Dodatkowe wyszukania w Google

[Mruvek]

Kilknąłem na nie tego .exe co trzeba i wpuściłem kilkanaście/dziesiąt trojanów. Windows 10 wyłapał je i niby usunął, dodatkowo ADWCleaner usunął 70 zagrożeń, ręcznie wyrzuciłem z programów to co się doinstalowało, ale jakieś śmieci jeszcze zostały i objawiają się na pewno reklamowymi dodatkowymi linkami udającymi wyszukiwanie w google (pojawiają się na kilku pierwszych pozycjach nad prawdziwymi z google). Oprócz tego coś tam jeszcze siedzie, ale już nie umiem namierzyć. Logi ze skanowania FRSTem w załącznikach.

FRST.txt

Shortcut.txt

Addition.txt

[jessica]

1) Te skróty dam do usuwania, bo przekierowują do Trojana udającego przeglądarkę:

Spoiler

C:\Users\kralk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Рoсkеt.lnk -> C:\Users\kralk\AppData\Roaming\Browsers\exe.emorhc.bat (Brak pliku) <==== Cyrillic
C:\Users\kralk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Exрlorеr.lnk -> C:\Users\kralk\AppData\Roaming\Browsers\exe.erolpxei.bat (Brak pliku) <==== Cyrillic
C:\Users\kralk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Сhromе.lnk -> C:\Users\kralk\AppData\Roaming\Browsers\exe.emorhc.bat (Brak pliku) <==== Cyrillic
C:\Users\kralk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооgle Сhrоmе.lnk -> C:\Users\kralk\AppData\Roaming\Browsers\exe.emorhc.bat (Brak pliku) <==== Cyrillic
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Chromе.lnk -> C:\Users\kralk\AppData\Roaming\Browsers\exe.emorhc.bat (Brak pliku) <==== Cyrillic
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ерic Gamеs Lаuncher.lnk -> C:\Users\kralk\AppData\Roaming\Browsers\exe.rehcnualsemagcipe.bat (Brak pliku) <==== Cyrillic

Potem zrobisz sobie nowe skróty w tych samych lokalizacjach.

 

2) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {A8F9B3A4-7BFC-4DAC-851A-158288184F3E} - System32\Tasks\{KH3N3472-TXZ0-SN3B-WUEZ-59DZIBL9R007} => explorer "hxxp://polwergofa.com/cl/?guid=si4z363h7f6que85sw87z6r9aok5p462&prid=1&pid=11_1415_0" <==== UWAGA
C:\Users\kralk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Рoсkеt.lnk
C:\Users\kralk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Exрlorеr.lnk
C:\Users\kralk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Сhromе.lnk
C:\Users\kralk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооgle Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Chromе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ерic Gamеs Lаuncher.lnk
RemoveDirectory: C:\Users\kralk\AppData\Roaming\Browsers
C:\Users\kralk\AppData\Roaming\vhui.ini
HOSTS:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
FirewallRules: [UDP Query User{B5BC9D88-A0DD-4088-98FE-FB34BDA0FC98}E:\gry\call of duty black ops 4\blackops4.exe] => (Allow) E:\gry\call of duty black ops 4\blackops4.exe Brak pliku
FirewallRules: [TCP Query User{81A88336-7434-4245-B19A-5CBDCE62BAAC}E:\gry\call of duty black ops 4\blackops4.exe] => (Allow) E:\gry\call of duty black ops 4\blackops4.exe Brak pliku
FirewallRules: [UDP Query User{E8526FB5-C9DF-4133-86A3-1DB011C772A6}E:\pobrane\vhusbdwin64.exe] => (Allow) E:\pobrane\vhusbdwin64.exe Brak pliku
FirewallRules: [TCP Query User{06C8A430-AFE6-4F27-997E-6682DDB67206}E:\pobrane\vhusbdwin64.exe] => (Allow) E:\pobrane\vhusbdwin64.exe Brak pliku
FirewallRules: [{DCD2D782-40F5-4534-9B35-E5EF286C1DFF}] => (Allow) E:\Gry\Steam 2\bin\cef\cef.win7\steamwebhelper.exe Brak pliku
FirewallRules: [{0956F4AA-C2E2-45AF-AAE8-7ED52A63C2D1}] => (Allow) E:\Gry\Steam 2\bin\cef\cef.win7\steamwebhelper.exe Brak pliku
FirewallRules: [{A8FE3066-6832-4C3A-A0D2-8F8AF738428C}] => (Allow) E:\Gry\Steam 2\Steam.exe Brak pliku
FirewallRules: [{DC73BA59-6753-4D69-B488-8C9128A5B9DC}] => (Allow) E:\Gry\Steam 2\Steam.exe Brak pliku
FirewallRules: [UDP Query User{7BDEF588-2FF3-47BC-B0DF-9424C9C4F706}E:\gry\call of duty black ops 4\blackops4.exe] => (Allow) E:\gry\call of duty black ops 4\blackops4.exe Brak pliku
FirewallRules: [TCP Query User{4AEF9A92-EC3C-419E-B42E-1AE686658412}E:\gry\call of duty black ops 4\blackops4.exe] => (Allow) E:\gry\call of duty black ops 4\blackops4.exe Brak pliku
FirewallRules: [UDP Query User{5C3C11D6-1726-4347-BBBA-DCDFD19FF8D3}E:\gry\fifa 19 demo\fifa19_demo.exe] => (Allow) E:\gry\fifa 19 demo\fifa19_demo.exe Brak pliku
FirewallRules: [TCP Query User{39B75B5B-41C7-4E11-9B18-DC808AAE6862}E:\gry\fifa 19 demo\fifa19_demo.exe] => (Allow) E:\gry\fifa 19 demo\fifa19_demo.exe Brak pliku
FirewallRules: [{03D59E1F-70C8-42C5-A5FD-BF2B93D91080}] => (Allow) E:\Gry\Steam\steamapps\common\rocketleague\Binaries\Win32\RocketLeague.exe Brak pliku
FirewallRules: [{8E1043B9-F4CC-47AD-B7A5-541DE547FC03}] => (Allow) E:\Gry\Steam\steamapps\common\rocketleague\Binaries\Win32\RocketLeague.exe Brak pliku
FirewallRules: [{C58F0EAC-0E24-45D3-83D2-D18E86677C93}] => (Allow) E:\Gry\Steam\steamapps\common\PRO EVOLUTION SOCCER 2019 DEMO\PES2019.exe Brak pliku
FirewallRules: [{E5DBE27F-E431-44E7-8E9B-A2D2EF0C49C1}] => (Allow) E:\Gry\Steam\steamapps\common\PRO EVOLUTION SOCCER 2019 DEMO\PES2019.exe Brak pliku
FirewallRules: [{2B68F275-68B5-4DD4-9D49-455B0E94554C}] => (Allow) E:\Gry\Steam\steamapps\common\crossingsouls\crossingsouls.exe Brak pliku
FirewallRules: [{5B463D08-D202-4753-82A8-DA5047369B28}] => (Allow) E:\Gry\Steam\steamapps\common\crossingsouls\crossingsouls.exe Brak pliku
FirewallRules: [{1C09E8C7-9F4E-4B19-A75C-BCF962B192F6}] => (Allow) E:\Gry\Steam\steamapps\common\Dead Space\Dead Space.exe Brak pliku
FirewallRules: [{6B3CEBED-E70D-4BED-8626-0B787EC9C2D3}] => (Allow) E:\Gry\Steam\steamapps\common\Dead Space\Dead Space.exe Brak pliku
FirewallRules: [{B2A52A2E-0E83-425A-8E92-336E21369A73}] => (Allow) E:\Gry\Steam\steamapps\common\Super Blood Hockey\SuperBloodHockey.exe Brak pliku
FirewallRules: [{9B5FF3E5-83A9-4387-86E8-137DE008EE1A}] => (Allow) E:\Gry\Steam\steamapps\common\Super Blood Hockey\SuperBloodHockey.exe Brak pliku
FirewallRules: [{3B7D9D11-1D64-4655-A22D-412713BEBE4E}] => (Allow) E:\Gry\Steam\steamapps\common\HardWest\HardWest.exe Brak pliku
FirewallRules: [{CCA2613F-1510-451D-A624-1C10B955A5AC}] => (Allow) E:\Gry\Steam\steamapps\common\HardWest\HardWest.exe Brak pliku
FirewallRules: [{ED0C8C88-8B3B-466A-9C24-C6B4B19ED97A}] => (Allow) E:\Gry\Steam\steamapps\common\Stories Path of Destinies\Stories\Binaries\Win64\Stories.exe Brak pliku
FirewallRules: [{3FD48131-DE3B-447B-AA3E-D8CE5AD51D4A}] => (Allow) E:\Gry\Steam\steamapps\common\Stories Path of Destinies\Stories\Binaries\Win64\Stories.exe Brak pliku
FirewallRules: [{F4035CBD-5563-4437-AB4F-CA7BC831D618}] => (Allow) E:\Gry\Steam\steamapps\common\The Witness\witness_d3d11.exe Brak pliku
FirewallRules: [{E6A7DD1B-54C8-4C21-8C84-DB7B1746CA27}] => (Allow) E:\Gry\Steam\steamapps\common\The Witness\witness_d3d11.exe Brak pliku
FirewallRules: [{776FE964-2257-46FD-9BA9-8585077D26E5}] => (Allow) E:\Gry\Steam\steamapps\common\Bejeweled 3\Bejeweled3.exe Brak pliku
FirewallRules: [{7D7BE61F-AD11-4FA6-B596-B70B2E469DA4}] => (Allow) E:\Gry\Steam\steamapps\common\Bejeweled 3\Bejeweled3.exe Brak pliku
FirewallRules: [{02BD6D78-EE09-4088-A484-45C5DA5800E2}] => (Allow) E:\Gry\Steam\steamapps\common\Aliens Colonial Marines\Binaries\Win32\ACM.exe Brak pliku
FirewallRules: [{19B5CF3A-AE94-47CA-A6EA-8319956142BC}] => (Allow) E:\Gry\Steam\steamapps\common\Aliens Colonial Marines\Binaries\Win32\ACM.exe Brak pliku
FirewallRules: [{3F4B4FE2-EC99-4302-AC3D-27DE23F67535}] => (Allow) E:\Gry\Steam\steamapps\common\StickFightTheGame\StickFight.exe Brak pliku
FirewallRules: [{290D5D97-8904-4233-B288-16C448FEC9BE}] => (Allow) E:\Gry\Steam\steamapps\common\StickFightTheGame\StickFight.exe Brak pliku
FirewallRules: [{D1F7B007-DF5A-4D26-8F28-C137A91D6FA8}] => (Allow) E:\Gry\Steam\steamapps\common\Rampage Knights\rampage_knights.exe Brak pliku
FirewallRules: [{694FA09B-3B30-476E-8BD0-A0542D133DE1}] => (Allow) E:\Gry\Steam\steamapps\common\Rampage Knights\rampage_knights.exe Brak pliku
FirewallRules: [{389B5504-5B96-4B9D-8E08-19DE81F2685D}] => (Allow) E:\Gry\Steam\steamapps\common\Frostpunk\Frostpunk.exe Brak pliku
FirewallRules: [{E070F128-A650-483E-8B31-DD6D83C2EDBC}] => (Allow) E:\Gry\Steam\steamapps\common\Frostpunk\Frostpunk.exe Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
IFEO\LogTransport2.exe: [Debugger] 0
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
CHR Session Restore: Default -> [funkcja włączona]
C:\Users\kralk\AppData\Local\Tempit.bat
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

3) Teraz zrób sobie skróty przeglądarek, o których pisałam w punkcie nr 1.

 

4) Zrób nowe logi FRST.

 

jessi

[Mruvek]

Usunąłem skróty z podanych lokalizacji, wrzuciłem instrukcję do FRST i uruchomiłem naprawę. Po ponownym uruchomieniu komputera problem dalej występuje - pojawiają się dodatkowe wyniki wyszukiwania i otwierają się same karty z reklamami. Nowe logi FRST w załączniku

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

W logach nie ma już niczego podejrzanego.

 

Przeinstaluj przeglądarkę, na której to występuje.

A jeśli i to nie pomoże, to całkowicie usuniesz tę przeglądarkę na zawsze.

 

jessi

[Miszel03]

Raporty są ucięte - dostarcz nowy pełny zestaw w celu ponownej analizy. 

[Mruvek]

Nowe raporty

Shortcut.txt

Addition.txt

FRST.txt