Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zainfekowany system: Geunfy.exe i Yurejjaeb.exe

Noxi

Przez Noxi
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Noxi

Noxi

Opublikowano
Opublikowano

Witam!
Widziałem że kilka osób posiadało taki problem, aczkolwiek zauważyłem że tutaj jest coś jeszcze. Wirus z typu chinoli Geunfy.exe i Yurejjaeb.exe
Udało mi się coś tam usunąć ale nie wszystko za pomącą Malware bytes. (DNS IPV4 został zmieniony przez tego wirusa)
problemem jest:

  • -Pop-up, bannery, prośby instalacji uaktualnienia do aplikacji takich jak chrome.
  • -Wolna praca WIMP, ogólnie explorer-a.
  • -Rozłączanie z sieci. 

Skany:
EDIT: Nie ma uprawnień do wrzucenia gmer-a aczkolwiek AdwC jest już wrzucone.

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerC.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
jessica

jessica

Opublikowano
Opublikowano

To, co zalecił Moderator - pozostaje oczywiście w mocy.

Ale przedtem:

1) Użyj >Adw-cleaner
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

 

2) Otwórz Notatnik i wklej w nim:

 

Task: {21B7D929-9BE9-41B6-B87C-865BFBAEF4E3} - System32\Tasks\{4E36B6FD-99EA-4711-9678-DFA89E61DDA1} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe"
Task: {610F801C-3840-4E61-826A-D298424F5CA9} - \vwe3034 -> Brak pliku <==== UWAGA
Task: {8FEEB2E7-8BC4-40D9-826A-ED013AB509F9} - System32\Tasks\{4EDA66BF-62BA-B814-9788-873B94066024} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\3eceba5\5e24c39c.dll" <==== UWAGA
Task: {B34E2B90-77B2-42CE-9D32-C6F8E68F7D36} - \SoftUpgrade -> Brak pliku <==== UWAGA
RemoveDirectory: C:\Users\Administrator\AppData\Roaming\Geunfy
RemoveDirectory: C:\ProgramData\Logic Handler
RemoveDirectory: C:\ProgramData\AppxeetouQ
RemoveDirectory: C:\PROGRA~3\3eceba5
RemoveDirectory: C:\Program Files (x86)\MPC Cleaner
SearchScopes: HKU\S-1-5-21-3147331507-422004128-2971783989-500 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HomePage: Default -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoH4wRuVxAvqMi2tl4thP7YuuFkenmHqiIBBGp3_DOYtGpI4fBmWBYGYjiLd15GhzrE4lnPoxRhi3sJpWDnKd1CTMlJg0sshcddfQjicPCLmQcoRXkFFfbqQboIkz4ap0uaml6an6wG5PU7DW9fU6ZqNLz2MkxrMGaAoo0DLgCk_n
S2 Bokvunnu; "C:\Users\Administrator\AppData\Roaming\GowvePitpagf\Lurzem.exe" -cms [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2016-09-05 19:54 - 2016-09-05 19:54 - 00000000 ____D C:\Windows\system32\kim
2016-09-05 15:33 - 2016-09-05 20:49 - 00000000 ____D C:\Users\Administrator\AppData\LocalLow\Company
2016-09-05 15:33 - 2016-09-05 20:48 - 00000000 ____D C:\Program Files\Yhid
2016-09-05 15:33 - 2016-09-05 15:33 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\Geunfy
2016-09-05 15:33 - 2016-09-05 15:33 - 00000000 ____D C:\Users\Administrator\AppData\Local\Tempfolder
2016-09-05 15:33 - 2016-09-05 15:33 - 00000000 ____D C:\uninst
2016-09-05 15:13 - 2016-09-05 20:49 - 00000000 ____D C:\ProgramData\AppxeetouQ
2016-09-02 03:47 - 2016-09-05 20:49 - 00000826 _____ C:\Users\Administrator\Desktop\Continue VuuPC Installation.lnk
2016-09-02 03:47 - 2016-09-02 03:47 - 00260876 _____ (VuuPC Limited) C:\Users\Administrator\AppData\Local\nswB122.tmp
C:\ProgramData\Hayzumflexs
2016-08-10 01:07 - 2016-09-05 20:48 - 00000000 ____D C:\Program Files (x86)\SoftUpgrade
2016-08-10 01:07 - 2016-08-12 16:37 - 00000000 ____D C:\ProgramData\3eceba5
2016-08-10 01:07 - 2016-08-10 01:07 - 07117312 _____ C:\Users\Noxi\AppData\Roaming\agent.dat
2016-08-10 01:07 - 2016-08-10 01:07 - 00018432 _____ C:\Users\Noxi\AppData\Roaming\Main.dat
2016-08-10 01:07 - 2016-08-10 01:07 - 00001370 _____ C:\Windows\system32\Drivers\etc\hp.bak
2016-08-10 01:06 - 2016-08-10 01:06 - 00138240 _____ C:\Users\Noxi\AppData\Roaming\Installer.dat
2016-08-10 01:05 - 2016-08-10 01:05 - 00002560 _____ C:\Users\Noxi\AppData\Local\uninstallssl.exe
2016-08-10 01:04 - 2016-08-08 11:07 - 00519696 ___SH C:\Users\Noxi\AppData\Roaming\QACJUhSdGOac
2016-08-10 01:04 - 2016-08-08 11:07 - 00036423 ___SH C:\Users\Noxi\AppData\Roaming\VQTCLLOKBiihXMfBPiL
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

3) Użyj RepairDNS > https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172749

Daj z tego log.

 

4) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

 

5) Zrób zalecony przez Moderatora log GMER.

 

6)

2016-09-02 03:31 - 2016-09-02 03:31 - 00707072 _____ () C:\ProgramData\CloudPrinter\CloudPrinter.exe

To też kojarzy mi się z infekcją.

Jeśli nie znasz tego, to sprawdź plik na JOTTI/ albo na VIRUSTOTAL

 

jessi

Odnośnik do komentarza
Noxi

Noxi

Opublikowano
  • Autor
Opublikowano

Dodaję resztę załączników i dodatkowo Gmer-a ale w txt.
I nowe logi
EDIT: zapomniałem powiedzieć że na razie ani widu ani słychu w procesach i post-procesach, nie wiem jak w rejestrze, dawno nie korzystałem ogólnie z cmd i komand żeby sprawdzić Host-Local klucze z rejestru dlatego też dziękuję za pomoc w każdym bądź razie :D

FRST.txt

Addition.txt

Shortcut.txt

Gmertext2.txt

Gmertext1.txt

RepairDNSlog.txt

Fixlog.txt

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

1) Otwórz Notatnik i wklej w nim:

 

ShortcutWithArgument: C:\Users\Noxi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Noxi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Noxi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Users\Administrator\AppData\Local\nsl2E2D.tmp
C:\Windows\system32\__000000013FE33A81__C0000005.dmp
C:\Windows\3fa22763f9e66a058eef2d8719e3c766.exe
C:\Windows\system32\__000000013FA3D375__C0000005.dmp
C:\Program Files\Isubguhp
Replace: C:\Windows\winsxs\wow64_microsoft-windows-dns-client_31bf3856ad364e35_6.1.7601.17514_none_4a5d2c9ecd59afa7\dnsapi.dll C:\Windows\SysWOW64\dnsapi.dll
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Zrób nowy log FRST - już bez Addition, i bez Shortcut.

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...