Wirus st1.exe. Prośba o pomoc.

[limaw]

Witam.

Przez przypadek ściągnałem wirusa o nazwie st1.exe komputer odrazu przeskanowałem adw-cleaner ale nie wiem czy to coś już nie siedzi załączam logi

Addition.txt

FRST.txt

Shortcut.txt

Edytowane 6 Stycznia 2018 przez Rucek
Poprawiam temat

[Miszel03]

Widoczna jest infekcja uruchamiana z poziomu Harmonogramu zadań, ale szybko się z tym uporamy. 

 

P.S: Widzę komponenty Logixoft, to oprogramowanie monitorujące (można powiedzieć szpiegujące) działanie komputera. To nie złośliwe oprogramowanie, ale często wykorzystywane przez rodziców czy szefostwo firm. Nie wiem czy to tylko szczątki, bo takie programy potrafią się maskować. Proszę o informacje czy mam to ruszać, czy nie. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku
Task: {44188375-2E7F-4332-814F-C4B14DA5371F} - System32\Tasks\{14DE3117-84CE-07B5-5001-755F87E5F83F} => C:\Users\admin\AppData\Roaming\{14DE3~1\Updater.exe 
Task: {80C24173-D232-4B34-85CA-80E2432E3435} - System32\Tasks\adminDoggieSaucyV2 => rundll32.exe BlowzyReargues.dll,main 7 1 
C:\Users\admin\AppData\Roaming\{14DE3~1\
SearchScopes: HKU\S-1-5-21-2766749694-852836189-2292908299-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
SearchScopes: HKLM-x32 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^HJ^xdm007^S05929^pl&si=CMfiraTQ0rcCFQ5d3godjk0AjQ&ptb=8DD32422-F5D3-4570-BEEE-CDA8CE9A0973&ind=2013060806&n=77fcdec6&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKU\S-1-5-21-2766749694-852836189-2292908299-1001 -> {9259E094-5811-41E8-A50D-8B01E73F2C71} URL = hxxp://services.zinio.com/search?s={searchTerms}&rf=sonyslices
BHO: Portfel Bitdefender -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll => Brak pliku
BHO-x32: Portfel Bitdefender -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll => Brak pliku
Toolbar: HKLM - Portfel Bitdefender - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll Brak pliku
Toolbar: HKLM-x32 - Portfel Bitdefender - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll Brak pliku
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
FF HKLM\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff => nie znaleziono
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff => nie znaleziono
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono
CHR HKU\S-1-5-21-2766749694-852836189-2292908299-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [obilhkhfmlggcoildcnoeknaghkiiclj] - C:\Users\admin\AppData\Local\CRE\obilhkhfmlggcoildcnoeknaghkiiclj.crx 
CHR HKLM-x32\...\Chrome\Extension: [fagpjgjmoaccgkkpjeoinehnoaimnbla] - C:\Users\admin\AppData\Roaming\BabSolution\CR\hola.crx 
CHR HKLM-x32\...\Chrome\Extension: [kincjchfokkeneeofpeefomkikfkiedl] - C:\Program Files (x86)\OApps\chromeaddon.crx 
CHR HKLM-x32\...\Chrome\Extension: [obilhkhfmlggcoildcnoeknaghkiiclj] - C:\Users\admin\AppData\Local\CRE\obilhkhfmlggcoildcnoeknaghkiiclj.crx 
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
C:\Users\Wika.wika-VAIO.001\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KogamaLauncher-WWW\KogamaLauncher-WWW.lnk
C:\Users\admin\Desktop\Kontynuuj instalację Total Commander 8.01.lnk
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Voice Changer Software DIAMOND\License.lnk
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Voice Changer Software DIAMOND\Read Me.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Szkola podstawowa klasa 4\Odinstaluj Tajemnice przyrody.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Play\German Lowriders\Instrukcja Obsługi.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Marine Park Empire\Deinstalacja programu Marine Park Empire.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeKeyl0gger\FreeKeyl0gger.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bitdefender Security\Bitdefender Safepay.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Award Keylogger Pro\Award Keylogger Pro on website.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Award Keylogger Pro\Award Keylogger Pro.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Award Keylogger Pro\Uninstall Award Keylogger Pro.lnk
C:\Users\Public\Music\Sample Music\leel.lnk
C:\Users\wika\Desktop\FlatOut Ultimate Carnage — skrót.lnk
C:\Users\wika\Desktop\Harry Potter i Insygnia Śmierci™ – część 1 — skrót.lnk
C:\Users\wika\Desktop\natatnik do rysowania.lnk
C:\Users\wika\Desktop\Skype.lnk
C:\Users\wika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\FlatOut Ultimate Carnage.lnk
C:\Users\Wika.wika-VAIO.001\Desktop\Spotify.lnk
C:\Users\Wika.wika-VAIO.001\Desktop\xd\Nowy folder\Nowy folder\Action!.lnk
C:\Users\Wika.wika-VAIO.001\AppData\Roaming\Microsoft\Word\Dokument305091471807302708\Dokument.rtf.lnk
C:\Users\Wika.wika-VAIO.001\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk
C:\Users\Wika.wika-VAIO.001\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mirillis\Action!\Action!.lnk
C:\Users\Wika.wika-VAIO.001\AppData\Local\GG\Application\gg.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, więc robisz tylko kompleks aktualizacji). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.