Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Podejrzenie infekcji malware/adware

lama272 12 Kwi 2018 22:54 441 7
  • #1 12 Kwi 2018 22:54
    lama272
    Poziom 2  

    Cześć, mam taki problem gdyż wczoraj złapałem jakąś infekcję, wyskakiwało mi reklamy na przeglądarce internetowej, jakieś nieznany wyszukiwarki mi się ciągle załączały typu mysearch. W dodaj/usuń miałem takie programy jak cloudnet, panda viewer, youtube blocker. Dodatkowo nie mogłem włączyć MalwareBytes, cały czas miałem jakiś error jednak po przeczyszczeniu Malware Anti-rootkit udało mi się zainstalować MB jednak cały czas mam wrażenie, że nie zostało wszystko wyczyszczone. Między innymi chciałem dla sprawdzenia dodatkowo zainstalować darmowego noda32 i podczas instalacji wyskakuje mi, że z powodu złośliwego oprogramowania program nie zostanie zainstalowany. Wspomnę też, że nawet Defendera potrafiło mi to wyłączyć jednak na ten moment większości udało mi się pozbyć ale mam jakieś wrażenie, że coś jest nie tak. Załączam logi z FRST.

    0 7
  • Pomocny post
    #2 12 Kwi 2018 23:31
    safbot1st
    Poziom 43  

    Tu masz wszystko wciąż, trojany, malware, Chrome "leży".
    Zapisz zakładki itp. z Chrome i zapamiętaj hasła, Chrome odinstaluj
    i skasuj profil użytkownika.
    Odinstaluj McAfee WebAdvisor, otwórz notatnik i wklej:

    Code:

    HKLM\...\Policies\Explorer: [NoActiveDesktop] 1 [0 2018-04-11] ()
    HKLM\...\Policies\Explorer: [NoActiveDesktopChanges] 1 [0 2018-04-11] ()
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    GroupPolicy: Ograniczenia - Chrome <==== UWAGA
    SearchScopes: HKU\S-1-5-21-1768553180-990046201-1460725195-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    BHO: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL [2013-12-19] (Microsoft Corporation)
    BHO: McAfee WebAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    BHO-x32: McAfee WebAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    Handler-x32: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2018-03-19] (McAfee, Inc.)
    FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi
    FF Extension: (McAfeeŸ WebAdvisor) - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi [2018-04-12]
    FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi
    FF HKU\S-1-5-21-1768553180-990046201-1460725195-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Lamciak\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => nie znaleziono
    FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.7\npGoogleUpdate3.dll [Brak pliku]
    FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.7\npGoogleUpdate3.dll [Brak pliku]
    FF Plugin HKU\S-1-5-21-1768553180-990046201-1460725195-1001: @acestream.net/acestreamplugin,version=3.1.1 -> C:\Users\Lamciak\AppData\Roaming\ACEStream\player\npace_plugin.dll [Brak pliku]




    FF Plugin HKU\S-1-5-21-1768553180-990046201-1460725195-1001: @acestream.net/acestreamplugin,version=3.1.28 -> C:\Users\Lamciak\AppData\Roaming\ACEStream\player\npace_plugin.dll [Brak pliku]
    CHR res: Zainfekowany resources.pak (Adware script). Przeinstaluj Chrome. <==== UWAGA
    CHR DefaultProfile: Default
    CHR HomePage: Default -> hxxp://wp.pl/
    CHR StartupUrls: Default -> "hxxp://wp.pl/"
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1768553180-990046201-1460725195-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx [2016-10-20]
    CHR HKU\S-1-5-21-1768553180-990046201-1460725195-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx [2016-10-20]
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [oggekmchebjhcebioohbjaogddbmijcc] - C:\Users\Lamciak\AppData\Roaming\Chrome Extensions\Pick-your-Color_v1.0.2.crx [2017-03-23]
    R2 McAfee SiteAdvisor Service; C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe [604312 2018-03-19] (McAfee, Inc.)
    S2 0299791521750080mcinstcleanup; C:\WINDOWS\TEMP\029979~1.EXE -cleanup -nolog [X]
    S2 ekrn; "C:\Program Files\ESET\ESET Security\ekrn.exe" [X]
    S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
    S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
    S2 HiPatchService; C:\Program Files (x86)\Hi-Rez Studios\HiPatchService.exe [X]
    S1 bcnsiobv; \??\C:\Windows\system32\drivers\bcnsiobv.sys [X]
    S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]
    S1 idiowato; \??\C:\Windows\system32\drivers\idiowato.sys [X]
    S1 nqoimxio; \??\C:\Windows\system32\drivers\nqoimxio.sys [X]
    nointegritychecks: ==> "IntegrityChecks" [funkcja wyłączona] <==== UWAGA
    2018-03-22 22:21 - 2017-09-09 12:37 - 000000000 ____D C:\Program Files (x86)\McAfee
    2018-04-11 22:11 - 2018-04-11 22:11 - 000000000 ____D C:\ProgramData\ESET
    2018-04-11 22:11 - 2018-04-11 22:11 - 000000000 ____D C:\Program Files\ESET
    2018-04-11 21:46 - 2018-04-11 21:50 - 000003214 _____ C:\Windows\System32\Tasks\KlAEYQtzmHgics
    2018-04-11 21:46 - 2018-04-11 21:50 - 000003034 _____ C:\Windows\System32\Tasks\XeRTeJCMKPYXWyYqW2
    2018-04-11 21:46 - 2018-04-11 21:50 - 000003026 _____ C:\Windows\System32\Tasks\KlgKDPyHEeVbjwqnEgK2
    2018-04-11 21:46 - 2018-04-11 21:50 - 000003008 _____ C:\Windows\System32\Tasks\xRZOrQVCBWPMscb2
    2018-04-11 21:35 - 2018-04-11 21:35 - 000000000 ____D C:\Windows\pss
    2018-04-11 21:28 - 2018-04-12 22:43 - 000000000 ____D C:\AdwCleaner
    2018-04-11 20:53 - 2018-04-11 20:53 - 000000000 _____ C:\autoexec.bat
    2018-04-11 20:41 - 2018-04-11 20:41 - 000000000 ____D C:\Users\Lamciak\AppData\Local\CrashRpt
    2018-04-11 20:36 - 2018-04-11 20:36 - 000000000 ____D C:\Users\Lamciak\AppData\Local\ESET
    2018-04-11 20:33 - 2018-04-11 21:34 - 000000000 ____D C:\Users\Lamciak\AppData\Roaming\gw5wq403sok
    2018-04-11 20:29 - 2018-04-11 20:37 - 000000000 ____D C:\Users\Lamciak\AppData\Roaming\gh2aa5srtaz
    2018-04-11 20:28 - 2018-04-11 20:46 - 000000000 ____D C:\Users\Lamciak\AppData\Roaming\piaur3fh5sr
    2018-04-11 20:28 - 2018-04-11 20:46 - 000000000 ____D C:\Users\Lamciak\AppData\Roaming\ntkxj1eepey
    2018-04-11 20:28 - 2018-04-11 20:46 - 000000000 ____D C:\Users\Lamciak\AppData\Roaming\mtkooazxda0
    2018-04-11 20:27 - 2018-04-11 21:46 - 000003660 _____ C:\Windows\System32\Tasks\CreateExplorerShellUnelevatedTask
    2018-04-11 20:27 - 2018-04-11 20:37 - 000000000 ____D C:\Users\Lamciak\AppData\Roaming\jqoyhl42cgu
    2018-04-11 20:27 - 2018-04-11 20:27 - 000000000 ____D C:\Program Files\My Program
    2018-04-11 20:26 - 2018-04-11 20:37 - 000000000 ____D C:\Users\Lamciak\AppData\Roaming\lrhkhfkjuwr
    2018-04-11 20:26 - 2018-04-11 20:37 - 000000000 ____D C:\Users\Lamciak\AppData\Roaming\igv42brg1cr
    2018-04-11 20:26 - 2018-04-11 20:37 - 000000000 ____D C:\Users\Lamciak\AppData\Roaming\2kdwyflu2oi
    2018-04-11 20:26 - 2018-04-11 20:26 - 008600480 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlmp.exe
    2018-04-11 20:26 - 2018-04-11 20:26 - 001415296 _____ (Microsoft Corporation) C:\Windows\system32\osloader.efi
    2018-04-11 20:25 - 2018-04-11 20:25 - 000021606 _____ C:\Windows\System32\Tasks\k4UDVbfoHnSs
    2018-04-11 18:29 - 2018-04-11 18:29 - 000000266 __RSH C:\Users\Lamciak\ntuser.pol
    2018-04-11 18:26 - 2018-04-11 22:41 - 000000000 ____D C:\WinSys
    2018-04-11 18:26 - 2018-04-11 18:33 - 000000000 ____D C:\ProgramData\365bbf9ad1
    2018-04-11 18:26 - 2018-04-11 18:26 - 000021606 _____ C:\Windows\System32\Tasks\qYIvAleXw2Wi
    2018-04-11 17:47 - 2018-03-30 05:36 - 000098304 _____ C:\Windows\system32\runexehelper.exe
    ContextMenuHandlers1: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> Brak pliku
    ContextMenuHandlers6: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> Brak pliku
    Task: {0BFC2C19-9C14-4A4E-A06A-7F0259A449D0} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Windows\explorer.exe /NOUACCHECK
    Task: {5005CFCD-ABC6-4AC5-A133-CF6D13FBE080} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {8B925213-A000-48E2-A70C-CFCCEEC321BC} - System32\Tasks\XeRTeJCMKPYXWyYqW2 => rundll32 "C:\Program Files (x86)\FpyEWGzDFWVVpLycIFR\jydVySI.dll",#1
    Task: {94C8D174-B5F5-4A43-B8A2-33ABEE293708} - System32\Tasks\k4UDVbfoHnSs => k4udvbfohnss.exe <==== UWAGA
    Task: {9BE19B04-11E9-47B2-A2B1-605EF212C9C6} - System32\Tasks\qYIvAleXw2Wi => qyivalexw2wi.exe <==== UWAGA
    Task: {9E52F48A-FC58-44C8-B5F9-EE3EB9E2A4D8} - System32\Tasks\xRZOrQVCBWPMscb2 => rundll32 "C:\Program Files (x86)\muZPPgwvU\zxGZer.dll",#1
    Task: {E564AAFA-78A6-4BE2-A187-13B0E1BD6110} - System32\Tasks\KlAEYQtzmHgics => rundll32 "C:\Program Files (x86)\GYHHaWMnbkQU2\PzdxsGYZYewrn.dll",#1
    Task: {E5F42CCF-43BC-40C9-B11C-EF28E0325A48} - System32\Tasks\KlgKDPyHEeVbjwqnEgK2 => rundll32 "C:\Program Files (x86)\IUpWUBcycmhgC\NmvBGOy.dll",#1

    , zapisz jako fixlist.txt przy FRST.exe i w FRST wybierz 'Napraw'.
    Zamieść fixlog.txt i najlepiej od razu kolejne logi.
    EDIT: Zanim logi możesz ponownie zainstalować Chrome.

    0
  • Pomocny post
    #4 13 Kwi 2018 00:06
    safbot1st
    Poziom 43  

    Coś nie poszło Ci z usuwaniem Chrome. Odinstaluj i dokładnie ręcznie usuń wszystkie foldery Chrome z dysku łącznie z profilami użytkowników.
    Poza tym jak dla mnie (na tą porę w nocy) nic więcej nie widzę.
    Jak już uporasz się z Chrome wygeneruj sobie FRST.txt.
    Powinna zniknąć linia:
    CHR res: Zainfekowany resources.pak (Adware script). Przeinstaluj Chrome. <==== UWAGA

    Po tym usuń C:\FRST i możesz instalować NOD.
    Przeskanuj jeszcze na koniec HDD czym się da. MBAM, ADWcleaner, Dr. Web i NODem.

    Dodano po 9 [minuty]:

    lama272 napisał:
    Dorzucam jeszcze zdjęcie komunikatu, który pojawia mi się teraz przy uruchomieniu komputera

    Wybacz, zostały 2 pliki usunięte, które potrzebne są do startu OS.
    2018-04-11 20:26 - 2018-04-11 20:26 - 008600480 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlmp.exe
    2018-04-11 20:26 - 2018-04-11 20:26 - 001415296 _____ (Microsoft Corporation) C:\Windows\system32\osloader.efi
    Wg. daty modyfikacji mogły być częścią infekcji, a może posunąłem się za daleko. :(
    Po prostu użyj płyty instalacyjnej windows i wykonaj standardową automatyczną naprawę.

    0
  • #5 13 Kwi 2018 00:10
    lama272
    Poziom 2  

    Jak przejrzałem to zniknęła ta linijka CHR res: Zainfekowany resources.pak (Adware script). Przeinstaluj Chrome. <==== UWAGA
    Udało mi się zainstalować też NODA i na tę chwilę skanuję. Mam nadzieję, że już jest okej. Wrzucam ponownie logi bo po tym jak źle zrobiłem z Chromem to ponownie zrobiłem fixlista.

    0
  • #6 13 Kwi 2018 00:14
    safbot1st
    Poziom 43  

    OK. Nie wdać już infekcji ani nic złego.

    0
  • Pomocny post
    #7 14 Kwi 2018 23:57
    safbot1st
    Poziom 43  

    @lama272 Nie wiem jak to zrobiłeś, ani dlaczego, ale zablokowałeś mnie na PW.
    Załączam ntkrnlmp.exe. Wiesz co z nim zrobić...
    Ogólnie dziwna sprawa z tymi plikami. Z tego co się zorientowałem, ludzie, co mają identyczny build jak Ty, w ogóle nie mają takich plików w systemie...

    0
  • #8 15 Kwi 2018 00:12
    Kolobos
    Spec od komputerów

    Jeszcze do wykonania Fixlist.txt:
    HKU\S-1-5-21-1768553180-990046201-1460725195-1001\...\Run: [ALLUpdate] => C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe [3670472 2015-07-28] (ALLPlayer Group Ltd.)
    HKU\S-1-5-21-1768553180-990046201-1460725195-1001\...\Run: [AceStream] => C:\Users\Lamciak\AppData\Roaming\ACEStream\engine\ace_engine.exe
    C:\Users\Lamciak\AppData\Local\Google\Chrome\User Data\Default\Extensions\jhhhfgfhbjnkpaoedekoofphhbagpooj
    CHR Extension: (Adblocker for Youtube™) - C:\Users\Lamciak\AppData\Local\Google\Chrome\User Data\Default\Extensions\jhhhfgfhbjnkpaoedekoofphhbagpooj [2018-04-11]
    CHR Extension: (Ace Script) - C:\Users\Lamciak\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2018-04-12]
    2018-04-12 23:36 - 2017-09-09 12:37 - 000000000 ____D C:\ProgramData\McAfee
    2018-04-12 23:36 - 2017-09-03 11:31 - 000000008 __RSH C:\ProgramData\ntuser.pol
    2018-04-12 23:35 - 2017-03-23 19:25 - 000000000 ____D C:\Users\Lamciak\AppData\Roaming\Chrome Extensions
    2017-03-23 19:26 - 2017-03-23 19:28 - 000008670 _____ () C:\Users\Lamciak\AppData\Roaming\downloads.json
    2018-04-11 18:23 - 2018-04-11 18:23 - 000140800 _____ () C:\Users\Lamciak\AppData\Local\installer.dat
    2018-04-11 18:23 - 2018-04-11 18:24 - 000929792 _____ () C:\Users\Lamciak\AppData\Local\sham.db


    Do tego w Chrome usun te wszystkie Adblocki i zainstaluj tylko uBlock Origin.


    Wspomniane wczesniej pliki utworzyl aktowator, mozna sprobowac naprawy z nosnika instalacyjnego W10.

    0