Problem z zodiac-game.info

[Freeman]

Witam,
ostatnio po starcie systemu otwiera się domyślna przeglądarka z kartą "zodiac-game.info".

Proszę o pomoc w rozwiązaniu problemu.

Pozdrawiam

Addition.txt

Shortcut.txt

FRST.txt

GMER.txt

[Miszel03]

W systemie faktycznie umiejscowiło się ustrojstwo samoistnie uruchamiające strony, świadczą o tym poniższe wpisy.

 

HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Run: [a] => explorer.exe hxxp://kb-ribaki.org

Task: {96C8EDD4-4AAB-42DA-B57A-F46B0F7A15A9} - System32\Tasks\a => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v a /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org"

 

Po za tym szkodliwe zmodyfikowane zostały polityki grup, plik Hosts, strona startowa w przeglądarce Opera oraz mapa domen w przeglądarce Internet Explorer. Zaczynamy.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Run: [a] => explorer.exe hxxp://kb-ribaki.org 
HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  Brak pliku
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  Brak pliku
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  Brak pliku
ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  Brak pliku
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  Brak pliku
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  Brak pliku
GroupPolicy\User: Ograniczenia 
GroupPolicyUsers\S-1-5-21-3029930857-75846965-513736063-1004\User: Ograniczenia 
OPR StartupUrls:  "hxxp://www.viceice.com/"
S3 ALSysIO; \??\C:\Users\a\AppData\Local\Temp\ALSysIO64.sys [X]
U4 aspnet_state; Brak ImagePath
Task: {0E290C5A-E448-4B52-88D2-C0D6CC124D04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {190EE76C-8FD2-4ED3-9409-FA9CF48F1022} - \Safer-Networking\Spybot - Search and Destroy\Check for updates -> Brak pliku 
Task: {25163D73-4287-496E-90DB-C889AED68EC6} - \{81E27DC7-FE6C-43C1-B00C-D6438B953CBE} -> Brak pliku 
Task: {3BB0A579-F9E0-4210-940C-EA198390F9A6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {4716494B-9F5F-404A-97AB-53DC5C45CE09} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {4C00A19B-E4F1-4D56-8DCF-0E47CA04F081} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {624F7E00-A058-4937-87B6-8387A89DE4CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {9014E7D0-6D5A-419F-8FCC-E7CFCA808A98} - \Safer-Networking\Spybot - Search and Destroy\Scan the system -> Brak pliku 
Task: {96C8EDD4-4AAB-42DA-B57A-F46B0F7A15A9} - System32\Tasks\a => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v a /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" 
Task: {9D7D9F7B-EDCD-4090-812D-C71191EE713E} - \{98CA4D20-FC4D-4B3B-8F85-2F12EACB9230} -> Brak pliku 
Task: {B5815E6D-0BB7-4C42-BAD8-A880475B6934} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {CB6BA3EF-32A0-4858-9671-3C45C3195E10} - \Safer-Networking\Spybot - Search and Destroy\Refresh immunization -> Brak pliku 
Task: {CC6AB63C-6A63-4B3C-9F18-B852972AC3AF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {DC82B4C0-854D-43B3-82BE-1D873E44AEC1} - System32\Tasks\Realtek HD Audio => C:\Users\a\AppData\Local\SniperV2\Realtek HD\rthdcpl.exe 
Task: {E3C491BE-030E-46EF-B1AA-2977622B3949} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {E7BEB8AA-E05B-48E5-9C89-238A40DC7CFD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {EC3DA0C2-10B2-42E5-BEAB-CD63D6D00E9D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {F7A31922-4D2D-494E-B566-4E7C81784E13} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Folder: C:\Users\a\AppData\Local\SniperV2\Realtek HD
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\a\AppData\Local
CMD: dir /a C:\Users\a\AppData\LocalLow
CMD: dir /a C:\Users\a\AppData\Roaming
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[Freeman]

Zrobione

Na razie ani śladu wirusa

Dziękuje za pomoc

 

Addition.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[Miszel03]

Raporty wyglądają już OK, jeśli będzie już wszystko w porządku to wykonaj poniższe zadania. 

 

Usuń narzędzia diagnostyczno / dezynfekcyjne, punkty przywracania oraz zaktualizuj ważne programy - KLIK / KLIK / KLIK.

Zapoznaj się z artykułem dot. portalów z oprogramowaniem - KLIK.