Wirus, który wywala przeglądarkę przy wchodzeniu na strony o tematyce Antywirusowej

[Chucky]

Witam.



Borykam się z problemem nadmienionym w temacie... Nie moge wejsc na strone choćby avasta czy też innych antywirusów, ani na żadną o danej tematyce. Wpisując w wyszukiwarke np. "kaspersky" automatycznie wyłącza przeglądarkę. 

Windows 7 64bit

 

 

Załączam skany

 

 

Z góry dziękuję i pozdrawiam serdecznie.
Chucky

 

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Shortcut.txt

Edytowane 22 Lipca 2014 przez Chucky

[Rucek]

Witam,
zapoznaj się prosze z zasadami działu:
1. https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
2. https://www.fixitpc.pl/forum-38/announcement-2-wa%C5%BCne-oprogramowanie-emuluj%C4%85ce-nap%C4%99dy/
3. https://www.fixitpc.pl/forum-38/announcement-1-wa%C5%BCne-u%C5%BCytkownicy-uprawnieni-do-pomocy/

Przeczytaj wszystko dokładnie przed wykonaniem dzialan.
Postepujac zgodnie z powyzszymi instrukcjami - dołącz resztę wymaganych logów do tematu. Ma być łącznie 6 logów (GMER[recznie wklejasz wynik skanowania do pliku GMER.txt], FRST [FRST.txt, Addition.txt, Shortcut.txt], OTL[OTL.txt oraz Extras.txt])
Jak coś nie bedzie chciało sie uruchomić - to odpal system w trybie awaryjnym i wtedy zrób logi.
Jeśli z czymś bedzie problem - pisz w poście.
Po wrzuceniu logów nie dokonuj już żadnych zmian na kompie - logi muszą być aktualne.
Przeczytaj dokładnie info na temat GMERa.
Jak coś zmieniasz w poście to używaj opcji EDYTUJ by był porządek.
Czekaj cierpliwie na pomoc. Na forum są opóźnienia przez nieobecność Picasso. Trzeba uzbroić się w cierpliwość.

 

Mozesz jeszcze dodatkowo przeskanowac Kaspersky TDSSKiller orac Malwarebytes Anti-Rootkit (MBAR):
https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=33542
https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=95937
dolacz raporty po przeskanowaniu, powiedz czy cos znalazlo.

[Zappa]

Otwórz notatnik i wklej

 

HKLM-x32\...\Run: [syqukqbodkr] => C:\Windows\nazkhumgcqehvsxjca.exe [614400 2014-07-21] ()
HKLM-x32\...\Run: [eqoyugxqlylnawald] => C:\Users\Toshba\AppData\Local\Temp\laboncwsqgwbrqxlgglb.exe [614400 2014-07-21] ()
HKLM-x32\...\RunOnce: [pwpulsesiqyv] => nazkhumgcqehvsxjca.exe .
HKLM-x32\...\RunOnce: [xifojukcwiuvhcfp] => C:\Users\Toshba\AppData\Local\Temp\aqsggwronevbssaplmsjj.exe [614400 2014-07-21] ()
HKLM\...\Policies\Explorer\Run: [owqwowjypyhfo] => C:\Windows\nazkhumgcqehvsxjca.exe [614400 2014-07-21] ( ())
HKLM\...\Policies\Explorer\Run: [xctwlqamag] => C:\Users\Toshba\AppData\Local\Temp\laboncwsqgwbrqxlgglb.exe [614400 2014-07-21] ( ())
HKU\S-1-5-21-831562436-1945061552-1814410315-1000\...\Run: [syqukqbodkr] => C:\Users\Toshba\AppData\Local\Temp\eqoyugxqlylnawald.exe [614400 2014-07-21] () <===== ATTENTION
HKU\S-1-5-21-831562436-1945061552-1814410315-1000\...\Run: [pytatcqgyisrbu] => ymmywkdyvkzdsqwjdcg.exe
HKU\S-1-5-21-831562436-1945061552-1814410315-1000\...\RunOnce: [scygakzqjuffqkm] => nazkhumgcqehvsxjca.exe .
HKU\S-1-5-21-831562436-1945061552-1814410315-1000\...\RunOnce: [pwpulsesiqyv] => C:\Users\Toshba\AppData\Local\Temp\ymmywkdyvkzdsqwjdcg.exe [614400 2014-07-21] () <===== ATTENTION
HKU\S-1-5-21-831562436-1945061552-1814410315-1000\...\Policies\system: [DisableRegistryTools] 1
AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => C:\Program Files (x86)\SupTab\SearchProtect32.dll [94088 2014-07-07] (Skytech Co., Ltd.)
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1404744618&from=smt&uid=HitachiXHTS547564A9E384_130518J2330053E41SVBX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1404744618&from=smt&uid=HitachiXHTS547564A9E384_130518J2330053E41SVBX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1404744618&from=smt&uid=HitachiXHTS547564A9E384_130518J2330053E41SVBX&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1404744618&from=smt&uid=HitachiXHTS547564A9E384_130518J2330053E41SVBX
SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.fastsearchings.info/?l=1&q={searchTerms}&pid=1387&r=2014/07/15&hid=16084081155648035549&lg=EN&cc=PL&unqvl=56
SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.fastsearchings.info/?l=1&q={searchTerms}&pid=1387&r=2014/07/15&hid=16084081155648035549&lg=EN&cc=PL&unqvl=56
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
C:\Windows\eqoyugxqlylnawald.exe
Reboot:

 

z menu plik zapisz jako fixlist.txt. Plik umieść na pulpicie. Uruchom FRST i kliknij w Fix.

 

Powstanie raport fixlog.txt. - przedstaw go. Zrób nowy skan z FRST i daj log.

[Chucky]

Jeśli to ma jakieś znaczenie - używam przeglądarki Chrome. 


https://www.fixitpc.pl/forum-38/announcement-1-wa%C5%BCne-u%C5%BCytkownicy-uprawnieni-do-pomocy (piszą tu, że: " Kwalifikację do prowadzenia całościowo tematu konkretnego użytkownika z infekcją (zadanie kompleksowe: analiza problemu i korespondujących raportów + dobranie adekwatnych metod dezynfekcji) posiadają tylko Moderatorzy działu. Na chwilę obecną są to dwie osoby: Landuss + picasso") więc wole się zastosować i poczekać na picasso lub Landuss.

Nie moge wrzucić raportów GMER, gdyż w trybie awaryjnym nie moge włączyć internetu (internet mobilny)

[Zappa]

Jeśli to ma jakieś znaczenie - używam przeglądarki Chrome.

 

To nie ma żadnego znaczenia.

 

piszą tu, że: " Kwalifikację do prowadzenia całościowo tematu konkretnego użytkownika z infekcją (zadanie kompleksowe: analiza problemu i korespondujących raportów + dobranie adekwatnych metod dezynfekcji) posiadają tylko Moderatorzy działu. Na chwilę obecną są to dwie osoby: Landuss + picasso") więc wole się zastosować i poczekać na picasso lub Landuss.

 

Te informacje są nieaktualne do tego stopnia że kolega Landuss jest nieobecny od ponad roku. A Picasso jest chora i nie ma zadnej oficjalnej informacji, kiedy bedzie udzielać sie na forum.

masz dwa wyjścia, albo robisz to co podałem albo spadasz na inne forum w poszukiwaniu pomocy.

[Chucky]

Zrobiłem co napisałeś, dołączam fixlog i FRST

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

[Zappa]

Otwórz notatnik i wklej

 

HKLM-x32\...\Run: [eqoyugxqlylnawald] => C:\Users\Toshba\AppData\Local\Temp\xifojukcwiuvhcfp.exe [614400 2014-07-22] ()
HKLM-x32\...\RunOnce: [pwpulsesiqyv] => eqoyugxqlylnawald.exe .
HKLM-x32\...\RunOnce: [xifojukcwiuvhcfp] => C:\Users\Toshba\AppData\Local\Temp\laboncwsqgwbrqxlgglb.exe [614400 2014-07-22] ()
HKLM\...\Policies\Explorer\Run: [owqwowjypyhfo] => C:\Windows\ymmywkdyvkzdsqwjdcg.exe [614400 2014-07-22] ( ())
HKLM\...\Policies\Explorer\Run: [xctwlqamag] => C:\Users\Toshba\AppData\Local\Temp\laboncwsqgwbrqxlgglb.exe [614400 2014-07-22] ( ())
AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\PROGRA~2\SupTab\SEARCH~2.DLL File Not Found
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1404744618&from=smt&uid=HitachiXHTS547564A9E384_130518J2330053E41SVBX&q={searchTerms}
C:\Windows\SysWOW64\bwdwbwwycyufbgtnoufbgb.dwb
C:\Windows\bwdwbwwycyufbgtnoufbgb.dwb
C:\Program Files (x86)\bwdwbwwycyufbgtnoufbgb.dwb
C:\Windows\ymmywkdyvkzdsqwjdcg.exe
C:\Windows\xifojukcwiuvhcfp.exe
C:\Windows\rilabsommewdvwfvsubtul.exe
C:\Windows\nazkhumgcqehvsxjca.exe
C:\Windows\laboncwsqgwbrqxlgglb.exe
C:\Windows\aqsggwronevbssaplmsjj.exe
C:\Windows\SysWOW64\ymmywkdyvkzdsqwjdcg.exe
C:\Windows\SysWOW64\rilabsommewdvwfvsubtul.exe
C:\Windows\SysWOW64\nazkhumgcqehvsxjca.exeC:\Windows\SysWOW64\laboncwsqgwbrqxlgglb.exe
C:\Windows\SysWOW64\aqsggwronevbssaplmsjj.exe
C:\Windows\SysWOW64\xifojukcwiuvhcfp.exe
C:\Windows\SysWOW64\eqoyugxqlylnawald.exe
C:\Users\Toshba\AppData\Local\syqukqbodkrnukinzqmtjpvnrhnylahok.hfk
C:\Users\Toshba\AppData\Local\bwdwbwwycyufbgtnoufbgb.dwb
C:\Users\Toshba\Documents\Aspyr
C:\Users\Toshba\AppData\Local\Aspyr
C:\Windows\eqoyugxqlylnawald.exe
C:\Users\Toshba\AppData\Local\Temp\*.exe
C:\Users\Toshba\AppData\Local\Temp\*.dll
Reboot:

 

plik zapisz jako fixlist.txt i umieść na pulpicie. Uruchom FRST i kliknij w Fix.

 

2. Pobierz TFC - Temp File Cleaner, uruchom jako administrator

http://www.geekstogo.com/forum/files/file/187-tfc-temp-file-cleaner-by-oldtimer/

 

3. Zrób nowy skan FRST i daj raport.

[Chucky]

po kliknięciu Fix, zresetowaniu laptopa i zalogowaniu się, laptop dość wolno pokazał pulpit.

Załączam fixlog i FRST

Objawy ustąpiły, mogę wpisać w wyszukiwarce hasła "antywirus", "avast", "kaspersky" etc. 

Fixlog.txt

FRST.txt

Addition.txt

Shortcut.txt

[Zappa]

Otwórz notatnik i wklej

 

HKU\S-1-5-21-831562436-1945061552-1814410315-1000\...\Run: [pytatcqgyisrbu] => xifojukcwiuvhcfp.exe
HKU\S-1-5-21-831562436-1945061552-1814410315-1000\...\Run: [syqukqbodkr] => C:\Users\Toshba\AppData\Local\Temp\xifojukcwiuvhcfp.exe <===== ATTENTION
HKLM-x32\...\Run: [syqukqbodkr] => ymmywkdyvkzdsqwjdcg.exe
HKLM-x32\...\Run: [eqoyugxqlylnawald] => C:\Users\Toshba\AppData\Local\Temp\laboncwsqgwbrqxlgglb.exe
HKLM\...\Policies\Explorer\Run: [owqwowjypyhfo] => eqoyugxqlylnawald.exe No File
HKLM\...\Policies\Explorer\Run: [xctwlqamag] => C:\Users\Toshba\AppData\Local\Temp\laboncwsqgwbrqxlgglb.exe No File
C:\Windows\SysWOW64\nazkhumgcqehvsxjca.exe
C:\Windows\SysWOW64\laboncwsqgwbrqxlgglb.exe
C:\Users\Gość\AppData\Local\Comodo

 

plik zapisz jako fixlist.txt i umieść na pulpicie. Uruchom FRST i kliknij w Fix. Daj fixlog.txt i zrób nowy skan FRST

 

Nie dziękuj mi za pomoc na PW.

 

Jak zadam czynności końcowe wtedy bedzie koniec.

Edytowane 22 Lipca 2014 przez Zappa

[Chucky]

Wrzucam fixlog i FRST

Fixlog.txt

FRST.txt

Addition.txt

Shortcut.txt

Edytowane 22 Lipca 2014 przez Chucky

[Zappa]

Nie wiem czemu sie zawiesił. Z fixlog.txt wynika że wszystko zostało usuniete. Uruchom ponownie system i zapuść skan z FRST.

 

Zeszło ładnie. teraz log jest przejrzysty.

 

Odinstaluj z panelu programów

 

BiTSavoer
FilesFrog Update Checker

 

Po usunieciu programów zmienimy narzędzie skanu. Daj mi log z OTL.

Edytowane 22 Lipca 2014 przez Zappa

[Chucky]

Dodałem logi

[Zappa]

No wiem - edytowałem post.

[Chucky]

Troche to potrwało, ale wklejam logi. 

OTL.Txt

Extras.Txt

[Zappa]

uruchom OTL i w oknie własne opcje skanowania skrypt wklej

 

:Files
C:\ProgramData\BiTSavoer
C:\FRST
C:\Users\Toshba\Desktop\FRST64.exe
C:\ProgramData\5fb2d21db23236f1

:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt.

 

 

2. Po usuwaniu uruchom OTL ponownie i kliknij Sprzatanie.

 

 

3. Wyczyść foldery przywracania systemu

 

https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415?do=findComment&comment=42415

[Chucky]

I tu jest problem, nie moge pobierać dużych plików, a tamto waży prawie 1 gb 

[Zappa]

I tu jest problem, nie moge pobierać dużych plików, a tamto waży prawie 1 gb

 

nie rozumiem. co waży 1gb?

[Chucky]

To ja opacznie zrozumiałem. Nieważne..

[Zappa]

To ja opacznie zrozumiałem. Nieważne..

 

zadałem końcowe czynności. Wykonałeś je? To ważne bo nikt nie bedzie sie spinał. Infekcja została usunieta.

[Chucky]

Wykonane. 

Edytowane 22 Lipca 2014 przez Chucky

[Zappa]

W takim razie z mojej strony finał. Nie mam nic do dodania w temacie.

[Chucky]

Temat do zamknięcia