POMOC PRZY INFEKCJI
#1
Witam serdecznie, mam problem z jakimś syfem, co jakiś czas uruchamia się to okienko: 

[Aby zobaczyć linki, zarejestruj się tutaj]

a zaraz po nim to: 

[Aby zobaczyć linki, zarejestruj się tutaj]

skutkuje to pobieraniem jakiś syfów na komp, które później są wykrywane przez programy antymalware. Sama jednak przyczyna nie została znaleziona, wykryta przez żaden z programów (MBAM, EAM, HITMAN PRO, ADWCLEANER, WINDOWS DEFENDER). Proszę o pomoc, przy okazji proszę zobaczyć czy czegoś jeszcze nie ma na kompie a o czym nie wiem.


SHORTCUT: 

[Aby zobaczyć linki, zarejestruj się tutaj]


ADDICTION: 

[Aby zobaczyć linki, zarejestruj się tutaj]


FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]



Załączone pliki Miniatury
       
Odpowiedz
#2
Czy Mail.ru w przeglądarkach ma się domyślnie znajdować ?

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1027307584-2546494085-1552537348-1001\...\Winlogon: [Shell] C:\Windows\explorer.exe [4674872 2017-07-12] (Microsoft Corporation) <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-1027307584-2546494085-1552537348-1001\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKU\S-1-5-21-1027307584-2546494085-1552537348-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
FF Homepage: Mozilla\Firefox\Profiles\quwhtdml.default -> hxxp://mail.ru/cnt/10445?gp=811141
FF Extension: (Greasemonkey) - C:\Users\FRAGGUCCINO\AppData\Roaming\Mozilla\Firefox\Profiles\quwhtdml.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi [2017-02-02]
S3 9595645C; \??\C:\Windows\system32\drivers\002BC3E9.sys [X]
S1 hmsdedfn; \??\C:\Windows\system32\drivers\hmsdedfn.sys [X]
S1 hpjhqvac; \??\C:\Windows\system32\drivers\hpjhqvac.sys [X]
S1 incoaalb; \??\C:\Windows\system32\drivers\incoaalb.sys [X]
S4 nvvhci; \SystemRoot\System32\drivers\nvvhci.sys [X]
C:\Users\FRAGGUCCINO\AppData\Roaming\96qf9Y3q8sBbKwf3
C:\Windows\System32\Tasks\dlkbxzpmberj
C:\Windows\System32\Tasks\yzlmwks
C:\Users\FRAGGUCCINO\AppData\Local\tvptb.bat
C:\Users\FRAGGUCCINO\AppData\Local\hvwcghgac.bat
C:\Users\FRAGGUCCINO\AppData\Local\oenrmz.bat
C:\Users\FRAGGUCCINO\AppData\Local\aaenwntshl.bat
C:\ProgramData\KGAXRY
C:\ProgramData\QPPNNQ
C:\Users\FRAGGUCCINO\AppData\Local\SquirrelTemp
C:\Windows\System32\Tasks\dlkbxzpmberj
C:\Windows\System32\Tasks\yzlmwks
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {0D2CC2E2-F8B2-49AD-8E9C-88E4F6D3FD0B} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2017-09-27] (Adobe Systems Incorporated)
Task: {434F1FD2-F06E-43D2-83DC-625C1AFB1646} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2016-11-16] (Google Inc.)
Task: {62952666-9DF0-43CD-9E72-E9BC578C46D3} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2016-11-16] (Google Inc.)
Task: {74447BD5-4793-4AF6-B1D4-618BA4DA79B1} - System32\Tasks\NvidiaGraphicDriver => C:\Users\FRAGGUCCINO\AppData\Roaming\VideoCardUpdater.exe <==== UWAGA
Task: {78763B57-D45E-4670-9B58-045BB147BACA} - \Driver Genius Skip UAC -> Brak pliku <==== UWAGA
Task: {A0C45810-7CBE-4F80-87DF-CDE71084D68A} - System32\Tasks\yzlmwks => C:\Users\FRAGGUCCINO\AppData\Local\aaenwntshl.bat [2017-11-14] () <==== UWAGA
Task: {D4D02892-A1BF-4C84-8B2F-5CA5391664FC} - \Driver Genius Scheduler -> Brak pliku <==== UWAGA
Task: {E08121B0-4CD1-4BAF-B338-7BEB376C7D1B} - System32\Tasks\{9AA492BF-1F6A-4BF4-813D-AA6335735FE3} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxps://ui.skype.com/ui/0/7.33.0.105/pl/abandoninstall?page=tsInstall
Task: {E85961F6-737A-4C6F-9088-037955728998} - System32\Tasks\dlkbxzpmberj => C:\Users\FRAGGUCCINO\AppData\Local\oenrmz.bat [2017-11-14] () <==== UWAGA
Task: C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job => C:\Windows\explorer.exe
VirusTotal: C:\Windows\SysWOW64\4479506.exe
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

Napisz czy problem dalej występuje i czy podczas skanowania programami antimalware coś wykrywały ?
Odpowiedz
#3
Dziękuję za pomoc. Wszystko naprawione.
Moja Obstawa: Norton 360 20.2.0.19 + SpyShelter Premium + MBAM PRO
Browsunia: Mozilla Firefox + AdBlock PLUS + KeyScrambler PREMIUM
Przetrzymywacz passów: Norton 360 20.2.0.19
Cofajka: Hiren's Boot CD
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości