Pomocy Malware niszczy system

[dominik76]

Witam,

 

Niestety ostatnio pobrałem jakieś świnstwo : hxxps://yadi.sk/d/hBZzVGsaggGv na tej stronie po  prawej stronie jest odnośnik do ściągania, gdy go nacisnąłem to zainstalowałem jakieś rosyjskie strony. Odinstalowałem to ale nadal na Mozilla przy otwieraniu nowej karty mam- mail.ru. Robiłem wszystko żeby to odinstalować i nic nie mogłem zrobic. Dodatkowo po każdym uruchomieniu komputera pojawia mi się okno - patrz załącznik bez tytułu. Skanowałem Norton eraser i znalazł coś w rejstrze więc dałem napraw ale bez skutku. . Dzisiaj po ponownym uruchomieniu systemu zniknął mi Norton ale po ponownym restarcie wrócił. Proszęo pomoc. Nie chcę aby system mi padł

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[Zappa]

Otwórz notatnik i wklej

 

CloseProcesses:
HKU\S-1-5-21-266271423-965352428-2610167932-1003\...\Run: [MailRuUpdater] => C:\Users\Danusia i Dominik\AppData\Local\Mail.Ru\MailRuUpdater.exe [4627176 2015-07-16] (Mail.Ru)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
HKU\S-1-5-21-266271423-965352428-2610167932-1003\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=4004002269C9E68C&affID=119357&tsp=5020
SearchScopes: HKLM -> DefaultScope Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms}
SearchScopes: HKLM -> Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms}
SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg
SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms}
SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4004002269C9E68C&affID=119357&tsp=5020
SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> {15F394EA-E08B-4720-B476-133C339278BB} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> {A93EA3C1-0D3D-4BC0-B2D4-971D2AA5365A} URL = https://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
S4 sptd; System32\Drivers\sptd.sys [X]
S3 USBAAPL; System32\Drivers\usbaapl.sys [X]
U2 wuaserv; No ImagePath
U3 pxldapow; \??\C:\Users\DANUSI~1\AppData\Local\Temp\pxldapow.sys [X]
EmptyTemp:

 

plik zapisz jako fixlist.txt w C:\Users\Danusia i Dominik\Desktop\Nowy folder (2). Uruchom FRST i kliknij w Fix. Po restarcie przedstaw raport fixlog.txt i zrób nowy skan FRST. Opcji Addition i Shortcut nie zaznaczaj.

[dominik76]

Otwórz notatnik i wklej

 

CloseProcesses:

HKU\S-1-5-21-266271423-965352428-2610167932-1003\...\Run: [MailRuUpdater] => C:\Users\Danusia i Dominik\AppData\Local\Mail.Ru\MailRuUpdater.exe [4627176 2015-07-16] (Mail.Ru)

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki

HKU\S-1-5-21-266271423-965352428-2610167932-1003\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=4004002269C9E68C&affID=119357&tsp=5020

SearchScopes: HKLM -> DefaultScope Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms}

SearchScopes: HKLM -> Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms}

SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg

SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms}

SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4004002269C9E68C&affID=119357&tsp=5020

SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> {15F394EA-E08B-4720-B476-133C339278BB} URL = http://www.idg.pl?q={searchTerms}

SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> {A93EA3C1-0D3D-4BC0-B2D4-971D2AA5365A} URL = https://www.google.com/search?q={searchTerms}

SearchScopes: HKU\S-1-5-21-266271423-965352428-2610167932-1003 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg

FF SelectedSearchEngine: Поиск@Mail.Ru

FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=

S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]

S3 IpInIp; system32\DRIVERS\ipinip.sys [X]

S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]

S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]

S4 sptd; System32\Drivers\sptd.sys [X]

S3 USBAAPL; System32\Drivers\usbaapl.sys [X]

U2 wuaserv; No ImagePath

U3 pxldapow; \??\C:\Users\DANUSI~1\AppData\Local\Temp\pxldapow.sys [X]

EmptyTemp:

 

plik zapisz jako fixlist.txt w C:\Users\Danusia i Dominik\Desktop\Nowy folder (2). Uruchom FRST i kliknij w Fix. Po restarcie przedstaw raport fixlog.txt i zrób nowy skan FRST. Opcji Addition i Shortcut nie zaznaczaj.

Dzięki,

skan w załączniku, ale nie za bardzo wiem jak mam przedstawić raport fixlog.txt?

FRST.txt

[dominik76]

nadal nie mogę edytowac nowej karty w mozilla, cały czas wyskakuje mail.ru

[Zappa]

nie za bardzo wiem jak mam przedstawić raport fixlog.txt?

 

Tak samo jak przedstawiłeś raport frst.txt.

Ale nie bedziemy się szczypać. Wykonaj reset firefoxa (zostało jedno rozszerzenie z infekcji) Zakładki i hasła zostaną zachowane.

 

1. Z menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox lub Odświerz Firefoxa.

 

2. Robisz nowy skan FRST i zdajesz relacje czy problem ustąpił.

[dominik76]

po restarcie mozilli mogę swobodnie edytować nową kartę a 'mail.ru' zniknął.

w załaczniku skan FRST.

 

FRST.txt

[Zappa]

Przechodzimy do czynności końcowych.

 

otwórz notatnik i wklej

 

C:\Users\Danusia i Dominik\Desktop\Stare dane programu Firefox
DeleteQuarantine:

 

plik zapisz jako fixlist.txt w C:\Users\Danusia i Dominik\Desktop\Nowy folder (2). Uruchom FRST i kliknij w Fix.

 

2. Zastosuj Delfix i wyczyśc foldery przywracania systemu

 

https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415?do=findComment&comment=42415

 

 

3. Profilaktycznie wykonaj pełny skan MBAM. Instalujesz wersje darmową. Jak coś znajdzie - przedstawiasz raport.

 

https://www.malwarebytes.org/downloads/

[dominik76]

Skan MBAM znalazł 52 obiekty, patrz załącznik

skan Malwarebytes.txt

[dominik76]

Co mam zrobić z w tym wynikiem skanowania ???

[Zappa]

Usuń to co znalazł MBAM.

 

Zdaj relację czy wszystko funkcjonuje prawidłowo.

[dominik76]

Jak usunę coś co nie powinienem, czy póżniej będę mógł to przywrócić?

[Zappa]

nie po to usuwamy, sprawdzamy logi aby przywracać. Usuń, to zakończymy temat.

[dominik76]

usunąłem wszystko, sprawdziłem, jest ok. Wielkie Dzięki za Pomoc

 

Jaki program polecasz do ochrony przed takimi "robalami" ?