Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus lub trojan ładuje szkodliwe oprogramowanie do komputera

polka22 10 Wrz 2018 01:48 150 7
  • #1 10 Wrz 2018 01:48
    polka22
    Poziom 2  

    Witam
    Tak jak w temacie: jakiś sprytny wirus/trojan zamula komputer i wciąż ładuje coś do systemu. Programy typu adwcleaner, malewarebytes można uruchomić tylko w trybie awaryjnym. W normalnym zamyka od razu- tak samo jeśli w wyszukiwarce przeglądarki wpisze się takie hasła- zamyka przeglądarkę.
    Będę wdzięczna za pomoc i proszę o wyrozumiałość ,bo jestem zielona w temacie komputerów

    0 7
  • #2 10 Wrz 2018 03:12
    dt1
    Moderator - Komputery Serwis

    Witaj. Skan z OTL zbędny, skan z FRST połowiczny - nie został załączony drugi z logów - addition.txt

    Wykonaj na początek fixlist:

    Code:
    CloseProcesses:
    
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-102792617-3158731002-742234582-1000\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [18630056 2018-08-24] (Piriform Ltd)
    HKU\S-1-5-21-102792617-3158731002-742234582-1000\...\MountPoints2: F - F:\setup.exe
    HKU\S-1-5-21-102792617-3158731002-742234582-1000\...\MountPoints2: {09d6ca29-2860-11e4-a835-d43d7eebacab} - G:\AutoRun.exe
    HKU\S-1-5-21-102792617-3158731002-742234582-1000\...\MountPoints2: {09d6ca3c-2860-11e4-a835-d43d7eebacab} - H:\AutoRun.exe
    HKU\S-1-5-21-102792617-3158731002-742234582-1000\...\MountPoints2: {6d34cf35-25a8-11e7-8fbb-d43d7eebacab} - G:\AutoRun.exe
    HKU\S-1-5-21-102792617-3158731002-742234582-1000\...\MountPoints2: {6d34cf42-25a8-11e7-8fbb-d43d7eebacab} - G:\AutoRun.exe
    HKU\S-1-5-21-102792617-3158731002-742234582-1000\...\MountPoints2: {8f8e629c-fefe-11e6-aca5-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-102792617-3158731002-742234582-1000\...\MountPoints2: {8f8e62aa-fefe-11e6-aca5-005056c00008} - G:\AutoRun.exe
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    Tcpip\Parameters: [DhcpNameServer] 37.8.214.2 31.11.202.254
    Tcpip\..\Interfaces\{348155BC-9539-46F0-83EA-1A8AB82D723D}: [DhcpNameServer] 37.8.214.2 31.11.202.254
    Toolbar: HKU\S-1-5-21-102792617-3158731002-742234582-1000 -> Brak nazwy - {2E924F4F-67F0-4BD8-9560-49F468E843D2} -  Brak pliku
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @qq.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [Brak pliku]
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [jpnojilefhaanfgdnndojglmkkbjbmco] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha404\ch\WebexpEnhancedV1alpha404.crx <nie znaleziono>
    OPR Extension: (Tampermonkey) - C:\Users\Kowal\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2018-09-03]
    OPR Extension: (ScriptMonkey) - C:\Users\Kowal\AppData\Roaming\Opera Software\Opera Stable\Extensions\lblbnlfhhblmfconjalikamamlgoobbe [2018-09-03]
    S3 MSICDSetup; \??\D:\CDriver64.sys [X]
    S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TS888x64.sys [X]
    S3 TSSKX64; System32\drivers\tsskx64.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    EmptyTemp:


    Potem po ponownym uruchomieniu przeskanuj jeszcze raz komputer programem FRST i zamieść obydwa logi (FRST oraz Addition).

    0
  • #4 10 Wrz 2018 07:08
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:

    CloseProcesses:
    Task: {23804861-3382-48AA-81F2-9072E4BBC64E} - System32\Tasks\{C1FDE651-D070-4508-8EAD-03ED4F70D9E9} => C:\Windows\system32\pcalua.exe -a C:\Users\Kowal\Desktop\AutoHotkey104805_Install.exe -d C:\Users\Kowal\Desktop
    Task: {248C4AD8-119D-4C63-896B-B3C5C7E69A61} - System32\Tasks\{72039AFF-BDBB-45C5-B68F-DDD099A94CC2} => C:\Windows\system32\pcalua.exe -a C:\Users\Kowal\AppData\Local\PPTAssist\utility\uninst.exe
    Task: {28AF6DF5-DB33-42FA-8045-B3FD94E84BBA} - System32\Tasks\{5EFB0E72-096A-4F09-A14E-6A18C9105242} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\WinRAR\uninstall.exe" -d "C:\Program Files (x86)\WinRAR" -c /setup
    Task: {35D585DA-D11C-4FA1-923F-073A8EF6E8F4} - System32\Tasks\{A0769AB0-5628-48D1-B216-15A641F6A0F7} => C:\Windows\system32\pcalua.exe -a "C:\Users\Kowal\AppData\Local\Kingsoft\WPS Office\9.1.0.5218\utility\uninst.exe"
    Task: {49374E41-2279-4052-80F4-E8D8957C8BD1} - System32\Tasks\{627503EC-DE2C-49D2-8BCB-C337D48BCC57} => C:\Windows\system32\pcalua.exe -a C:\Users\Kowal\AppData\Local\PPTAssist\utility\uninst.exe
    Task: {4E2C72EE-8BCC-4C69-8054-C5728F567137} - System32\Tasks\{ACCCA892-E30B-45D6-9D35-2A11722A7501} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe"
    Task: {56A3887B-6CC9-4161-B19A-7DEEEE5D1692} - System32\Tasks\{33FBDE44-486C-40A3-9865-41B7B9F86CE7} => C:\Windows\system32\pcalua.exe -a F:\INSTALL.EXE -d F:\
    Task: {76060DCD-7EB2-4128-A482-FD151FB67C32} - \{EC46380C-9AE4-47BE-9AEC-D7C9D0CF3220} -> Brak pliku <==== UWAGA
    Task: {89D2B942-69C6-45A9-8AE9-61F6149E1535} - System32\Tasks\{DF4658DE-0645-408D-AC0F-8B399D17DA61} => C:\Windows\system32\pcalua.exe -a C:\Users\Kowal\AppData\Roaming\uTorrent\uTorrent.exe -c /UNINSTALL
    Task: {8A61CA02-39BE-46A2-A6B3-493E80DB3897} - System32\Tasks\{33EDAB3A-1CA7-4CB6-8ECC-CFB5DCDD8CD4} => C:\Windows\system32\pcalua.exe -a F:\OriginInstaller.exe -d F:\
    Task: {C77D3C56-DD0E-4FD9-8E5E-E7A3117D63E9} - System32\Tasks\{24A3613E-435E-4BED-9B1B-AA6A40D0F1B0} => C:\Windows\system32\pcalua.exe -a "C:\Users\Kowal\AppData\Local\Kingsoft\WPS Office\9.1.0.5218\utility\uninst.exe"
    Task: {E5647000-3748-47A8-8EB7-BB1C6D972D83} - System32\Tasks\{7F439D71-AA41-46D0-8F3D-A3E8A5D322AC} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\a2zLyrics-16\Uninstall.exe" -c /fromcontrolpanel=1
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    Hosts: 127.0.0.1 d3oxij66pru1i3.cloudfront.net
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL =




    SearchScopes: HKLM-x32 -> DefaultScope {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
    SearchScopes: HKLM-x32 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
    SearchScopes: HKU\S-1-5-21-102792617-3158731002-742234582-1000 -> DefaultScope {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
    SearchScopes: HKU\S-1-5-21-102792617-3158731002-742234582-1000 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912...amp;GUID=5F9FDABD-47C2-4B1C-994C-5AA46C503FA9
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912...amp;GUID=5F9FDABD-47C2-4B1C-994C-5AA46C503FA9
    HKU\S-1-5-21-102792617-3158731002-742234582-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912...amp;GUID=5F9FDABD-47C2-4B1C-994C-5AA46C503FA9
    FF Plugin HKU\S-1-5-21-102792617-3158731002-742234582-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Brak pliku]
    S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
    S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
    S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
    S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
    S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
    S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
    S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
    S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
    S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
    2018-09-10 02:56 - 2018-09-10 03:04 - 000000000 ____D C:\AdwCleaner
    2009-07-14 03:14 - 2009-07-14 03:14 - 000186368 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\hXZuYiuE.exe
    2009-07-14 03:14 - 2009-07-14 03:14 - 000073216 ____N (Microsoft Corporation) C:\Users\Kowal\AppData\Roaming\iivvFelqdYiJA.exe
    2013-10-21 01:37 - 2015-05-20 00:37 - 000000086 _____ () C:\Users\Kowal\AppData\Roaming\WB.CFG
    2013-12-31 12:44 - 2014-01-01 03:17 - 000000005 _____ () C:\Users\Kowal\AppData\Roaming\WBPU-Q5-TTL.DAT
    2013-10-21 01:37 - 2014-01-31 01:37 - 000000005 _____ () C:\Users\Kowal\AppData\Roaming\WBPU-TTL.DAT
    2013-11-13 22:49 - 2013-11-13 22:49 - 000003584 _____ () C:\Users\Kowal\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    2018-09-03 01:17 - 2018-09-03 01:17 - 000000002 _____ () C:\Users\Kowal\AppData\Local\imw.ini
    2013-10-16 11:10 - 2018-08-06 16:35 - 000007620 _____ () C:\Users\Kowal\AppData\Local\resmon.resmoncfg
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #5 10 Wrz 2018 11:56
    dt1
    Moderator - Komputery Serwis

    krzychupar napisał:
    S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
    S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
    S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
    S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
    S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
    S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
    S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
    S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
    S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]


    Te wpisy nie są szkodliwe. Są to sterowniki modemu Huawei oraz sterownik od oprogramowania MSI. Wykonanie ich w fixlist będzie skutkowało koniecznością reinstalacji oprogramowania tego modemu, o ile jest używany, oraz koniecznością reinstalacji oprogramowania od MSI, jeśli jest używane.

    0
  • #7 10 Wrz 2018 21:06
    dt1
    Moderator - Komputery Serwis

    Nie widać zagrożeń.
    Możesz jeszcze to wykonać:

    Code:
    HKU\S-1-5-21-102792617-3158731002-742234582-1000\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [18630056 2018-08-24] (Piriform Ltd)
    
    Task: {04B456A4-088B-42F1-8EC9-E99B0A480BEF} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [2018-08-24] (Piriform Ltd)
    Task: {6F1755B2-E7ED-4197-AC2C-234A102D4212} - System32\Tasks\{5B4FFA0C-31F2-4E7F-841C-C82CBC97C0F6} => C:\Windows\system32\pcalua.exe -a "C:\Users\Kowal\AppData\Local\Kingsoft\WPS Office\9.1.0.5218\utility\uninst.exe"
    Task: {8C58ED45-E731-46A2-A8B3-BB0BEE9B7698} - System32\Tasks\{220815B7-6F4C-4BCC-8977-FAAF34DFC48B} => C:\Gry\Battlefield 3\bf3.exe
    Task: {A5471900-931C-44B2-922F-6C0145DFC6B8} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2018-08-24] (Piriform Ltd)
    Task: {F5268AD2-6F9B-46B7-B08E-2D8FA1A4B064} - System32\Tasks\DivXUpdate => C:\Program Files (x86)\Common Files\DivX Shared\DivX Update\DivXUpdate.exe [2017-08-02] (DivX, LLC)
    AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [116]


    Usunie ze startu CCleanera (który jest w ogóle raczej zbędny, ale jak już musi być to niech chociaż nie zwalnia systemu na starcie) i parę innych zbędnych rzeczy, może to trochę przyspieszy.

    0