Infekcja, zmiana wyszukiwarki na Advanced Secure Search

[JacobAviator89]

Cześć,

 

Straciłem dzisiaj czujność i zainstalowałem jakieś szkodliwe oprogramowanie przy okazji neutralizując ręcznie VooDoo Shield. Komputer mocno zwolnił, a skaner zagrożeń wskazał 3 infekcje. Aktualnie moja wyszukiwarka w przeglądarce to jakiś Ad-Aware SecureSearch.

 

Poniżej zamieszczam logi i proszę o pomoc.

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

Cytat

 

Aktualnie moja wyszukiwarka w przeglądarce to jakiś Ad-Aware SecureSearch.

+

Web Companion (HKLM-x32\...\{699eaf73-4be3-49fe-a3a0-317e7ea97047}) (Version: 4.5.1957.3838 - Lavasoft)

 

To wyszukiwarka Twego programu.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\Windows\AipSaUeAqzaO.exe
C:\Users\Aviator\oEHEYyWlJ.exe
C:\Program Files (x86)\Common Files\vJhiluefEuhD.exe
C:\Users\Aviator\AppData\Local\installer.dat
FirewallRules: [{70C63CD1-E73E-4000-8C9E-D3E5E33F59DA}] => (Allow) C:\Windows\SysWOW64\msiexec.exe (Microsoft Corporation)
FirewallRules: [{A8513863-9B2D-4340-8265-AFF99C04C014}] => (Allow) C:\Windows\AipSaUeAqzaO.exe (Microsoft Corporation)
FirewallRules: [{14C4CB6E-2F4A-456D-86CA-A0A934C74C93}] => (Allow) C:\Users\Aviator\oEHEYyWlJ.exe (Microsoft Corporation)
HKU\S-1-5-21-239350383-861022925-3571962692-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_190130
SearchScopes: HKU\S-1-5-21-239350383-861022925-3571962692-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-239350383-861022925-3571962692-1001 -> {BDF61FAE-9D19-40F0-8F34-688DEB334CA9} URL = hxxp://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10477_754_190130&q={searchTerms}
FF Homepage: Mozilla\Firefox\Profiles\e0ptvrs9.default -> hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_190130
FF NewTab: Mozilla\Firefox\Profiles\e0ptvrs9.default -> hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_190130
FF SearchPlugin: C:\Users\Aviator\AppData\Roaming\Mozilla\Firefox\Profiles\e0ptvrs9.default\searchplugins\securesearch.xml [2019-01-30]
FF Extension: (Brak nazwy) - C:\Program Files\Mozilla Firefox\browser\features\{A16C6B13-D41C-47BF-AAC2-FC71F1BB2363}.xpi [2018-12-17] [Brak podpisu cyfrowego]
FF Extension: (Brak nazwy) - C:\Program Files\Mozilla Firefox\browser\features\{A9EBC5EC-C8AE-4002-A64A-BEA241908533}.xpi [2019-01-30] [Brak podpisu cyfrowego]
S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X]
C:\Users\Aviator\AppData\Local\wbem.ini
ShellIconOverlayIdentifiers: [ !!!smico] -> {C6E713CA-A7FD-4C73-9E34-AD7676CB957F} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers1: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} =>  -> Brak pliku
ContextMenuHandlers1: [SMShellExts] -> {3871F95B-BF7A-4c17-950B-3ECBCA765A45} =>  -> Brak pliku
ContextMenuHandlers2: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} =>  -> Brak pliku
ContextMenuHandlers4: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} =>  -> Brak pliku
FirewallRules: [{32E2CF75-57A8-4C61-A9DE-1CAF4729DA63}] => (Allow) E:\Nowy folder\Lightworks\ntcardvt.exe Brak pliku
FirewallRules: [{AE858477-3C08-44C6-8669-6EFD4B604252}] => (Allow) E:\Nowy folder\Lightworks\ntcardvt.exe Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HOSTS:
GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Forza Horizon 3\Forza Horizon 3.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

[JacobAviator89]

Wykonałem instrukcję, ale Malwarebytes wciąż wykrywa trojana.

 

logi po naprawie i skanowania w załączniku

Fixlog.txt

mlwbytes.txt

[jessica]

Cytat

C:\Program Files (x86)\SmartData

Nie zwróciłam uwagi, że na liście Twoich programów nie ma takiego programu.

 

Pozwól MBAM usunąć wszystko, co wykrył.

 

jessi

 

[JacobAviator89]

Teoretycznie MBAM usunął wszystko, ale mam co do tego wątpliwości, przeglądarki dalej zamulają, nie mogę korzystać z gmaila, na firefox nie jest możliwe zalogowanie na forum fixitpc (dopiero Opera umożliwiła mi odpisanie). 

 

Raport z FRST i MBAM po usunięciu zagrożeń 

Addition.txt

FRST.txt

MBAM_raport.txt

Shortcut.txt

[jessica]

W logach nie ma niczego podejrzanego.

 

Cytat

nie mogę korzystać z gmaila

Ja mam gmaila, i w 99,99% nie da się z niego korzystać, i to od samego początku, od kiedy mam tam konto.

Całe szczęście, że mam inne konta pocztowe, oprócz gmaila.

 

Firefoxa przeinstaluj, albo całkowicie usuń.

 

jessi

 

 

[JacobAviator89]

10 minut temu, jessica napisał:

W logach nie ma niczego podejrzanego.

 

Ja mam gmaila, i w 99,99% nie da się z niego korzystać, i to od samego początku, od kiedy mam tam konto.

Całe szczęście, że mam inne konta pocztowe, oprócz gmaila.

 

Firefoxa przeinstaluj, albo całkowicie usuń.

 

jessi

 

 

Nie wiem, czy piszemy teraz o subiektywnych odczuciach, czy faktycznych mankamentach wynikających z infekcji systemu. Ale skoro gmail, normalnie otwierał wiadomości i można je było odczytać, a teraz klikając na dowolny mail zawiesza się on w oknie wyświetlając jedynie tytuł wiadomości.

[jessica]

Cytat

czy piszemy teraz o subiektywnych odczuciach, czy faktycznych mankamentach wynikających z infekcji systemu

W ostatnim swoim poście pisałam raczej o subiektywnych odczuciach, bo nie mam żadnego dowodu, że masz problemy wynikające z infekcji.

Nic na to nie poradzę.

 

jessi

[JacobAviator89]

Ok.

 

Wątek do zamknięcia, przeinstalowałem co wadziło. Najwyraźniej reszta problemów była po stronie programów, a nie infekcji.