95B0-FADAD4E337B8}: [NameServer] ,,
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\program files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    BHO-x32: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\program files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\program files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    Handler-x32: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\program files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi
    FF Extension: (McAfee® WebAdvisor) - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi [2018-02-09]
    FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi
    C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811013"
    CHR NewTab: Default -> Not-active:"chrome-extension://mafmbfcmgifkdahieiddfiebgaabkdpd/newtab.html"
    C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho
    CHR Extension: (McAfee® WebAdvisor) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho [2018-03-09]
    C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\gcpkohnhcheajaneelkpaiebgkbdafmi
    CHR Extension: (Adblocker for Youtube™) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\gcpkohnhcheajaneelkpaiebgkbdafmi [2018-03-11]
    C:\Users\PC\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\jnoejnlbkbnckikbkmnpippafneemknp
    CHR Extension: (Brak nazwy) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\jnoejnlbkbnckikbkmnpippafneemknp [2018-03-11]
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx [2015-04-20]
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx [2015-04-20]
    R2 McAfee SiteAdvisor Service; C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe [604312 2018-03-19] (McAfee, Inc.)
    R3 mfesapsn; C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [111608 2017-02-14] (McAfee, Inc.)
    S3 MSICDSetup; \??\F:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
    2018-03-12 08:35 - 2018-03-12 08:38 - 000000266 __RSH C:\ProgramData\ntuser.pol
    2018-03-11 22:09 - 2018-03-11 22:10 - 000000000 ____D C:\Users\PC\AppData\LocalLow\HHbsGmflFYCDR
    2018-03-11 22:09 - 2018-03-11 22:09 - 000000000 ____D C:\Users\PC\AppData\Roaming\wget
    2018-03-11 22:07 - 2018-03-11 22:07 - 000000000 ____D C:\Users\PC\AppData\Local\Вoйти в Интeрнет
    2018-03-11 22:03 - 2018-03-11 22:03 - 000003060 _____ C:\Windows\System32\Tasks\qFbxfDUevnccZZ
    2018-03-11 22:03 - 2018-03-11 22:03 - 000002872 _____ C:\Windows\System32\Tasks\WlbBJSMcknvngxNxC2
    2018-03-11 22:03 - 2018-03-11 22:03 - 000002860 _____ C:\Windows\System32\Tasks\dIxshjfnsDsrepSSqPt2
    2018-03-11 22:03 - 2018-03-11 22:03 - 000002850 _____ C:\Windows\System32\Tasks\dTRRfHQjsHOvbdt2
    2018-03-11 22:01 - 2018-03-11 22:01 - 000000000 ____D C:\Users\PC\AppData\Local\Поиcк в Интeрнете
    2018-03-11 21:56 - 2018-03-11 22:13 - 000000000 ____D C:\Users\PC\AppData\Local\Mail.Ru
    2018-03-11 21:55 - 2018-03-11 22:08 - 000000000 ____D C:\ProgramData\Mail.Ru
    2018-03-11 21:52 - 2018-03-11 21:52 - 001510817 _____ C:\Users\PC\Downloads\Fortnite hack 08.03.18.rar
    2018-03-11 21:52 - 2018-03-11 21:52 - 001510817 _____ C:\Users\PC\Downloads\fortnite hack 08 03 18.rar
    2018-03-11 21:50 - 2018-03-11 21:50 - 000000504 _____ C:\Users\PC\Downloads\fortnite_hack_08_03_18_906-98f.torrent
    2018-03-11 21:25 - 2018-03-11 21:25 - 000000000 ___HD C:\ProgramData\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8}
    2018-03-11 21:24 - 2018-03-11 22:18 - 000000000 ___HD C:\ProgramData\MicrosoftCorporation
    2018-03-11 21:24 - 2018-03-11 21:24 - 000000000 ___HD C:\ProgramData\{4FCEED6C-B7D9-405B-A844-C3DBF418BF87}
    2018-03-11 21:23 - 2018-03-11 21:29 - 000654060 _____ C:\Users\PC\Documents\HackFortnite.zip
    2018-03-29 18:57 - 2018-04-01 09:06 - 000000983 _____ () C:\Users\PC\AppData\Roaming\downloads.json
    C:\Users\PC\AppData\Local\Mail.Ru\MailRuUpdater.exe
    EmptyTemp:

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.
  • Level 5  
    Nowe logi w załączniku

    co do
    Code:
    Usun recznie plik C:\Users\PC\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk 


    Tego folderu w ogóle nie było w tej ścieżce

    Dodatkowo dodam że przy uruchamianiu chociażby Origina odpala się Chrome, sam z siebie, w sumie 3 chromy przy starcie systemu (Windows 7)
  • IT specialist
    > Tego folderu w ogóle nie było w tej ścieżce

    Jak moze go nie byc skoro w logu plik nadal jest widoczny?!

    Wklej w uruchom: "C:\Users\PC\AppData\Local\Microsoft\Start Menu\" po otworzeniu usun wspomniany plik.

    Usun tez recznie:
    2018-03-11 22:07 - 2018-03-11 22:07 - 000000000 ____D C:\Users\PC\AppData\Local\Вoйти в Интeрнет
    2018-03-11 22:01 - 2018-03-11 22:01 - 000000000 ____D C:\Users\PC\AppData\Local\Поиcк в Интeрнете
    I nawet nie probuj pisac, ze tez go nie ma.

    Nowy Fixlist.txt dla FRST:
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\Run: [Flvto YouTube Downloader] => C:\Users\PC\AppData\Local\Flvto YouTube Downloader\FlvtoYoutubeDownloader.Redesign.exe [689152 2018-03-29] ()
    S2 0045621522585183mcinstcleanup; C:\Users\PC\AppData\Local\Temp\004562~1.EXE -cleanup -nolog [X] <==== UWAGA
    2018-03-30 09:43 - 2018-03-30 09:43 - 000000000 __SHD C:\82ace7d6-0197-474d-bf4b-a2043e72329b
    2018-03-30 09:22 - 2018-03-30 09:22 - 000005800 _____ C:\Users\PC\Downloads\5ae9a2f0-f1d2-4083-b179-e725767ca2ee.tmp

    > Dodatkowo dodam że przy uruchamianiu chociażby Origina odpala się Chrome

    Sprawdz skrot, ktorym go uruchamiasz czy nie ma tam czegos dopisanego. Jezeli jest to usun i utworz nowy.
  • Level 5  
    Wykonane
    2 foldery ręcznie usunięte, były, już ich nie ma

    Ponad 1100 wirusów w MBAM, wyskakujące okna w Chrome, logi z FRST

    Opcje pokazywania ukrytych plików i folderów również włączone
  • IT specialist
    Wylacz jeszcze ukrywanie plikow chronionych i sprawdz ponownie.
  • Level 5  
    Kolobos wrote:
    Wylacz jeszcze ukrywanie plikow chronionych i sprawdz ponownie.


    Faktycznie, to było to
    Fixlog po ostatnim skanowaniu w załączniku
  • IT specialist
    Czy nadal wystepuja jakies problemy z systemem?
  • Level 5  
    Kolobos wrote:
    Czy nadal wystepuja jakies problemy z systemem?


    Losowo przy odpaleniu jakiejś strony w Chrome odpala się nowe okno Chrome ze stroną lawsivo (dot ru) czy jakoś tak, dodatkowo filmiki na YouTube trzeba odpalac ręcznie po ich włączeniu, nie odpalają się automatycznie, i chyba ostatnie, 3 okna chrome odpalają się nadal po włączeniu Windows, mimo że wyłączyłem autostart Origina i programów które o to podejrzewałem
  • IT specialist
    Zgraj zakladki z Chrome, usun katalog profilu z C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default, jezeli synchronizujesz ustawienia Chrome z konta google to usun tez dane synchronizacji z konta.

    Czy te strony, ktore sie otwieraja przy starcie maja jakis adres?

    Uzyj AdwCleaner, opcja Scan/Szukaj i Clean/Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zamiesc tez nowe logi z FRST, ze skanowania.
  • Level 5  
    Instaluję Opere, sprawdzę na niej, edytuję ten post o nowe informację za chwilę

    Co do wyskakujących okien Chrome przy starcie, nie, to okna z pustą stroną startową

    @Kolobos

    Zrobione, po usunięciu profilu domyślnego Chrome filmy w YouTube odpalają się normalnie jak powinny, nie zauważyłem też żeby odpalała się jakaś rosyjska strona jako nowe okno

    Jedyne co w takim razie zostało to odpalające się, nadal, 3 okna chrome podczas startu Windows 7, zauważyłem też że okno również się włącza od razu kiedy z traya Windowsa zamknę MBAMa

    Ah, i ADWCleaner wykonany również

    Logi z FRST w załączniku
  • Helpful post
    IT specialist
    Sciagnij Autoruns ze strony MS i wylacz te zadania i wpisy:
    Task: {229CE356-3186-435B-8DB5-9FD67DFD0F4E} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_29_0_0_113_Plugin.exe [2018-03-15] (Adobe Systems Incorporated)
    Task: {39E138B8-C1FA-4F53-8922-3E7D0C3E6360} - System32\Tasks\Intel PTT EK Recertification => C:\Program Files\Intel\iCLS Client\IntelPTTEKRecertification.exe [2016-02-19] (Intel(R) Corporation)
    Task: {3BBF0CE0-9803-46B5-A6FA-C8E79B634164} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2018-03-15] (Adobe Systems Incorporated)
    Task: {C049499D-C3F3-4111-A0B3-B7ECA27B965A} - System32\Tasks\Connect => C:\Program Files (x86)\MAGIX\Connect\connect.exe [2017-05-10] (MAGIX Software GmbH)
    HKLM\...\Run: [XboxStat] => C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe [825184 2009-09-30] (Microsoft Corporation)
    HKLM\...\Run: [Malwarebytes TrayApp] => C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\mbamtray.exe [2780112 2017-01-20] (Malwarebytes)
    HKLM-x32\...\Run: [CanonQuickMenu] => C:\Program Files (x86)\Canon\Quick Menu\CNQMMAIN.EXE [1314432 2016-06-09] (CANON INC.)
    HKLM-x32\...\Run: [Launch 0 FwCustom] => C:\Program Files (x86)\MotoSpeed Gaming Keyboard CK108 Driver\FwCustom.exe /Start
    HKU\S-1-5-21-3601692787-3793294460-3867645273-1000\...\Run: [IDMan] => C:\Program Files (x86)\Internet Download Manager\IDMan.exe [1391616 2015-04-20] (Tonec Inc.)
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\TP-LINK Wireless Configuration Utility.lnk [2016-12-22]
    ShortcutTarget: TP-LINK Wireless Configuration Utility.lnk -> C:\Program Files (x86)\TP-LINK\TP-LINK Wireless Configuration Utility\TWCU.exe ()

    Tylko ich nie usuwaj, jedynie odznacz w Autoruns, uruchom ponownie system i sprawdz czy okna przegladarki nadal sie otwieraja.
  • Level 5  
    Elegancko! Wszystko teraz działa jak należy, dzięki śliczne :D, jeżeli coś jeszcze zauważę to dam znać, śliczne dzięki raz jeszcze
  • IT specialist
    Usun katalog C:\FRST i C:\AdwCleaner i to wszystko.