problem z wirusem

[codenove2]

Witam
ostatnio mialem problem z wirusem, mianowicie sciagnalem pewien program i odrazu jak wlaczylem przegladarke pokazal sie trotux zainstalowalo sie bardzo duzo aplikacji itp itp itp. kazdy wie jak to potem wygladalo .
Probowalem uporac sie z tym za pomoca adw,zemana usuwalem rejestry trotuxa z regedita jakos mi sie udalo usunalem trotuxa i te wszystkie aplikacje ale dalej mam problem bo gdy skanuje za pomoca adw to wyskakuje mi ze 1 folder jest zagrozony i 1 sciezka z chroma co to usuwam to wraca cholerstwo.Wrzucam logi z frst moze wy mi cos pomozecie.

 

 

EDIT:

 

Po kolejnym dniu dalej to samo doszło do tego jeszcze jedno zagrożenie z chroma.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Edytowane 17 Grudnia 2016 przez Miszel03
Posty łącze, dodaje edita. //Miszel03

[Miszel03]

W raportach widoczne modyfikacje adware (zarażone skróty LNK, profil, polityki grup). Zaczynamy. 
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  Brak pliku
GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-844956796-4294606565-3297058277-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
BHO: Brak nazwy -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku
CHR Profile: C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-15] S3 7ByteIo; \??\d:\Program Files (x86)\Hot CPU Tester Pro 4 LE\SysInfoX64.sys [X]
S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X]
S3 GPU-Z; \??\C:\Users\PAWE~1\AppData\Local\Temp\GPU-Z.sys [X]
Task: {92A2E941-65A9-4082-A860-F477ED1386C4} - \8d66777dde5c9948c03b04d1f9eb5a60 -> Brak pliku Task: {BF7A1F20-BA8E-48BA-BCE4-0F9A369FF52A} - System32\Tasks\steamwebhelper_killer => TASKKILL [Argument = /F /IM steamwebhelper.exe /T] ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory="Profile 1" --app-id=knipolnnllmklapflnccelgolnpehhpl
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=knipolnnllmklapflnccelgolnpehhpl
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Paweł\AppData\Local\Mozilla
C:\Users\Paweł\AppData\Roaming\Mozilla
C:\Users\Paweł\AppData\Roaming\Profiles
C:\ProgramFiles (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Paweł\AppData\Local
CMD: dir /a C:\Users\Paweł\AppData\LocalLow
CMD: dir /a C:\Users\Paweł\AppData\Roaming
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[codenove2]

podsylam nowe logi z tego co widze to dalej adw wykrywa te 2 zagrozenia

Addition.txt

AdwCleanerS12.txt

FRST.txt

Shortcut.txt

[Miszel03]

Raporty wyglądają już w porządku, podsumuj obecną sytuację.

 

---

 

C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\chfdnecihphmhljaaejmgoiahnihplgn
Wykryto preferencje Chromium: [C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences ] - chfdnecihphmhljaaejmgoiahnihplgn

 

To nie są szkodliwe obiekty należą do AVG, ale przez AdwCleanera są traktowane jako firmowe PUP. 

[codenove2]

ok wiec temat do zamknięcia dzięki wielkie za ponowną pomoc

[Miszel03]

Kończymy. 

 

Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK. 

Zaktualizuj ważne programy - KLIK. 

 

Przeczytaj obszerny temat dot. uniknięcia nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać.