Wirus łączący się z internetem

[Dawid413]

Witam,

 

Chciałbym przedstawić swój problem, który bardzo mnie nurtuje. Otóż jakiś czas temu podczas logowania się na stronę banku Ing wyskoczył mi komunikat i fałszywa strona banku Ing. Następnego dnia od razu zrobiłem przywracanie systemu Windows 8 z nadzieją że usunę wirusy. Widocznie problem nie zniknął bo co jakiś czas skanuje komputer avastem i doc.web i co chwile wyskakują nowe wirusy. Wczoraj wieczorem pojawiła mi się strona o cyberprzestępczości. Ostatnio zauważyłem ,że wirusy przekierowują mnie na strony, ale avast je blokuje.

 

Wykonałem ponownie skan komputera za pomocą programu dr.web cureit z dnia 14.10.2013.

Dołączam zdjęcie z wynikami ale raportu nie umiałem wkleić bo plik za duży.

 

Oprócz tego wykonałem obowiązkowe logi, które dołączam poniżej.

Niestety nie umiałem wykonać log -GMER (Problem. C:\windows\system32\config\system: Proces nie może uzyskać dostępu do pliku, poniewać jest on używany przez inny proces.) Poniżej wysłałem raport z nie udanej próby.

Usunąłem programy wytwarzające wirtualne dyski tj. magic iso albo power iso.

Użyłem programu SPTDinst-v....-x64.exe a później weszłem na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd usunąłem wszystko za wyjątkiem Cfg (nazwa- domyślna) wartość nie ustalona.

 

 

Addition.txt

FRST.txt

Extras.Txt

OTL.Txt

nie udana próba GMER.txt

[picasso]

Użyłem programu SPTDinst-v....-x64.exe a później weszłem na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd usunąłem wszystko za wyjątkiem Cfg (nazwa- domyślna) wartość nie ustalona.

Czy na pewno w rejestrze nadal jest klucz SPTD? FRST powinien go wykryć, nawet jeśli w postaci szczątkowej, a tu nic nie widać.

 

 

Widocznie problem nie zniknął bo co jakiś czas skanuje komputer avastem i doc.web i co chwile wyskakują nowe wirusy.

Wykonałem ponownie skan komputera za pomocą programu dr.web cureit z dnia 14.10.2013.

Dołączam zdjęcie z wynikami ale raportu nie umiałem wkleić bo plik za duży.

Wyniki pokazują adware, dostarczone tu raporty także. Adware nabyte na jeden z tych sposobów: KLIK. To nie weszło w system samodzielnie, spowodowałeś te instalacje. By się tego pozbyć, przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {47748634-90F3-4427-9BA5-23BD585824B4} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe
Task: {5878D8D1-EB53-44EE-88CF-946161C5FCE7} - System32\Tasks\DigitalSite => C:\Users\Czesiu\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe [2013-04-12] ()
Task: {863C13D8-02CD-410C-A333-75036D29E038} - System32\Tasks\BitGuard => Sc.exe start BitGuard
Task: {A30E3A8B-A818-47C6-BAE7-A439D22A404D} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe
Task: {C93F6EDB-7040-4E5B-AE11-8BB2EF43FC70} - System32\Tasks\BonanzaDealsUpdate => C:\Program
Task: {F6540C36-929E-4F98-90BF-C840D9F472CE} - System32\Tasks\EPUpdater => C:\Users\Czesiu\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe
Task: C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe
Task: C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe
Task: C:\windows\Tasks\DigitalSite.job => C:\Users\Czesiu\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE
R2 BitGuard; C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [3032032 2013-10-08] ()
HKLM-x32\...\Run: [mcui_exe] - "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
HKLM-x32\...\Run: [] - [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=3C710AEDB9A6A5F5&affID=125035&tsp=5035
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856595
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=3C710AEDB9A6A5F5&affID=125035&tsp=5035
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856595
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856595
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856595
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856595
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856595
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856602&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856602&type=default&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856602&type=default&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856602&type=default&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856602&type=default&q={searchTerms}
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=3C710AEDB9A6A5F5&affID=125035&tsp=5035
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SWJ9ECC02774&ts=1379856602&type=default&q={searchTerms}
SearchScopes: HKCU - {9D9AC5BF-799A-4B91-82A9-4AFCDC6382A7} URL =
CHR HKLM-x32\...\Chrome\Extension: [aipfmkinhleccnodemkoofnnofpbbpac] - C:\Users\Czesiu\AppData\Roaming\BabSolution\CR\searchgol.crx
CHR HKLM-x32\...\Chrome\Extension: [ieadcoanfjloocmfafkebdnfefmohngj] - C:\Program Files (x86)\BonanzaDeals\BonanzaDeals.crx
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Babylon
C:\ProgramData\BonanzaDealsLive
C:\ProgramData\McAfee
C:\Users\Czesiu\AppData\Local\avgchrome
C:\Users\Czesiu\AppData\Local\BonanzaDealsLive
C:\Users\Czesiu\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z
C:\Users\Czesiu\AppData\Roaming\BabSolution
C:\Users\Czesiu\AppData\Roaming\Babylon
C:\Users\Czesiu\AppData\Roaming\DigitalSite
C:\Users\Czesiu\AppData\Roaming\OpenCandy
C:\Users\Czesiu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BonanzaDeals
C:\Users\Czesiu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
C:\Users\Czesiu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MiPony
C:\Users\UpdatusUser\Desktop\MiPony.lnk
C:\windows\SysWOW64\searchplugins
C:\windows\SysWOW64\Extensions
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj: BitGuard, Bonanza Deals, Codec Pack Packages, MiPony 2.0.2, Search-Gol Chrome Toolbar, Update for Mipony Download Accelerator.

 

3. Wyczyść Google Chrome:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres searchgol.com
• Ustawienia > karta Rozszerzenia > odinstaluj BonanzaDeals, Search-Gol Toolbar
• Ustawienia > karta Historia > wyczyść

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Dawid413]

1. Zrobiłem w załączniku posyłam plik fixlog.txt.

 

2. Wszystkie wymienione programy odinstalowałem.

 

3. Wyczyść Google Chrome:

- zresetowałem jedną dowolną wtyczkę,

- usunąłem stronę startową searchgol.com,

- nie odinstalowałem bonanza deals i search-Gol Toolbar z karty Rozszerzenia, ponieważ mam tylko to Dokumenty Google 0.5,

- historia wyczyszczona,

 

4. Powstał folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrobiono.

 

6. Wykonałem skan FRST bez Addition + dołączyłem fixlog.txt i AdwCleaner[R0] oraz AdwCleaner[s0],

 

Poniżej przesyłam raporty.

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

FRST.txt