Skocz do zawartości

Atak złośliwego wirusa / Sprawdzenie logów FRST


Rekomendowane odpowiedzi

Dzisiaj pobierając programik z torrentów okazało się, że jest zawirusowany. Atak nastąpił od razu po pobraniu. Kilka podmienioych ikonek / dziwne procesy i programy uruchamiające się / samo-włączające się strony / dodatkowe reklamy i nakładki na Facebook etc. McAfee od razu zaczął walczyć z wirusem. Pobrałem też szybko antimalware od Malwarebytes przeskanowałem, usunąłem zainfekowane pliki i odwiezylem firefoxa. CHYBA wszystko działa teraz dobrze, ale wolę się upewnić i wrzucam logi z FRST (GMER wysypuje się w trakcie skanowania - wrzucam wyniki preskanu).

 

 

@EDIT

Jednak ciągle jest coś nie halo. Nie mogę uruchomić Microsoft Edge, usuwa mi iknokę mozilli z paska i przy uruchomieniu systemu włącza się strona z reklamą (w microsoft edge)

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest zainfekowany, ale to jest właśnie skutek pobierania nielegalnych danych z internetu. Skan MBAM musimy powtórzyć ponieważ nie dostarczyłeś z niego żadnego raportu. 
 
Częściowo zniknął Ci skróty przeglądarek, więc będziesz je sobie musiał utworzyć na nowo. To jedyny sposób na ich wyleczenie. 
Do poczytania: KLIK
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [WindowsDefender] => -
HKU\S-1-5-21-4259783707-2282555008-1561178269-1001\...\Run: [Windows Defender] => -
HKU\S-1-5-21-4259783707-2282555008-1561178269-1001\...\Run: [24720187] => C:\Users\jjcie\AppData\Roaming\9681920\348687.exe [7680 2017-04-17] ()
C:\Users\jjcie\AppData\Roaming\9681920
SearchScopes: HKU\S-1-5-21-4259783707-2282555008-1561178269-1001 -> DefaultScope {1210BEB2-3F7D-4599-BF56-C02995A24DF1} URL = 
SearchScopes: HKU\S-1-5-21-4259783707-2282555008-1561178269-1001 -> {1210BEB2-3F7D-4599-BF56-C02995A24DF1} URL = 
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
U3 pwndruow; C:\Users\jjcie\AppData\Local\Temp\pwndruow.sys [56584 2017-04-17] (GMER) [brak podpisu cyfrowego] 2017-04-17 19:22 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\CXXR1W6YIS
2017-04-17 19:21 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\8W2F84HQWS
2017-04-17 19:21 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\5D1JG165FV
2017-04-17 19:21 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\04HTVGVO2N
2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\PAVYOOGSJ2
2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\D168NDOL55
2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\47JXY2S01L
2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\1VZ46GB9KX
C:\Users\jjcie\Desktop\Wоrld оf Tanks.lnk
C:\Users\jjcie\Desktop\ЕVE Lаuncher.lnk
C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld of Tаnks.lnk
C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\EVE Launcher\ЕVE Launсhеr.lnk
C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CodeBlocks\СоdeBlоcks (Lаunchеr).lnk
C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnet Ехplоrer.lnk
C:\Users\jjcie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozilla Firefoх.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozilla Firefох.lnk
C:\Users\Public\Desktop\Арlikacjа Вlizzard.lnk
C:\Users\Public\Desktop\Мinecrаft.lnk
C:\Users\Public\Desktop\Нeаrthstonе.lnk
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\jjcie\AppData\Local
CMD: dir /a C:\Users\jjcie\AppData\LocalLow
CMD: dir /a C:\Users\jjcie\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 
 
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...