Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Złośliwy wirus, nie pomaga antywirus!

MironTV 22 Jan 2019 20:07 810 6
  • #1
    MironTV
    Level 2  
    Witam serdecznie.

    Od wczorajszego dnia, po pobraniu patchera zainstalowała mi się aplikacja BoostPC.exe wraz z kilkoma innymi aplikacjami.. :C Zaczałem skanowac komputer antywirusami takimi jak:

    -AVG
    -360 Total Security
    -Defender
    -ESET Online Scanner
    -Program ESET
    -ComboFIX
    -Dr.Web Curelt

    Każdy z nich wykrywa zagrożenie DNS i trojany , ale żaden z nich nie podołał skasowania zagrożen, w panelu sterowania "programy i aplikacje" chce odinstalować boostPC ale załacza mi sie komunikat czy chcesz zezwolic tej aplikacji na zmiane w systemie o.O?
    NA stronach internetowych pokazuja mi się cały czas jakieś reklamy : sklepy, porno,allegro z piecami i taka dziwna strona ktora po ukazaniu komunikatu piszczy strasznie i nie da sie skasowac.

    Złośliwy wirus, nie pomaga antywirus!

    Złośliwy wirus, nie pomaga antywirus!

    Wirus nie pozwala mi na skanowanie, każda ufna mi aplikacja zostaje pokazana jako zagrożenie..
    Jak ktoś pomoże to następnie Fix mam dodać do FRST?
    Ethernet jednoparowy (SPE) - rozwiązania w przemyśle. Szkolenie 29.09.2021r. g. 11.00 Zarejestruj się za darmo
  • #2
    Kolobos
    IT specialist
    Odinstaluj:
    AVG AntiVirus FREE
    boostPc version 1.0
    HitmanPro 3.8

    Uzyj AdwCleaner, opcja Scan/Szukaj i Clean/Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Usun recznie skroty:
    C:\Users\Miroslaw Krzykala\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Explorеr.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоoglе Chrоmе.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мediаn ХL Lаuncher.lnk

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> No File
    Task: {000F42A5-C3A1-4864-8AD7-CAD24335ED68} - \nvqvxnipqfodokq2 -> No File <==== ATTENTION
    Task: {0F2A26B5-554A-4249-9463-9023F442839D} - \pkstxxbmnjftbzzutgc2 -> No File <==== ATTENTION
    Task: {2A0557E2-81DC-4495-966B-9BEA4EBF6467} - System32\Tasks\Kodobi2 => C:\Users\Miroslaw Krzykala\AppData\Roaming\Kodobi\python\pythonw.exe [2018-11-02] (Python Software Foundation) <==== ATTENTION
    C:\Users\Miroslaw Krzykala\AppData\Roaming\Kodobi\
    Task: {3B3EA473-B5E2-45AF-82B4-D6586DEAAD72} - \GfMAIZTzcVSvml -> No File <==== ATTENTION
    Task: {4513C68A-A155-4175-856F-0B328BDC69E1} - System32\Tasks\KMS_VL_ALL => C:\Windows\schemas\Scripts\KMS_VL_ALL.cmd
    Task: {5228F5F4-CC6A-48F5-B282-6D9663F2381B} - System32\Tasks\YoutubeDownloader => C:\Users\Miroslaw Krzykala\AppData\Roaming\YoutubeDownloader\python\pythonw.exe [2018-11-02] (Python Software Foundation) <==== ATTENTION
    Task: {5866A9DE-1A1F-4A57-866D-A3779C862DFF} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe <==== ATTENTION
    Task: {734F7FC0-A96B-4161-BDA1-1FBE90ACCDD2} - \uivbkwbdpzugcghdy2 -> No File <==== ATTENTION
    C:\Users\Miroslaw Krzykala\AppData\Roaming\Kodobi\
    Task: {D041A034-4721-4333-B251-FF5822C3CEDF} - System32\Tasks\Kodobi => C:\Users\Miroslaw Krzykala\AppData\Roaming\Kodobi\python\pythonw.exe [2018-11-02] (Python Software Foundation) <==== ATTENTION
    Task: {DC453E2A-2EB2-4887-AD95-8432872A023F} - System32\Tasks\LFgOsdPPciToq2 => C:\Windows\system32\wscript.exe "C:\ProgramData\eJBlAwaaSdTwMIVB\NlmCtEq.wsf"
    HKU\S-1-5-21-3356149514-3366910642-1670706442-1002\...\Run: [YoutubeDownloader] => C:\Users\Miroslaw Krzykala\AppData\Roaming\YoutubeDownloader\python\pythonw.exe [95904 2018-11-02] (Python Software Foundation) <==== ATTENTION
    HKU\S-1-5-21-3356149514-3366910642-1670706442-1002\...\Run: [Kodobi] => C:\Users\Miroslaw Krzykala\AppData\Roaming\Kodobi\python\pythonw.exe [95904 2018-11-02] (Python Software Foundation) <==== ATTENTION
    HKU\S-1-5-21-3356149514-3366910642-1670706442-1002\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
    HKU\S-1-5-21-3356149514-3366910642-1670706442-1002\...\MountPoints2: {72bde309-1d73-11e9-aeb4-d8cb8a5d8bd9} - "F:\setup.exe"
    Startup: C:\Users\Miroslaw Krzykala\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Shortcut to Primary output from Start (Active).lnk [2019-01-21]
    ShortcutTarget: Shortcut to Primary output from Start (Active).lnk -> C:\Users\Miroslaw Krzykala\AppData\Roaming\Microsoft\Installer\{AFBD847D-108D-4A33-BA7E-2BC8DC102E30}\_735B3A73D9E16CBCB46A6A.exe ()
    GroupPolicy: Restriction - Windows Defender <==== ATTENTION
    HKU\S-1-5-21-3356149514-3366910642-1670706442-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://page-ups.com/all/
    CHR StartupUrls: Default -> "hxxp://www.plemiona.pl/","hxxp://www.yoursearching.com/?type=hp&ts=1451766268&z=81525c33e2c51f73c618827gcz5w4gbm9q5q5ofq7b&from=cor&uid=st1000dm003-1er162_w4y2qevnxxxxw4y2qevn"
    CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
    HKLM\SYSTEM\CurrentControlSet\Services\4583E228A9E84994 <==== ATTENTION (Rootkit!)
    U3 avgbdisk; no ImagePath
    S1 WinmonProcessMonitor; \??\C:\Windows\System32\drivers\WinmonProcessMonitor.sys [X]
    2019-01-22 18:56 - 2019-01-22 19:42 - 000002400 _____ C:\Windows\System32\Tasks\csrss
    2019-01-22 16:42 - 2019-01-22 16:43 - 000000000 ____D C:\AdwCleaner
    2019-01-21 20:40 - 2019-01-21 20:41 - 000000004 _____ C:\ProgramData\lock.dat
    2019-01-21 20:40 - 2019-01-21 20:40 - 000000008 _____ C:\ProgramData\ts.dat
    2019-01-21 20:40 - 2019-01-21 20:40 - 000000004 _____ C:\ProgramData\irw.atsd
    2019-01-21 20:39 - 2019-01-22 19:40 - 000000266 __RSH C:\Users\Miroslaw Krzykala\ntuser.pol
    2019-01-21 20:35 - 2019-01-22 17:04 - 000000000 ____D C:\Program Files\YB9D0V9NRT
    2019-01-21 20:35 - 2019-01-22 17:02 - 000000000 ____D C:\Program Files\EYJL7FR4XU
    2019-01-21 20:34 - 2019-01-22 19:42 - 000002886 _____ C:\Windows\System32\Tasks\Kodobi2
    2019-01-21 20:34 - 2019-01-22 19:42 - 000002866 _____ C:\Windows\System32\Tasks\Kodobi
    2019-01-21 20:34 - 2019-01-22 17:05 - 000000000 ____D C:\Program Files (x86)\boostPc
    2019-01-21 20:34 - 2019-01-21 20:42 - 000000000 ____D C:\Program Files (x86)\3zrwtsikgk4
    2019-01-21 20:33 - 2019-01-22 19:42 - 000002934 _____ C:\Windows\System32\Tasks\YoutubeDownloader
    2019-01-21 20:33 - 2019-01-22 19:05 - 000000000 ____D C:\Users\Miroslaw Krzykala\AppData\Roaming\Kodobi
    2019-01-21 20:33 - 2019-01-22 18:12 - 000000000 ____D C:\Users\Miroslaw Krzykala\AppData\Local\WhiteClick
    2019-01-21 20:33 - 2019-01-22 16:43 - 000000000 ____D C:\ProgramData\{915722FE-1013-0ECF-6B0D-4C826BEA15D3}
    2019-01-21 20:33 - 2019-01-22 16:43 - 000000000 ____D C:\ProgramData\{81FF2CBB-1E56-1E67-2E03-E4922EE4BDC3}
    2019-01-21 20:33 - 2019-01-21 20:41 - 000000000 ____D C:\ProgramData\localNETService
    2019-01-21 20:33 - 2019-01-21 20:33 - 000001530 ____S C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мediаn ХL Lаuncher.lnk
    2019-01-21 20:33 - 2019-01-21 20:33 - 000000004 _____ C:\ProgramData\ext.dat
    2019-01-21 20:32 - 2019-01-22 19:05 - 000000000 ____D C:\Users\Miroslaw Krzykala\AppData\Roaming\YoutubeDownloader
    2019-01-21 20:32 - 2019-01-21 20:32 - 000001390 ____S C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоoglе Chrоmе.lnk
    2019-01-21 20:30 - 2019-01-22 19:42 - 000002740 _____ C:\Windows\System32\Tasks\LFgOsdPPciToq2
    2019-01-21 20:30 - 2019-01-22 18:09 - 000000000 ____D C:\ProgramData\eJBlAwaaSdTwMIVB
    2019-01-21 20:30 - 2019-01-22 17:05 - 000000000 ____D C:\Program Files (x86)\eWuDAKEgxIE
    2019-01-21 20:29 - 2019-01-22 19:40 - 000002724 __RSH C:\ProgramData\ntuser.pol
    2019-01-21 20:29 - 2019-01-22 17:07 - 000000000 ____D C:\Program Files\Edmondson
    2019-01-21 20:28 - 2019-01-21 20:28 - 000000000 ____D C:\Users\Miroslaw Krzykala\AppData\Local\AdvinstAnalytics
    2019-01-21 20:27 - 2019-01-21 20:31 - 000722944 _____ C:\Users\Miroslaw Krzykala\AppData\Local\sham.db
    2019-01-21 20:27 - 2019-01-21 20:27 - 000140800 _____ C:\Users\Miroslaw Krzykala\AppData\Local\installer.dat
    2019-01-21 20:33 - 2019-01-21 20:33 - 000000004 _____ () C:\ProgramData\ext.dat
    2019-01-21 20:40 - 2019-01-21 20:41 - 000000004 _____ () C:\ProgramData\lock.dat
    2019-01-21 20:40 - 2019-01-21 20:40 - 000000008 _____ () C:\ProgramData\ts.dat
    2019-01-21 20:27 - 2019-01-21 20:27 - 000140800 _____ () C:\Users\Miroslaw Krzykala\AppData\Local\installer.dat
    2019-01-21 20:27 - 2019-01-21 20:31 - 000722944 _____ () C:\Users\Miroslaw Krzykala\AppData\Local\sham.db


    Uzyj TDSSKiller.

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania. Wczesniej zaznacz opcje Lista BCD.
  • #3
    MironTV
    Level 2  
    boostPc version 1.0 -
    Złośliwy wirus, nie pomaga antywirus!

    Po prostu nie da się skasować teraz. Wcześniej pokazywało całkiem co innego, że nieznane źródło chce zmienić ustawienia systemu czy coś takiego.

    Następnie TDSKiller :
    Złośliwy wirus, nie pomaga antywirus!


    Zastanawia mnie co to jest:
    Code:
    2019-01-21 20:29 - 2019-01-22 17:07 - 000000000 ____D C:\Program Files\Edmondson 

    Wcześniej pokazało mi to jako Trojana. Widziałeś co się dzieje na tych zdjęciach co udostępniłem w pierwszym poście.

    Co do :
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоoglе Chrоmе.lnk < Nie mogę znaleźć określonego pliku, nie widzę nigdzie.
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мediаn ХL Lаuncher.lnk < To używam więc jestem pewny, że to nie przez to :)
  • Helpful post
    #4
    Kolobos
    IT specialist
    Uruchom regedit, odszukaj boostPc_is1 az znajdziesz klucz uninstall i tam usun boostPc_is1.

    > 2019-01-21 20:29 - 2019-01-22 17:07 - 000000000 ____D C:\Program Files\Edmondson

    To czesc infekcji, katalog zostal juz usuniety.

    > C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоoglе Chrоmе.lnk < Nie mogę znaleźć określonego pliku, nie widzę nigdzie.

    Znalezc? Przeciez masz podana sciezke, wystarczy otworzyc i usunac. Jak nie umiesz to nacisnij Win+x lub Win+r w menu start i wklej: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ powinien sie otworzyc katalog.

    > C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мediаn ХL Lаuncher.lnk < To używam więc jestem pewny, że to nie przez to :)

    Nie uzywasz, to skrot z cyrylica w nazwie, utworzony przez infekcje!

    Oba skroty jak widac nadal sa w podanych lokalizacjach:
    Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоoglе Chrоmе.lnk -> C:\Users\Miroslaw Krzykala\AppData\Roaming\Browsers\exe.emorhc.bat (No File) <==== Cyrillic
    Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мediаn ХL Lаuncher.lnk -> C:\Users\Miroslaw Krzykala\AppData\Roaming\Browsers\exe.rehcnual lx naidem.bat (No File) <==== Cyrillic

    Pobierz https://www.techspot.com/downloads/3112-easybcd.html w programie usun wpis Windows Fast Mode i ustaw jako domyslny Windows 10. Zrob to ZANIM wykonac Fixlist!

    Wykonaj kolejny Fixlist.txt dla FRST:
    HKLM-x32\...\Run: [AVGUI.exe] => "C:\Program Files\AVG\Antivirus\AvLaunch.exe" /gui
    2019-01-22 21:07 - 2019-01-22 21:07 - 000000008 __RSH C:\Users\Miroslaw Krzykala\ntuser.pol
    2019-01-22 21:07 - 2019-01-22 21:07 - 000000008 __RSH C:\ProgramData\ntuser.pol
    2019-01-22 21:07 - 2019-01-22 21:07 - 000000000 ____D C:\AdwCleaner
    2019-01-22 18:56 - 2019-01-22 19:42 - 000000000 ____D C:\Windows\System32\Tasks\AVAST Software
    2019-01-22 18:12 - 2019-01-22 21:07 - 000000000 ____D C:\Users\Miroslaw Krzykala\AppData\Local\AVG
    2019-01-22 18:11 - 2019-01-22 18:11 - 000000000 ____D C:\Windows\System32\Tasks\AVG
    2019-01-22 18:10 - 2019-01-22 18:10 - 000000000 ____D C:\Program Files\Common Files\AVG
    2019-01-22 18:08 - 2019-01-22 21:07 - 000000000 ____D C:\ProgramData\AVG
    2019-01-22 16:56 - 2019-01-22 17:05 - 000000000 ____D C:\ProgramData\HitmanPro
    2019-01-22 16:52 - 2019-01-22 19:05 - 000000000 ____D C:\Users\Miroslaw Krzykala\AppData\Local\ESET
    2019-01-21 20:34 - 2019-01-21 20:35 - 008616760 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlmp.exe
    2019-01-21 20:34 - 2019-01-21 20:35 - 001416776 _____ (Microsoft Corporation) C:\Windows\system32\osloader.efi

    Po wykonaniu usun katalog C:\FRST i to wszystko.
  • #5
    sosarek

    Level 43  
    MironTV wrote:
    po pobraniu patchera

    Na przyszłość - używaj legalnego oprogramowania.
  • #6
    MironTV
    Level 2  
    Wszystko zrobiłem tak jak należało od A do Z.
    Upewnijmy się, czy wszystko co miałem zrobić, zrobiłem. Zostawiam ostatni log z FRST.
    Co powinienem jeszcze zrobić i w jaki antywirus mogę się zaopatrzyć.
    Przeprowadzić Skan jakimś antywirusem?


    Co do Oryginalnego systemu , nie zarabiam dużo i nie stać mnie na prawdę na Legita ;c
    Jeżeli będę musiał ponieść konsekwencje z tego powodu to z godnością je przyjmę.
    Jak już to chodziło o Patch do The Sims 4, kobita mnie prosiła :D