Zainfekowany Komputer

[slash3006]

Witam,

 

Zassałem jakiegoś wirusa na kompa. Części objawów pozbyłem się sam ale trochę tego zostało a mi już brak pomysłów.

Główny problem to zwolnienie kompa i wyskakujące reklamy w przeglądarkach. Przeskanowałem kompa ComboFix`em załączam logi.

Z góry dziękuję za pomoc.

Addition.txt

FRST.txt

GMER.txt

[picasso]

Na temat używania ComboFix: KLIK. Zabrakło trzeciego obowiązkowego raportu FRST Shortcut.

 

Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 AppMgr2.12.4036661; C:\ProgramData\AppMgr2.12.4036661\AppMgr.exe [488648 2016-02-17] ()
R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [264944 2016-02-03] (RayDl)
R2 Update Checked List; C:\Program Files (x86)\Checked List\updateCheckedList.exe [654024 2016-02-17] ()
R2 Util Checked List; C:\Program Files (x86)\Checked List\bin\utilCheckedList.exe [654024 2016-02-17] ()
S2 sixuhuvezbt; C:\Program Files (x86)\00000000-1455653730-0000-0000-6C626DA16EEA\knsn2F45.tmpfs [X]
R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [61336 2016-02-16] (Cherimoya Ltd)
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-17] ()
R1 {2a6b0fdc-8815-4aa5-a061-069d6db3f642}Gw64; C:\Windows\System32\drivers\{2a6b0fdc-8815-4aa5-a061-069d6db3f642}Gw64.sys [48744 2016-02-16] (StdLib)
U3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
HKLM\...\Run: [sound+] => "C:\Program Files\Sound+\Sound+.exe"
Task: {5CC76D59-ACCE-4379-9A6E-8440D56F8E7B} - System32\Tasks\{BC7012CF-6157-4F46-9625-20A8B9C3DA93} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe"
Task: {5DBF33E4-1CE2-4EDD-97F7-7A4871FED811} - System32\Tasks\{B559669A-EEF8-4BE0-8C98-493777119CF1} => pcalua.exe -a "C:\Users\Dom\Desktop\DAEMON Tools PL 4.30.1.exe" -d C:\Users\Dom\Desktop
Task: {83D8D79D-61C0-437A-AAD8-76077C59CFD4} - System32\Tasks\{D1EDBC15-80A1-497C-AD74-46E1238BEBA7} => pcalua.exe -a "C:\Program Files (x86)\Jufsoft\BadCopy\UNWISE.EXE" -c C:\Program Files (x86)\Jufsoft\BadCopy\INSTALL.LOG
Task: {B01A21B0-4CF8-4F31-8734-89E6BBC767B6} - System32\Tasks\{AFB9E940-57C9-49CD-A4CC-E4B1CE1AA71F} => pcalua.exe -a "F:\programy instalki\DAEMON Tools PL 4.30.1.exe" -d "F:\programy instalki"
Task: {BB6DD6A5-AC98-4973-BF69-9EAF029FE0A1} - System32\Tasks\Fhuvac => C:\Program
Task: {DF8539C5-9D36-4467-B149-59D4AB8BCCA8} - System32\Tasks\Ryltocma => C:\Program
Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-3181640617-934616419-3571302022-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-3181640617-934616419-3571302022-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
BHO-x32: Checked List 1.0.0.7 -> {7ff0f7e7-8b1e-4e90-8bd5-f60cfdd71ecc} -> C:\Program Files (x86)\Checked List\CheckedListbho.dll => Brak pliku
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\kljyyo89.default\extensions\deskCutv2@gmail.com
CHR HKU\S-1-5-21-3181640617-934616419-3571302022-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
C:\Program Files (x86)\Checked List
C:\Program Files (x86)\RayDld
C:\ProgramData\AppMgr2.12.4036661
C:\uninst
C:\Users\Dom\AppData\Local\00000000-1455657398-0000-0000-6C626DA16EEA
C:\Users\Dom\AppData\Local\Gameo
C:\Users\Dom\AppData\Local\gmsd_pl_005010240
C:\Users\Dom\AppData\Local\Opera Software
C:\Users\Dom\AppData\Local\Tempfolder
C:\Users\Dom\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
C:\Users\Dom\AppData\LocalLow\Company
C:\Users\Dom\AppData\Roaming\CecbeWew
C:\Users\Dom\AppData\Roaming\CiiiYhu
C:\Users\Dom\AppData\Roaming\gplyra
C:\Users\Dom\AppData\Roaming\GoldenGate
C:\Users\Dom\AppData\Roaming\Opera Software
C:\Users\Dom\AppData\Roaming\PriceFountain
C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url
C:\Users\Dom\Downloads\crack.zip
C:\Users\Dom\Downloads\Firmware_Installer [1].exe
C:\Users\Dom\Downloads\Setup.exe.search-ms
C:\Windows\System32\drivers\{2a6b0fdc-8815-4aa5-a061-069d6db3f642}Gw64.sys
C:\Windows\System32\drivers\cherimoya.sys
C:\Windows\System32\drivers\EsgScanner.sys
C:\Windows\system32\drivers\etc\hp.bak
C:\Windows\system32\ema
C:\Windows\system32\rac
C:\Windows\system32\zuw
C:\Windows\SysWOW64\Number of results
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść przeglądarki z adware:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.

3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso