thegoodcaster
#1
short - https://pastebin.com/KHxspj9B
add - https://pastebin.com/V7LpzMGT
frst- https://pastebin.com/jGF0gdq6
Witam, kobieta pobierając jakieś dodatki do simsów złapała złośliwego wirusa, co chwilę otwierają się nowe karty w przeglądarce + antywirus wariuje. Miała avasta, lecz odinstalowałem jej go gdyż frst nie chciał się włączyć. Pobierała też Spyhunter5 bo wyczytała gdzieś że pomoże, lecz niestety zmuszony jestem prosić was o pomoc. 
Przy okazji mógłbym prosić o polecenie antywirusa (lekkiego i skutecznego a co najważniejsze free?) - Dziękuję
Pozdrawiam
Odpowiedz
#2
Do notatnika wklej:

Kod:
CloseProcesses:
CreateRestorePoint:
HKLM\...\RunOnce: [fo0a2tt0kvj] => C:\Program Files (x86)\Bathou\844478514.exe [481280 2019-11-23] (Merit) [Brak podpisu cyfrowego]
HKLM\...\RunOnce: [pst1jqysw2k] => C:\Program Files (x86)\Bathou\317253759.exe [481280 2019-11-23] (Merit) [Brak podpisu cyfrowego]
HKLM\...\RunOnce: [q2b3plsg22w] => C:\Program Files (x86)\Bathou\817915740.exe [481280 2019-11-23] (Merit) [Brak podpisu cyfrowego]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\...\Run: [6495628] => C:\Users\paula\AppData\Local\Temp\is-PH4IE.tmp\Coursers.exe [738579 2019-11-22] ( ) [Brak podpisu cyfrowego] <==== UWAGA
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\...\Run: [7464317] => C:\Users\paula\AppData\Local\Temp\is-IOF0N.tmp\Coursers.exe [738579 2019-11-22] ( ) [Brak podpisu cyfrowego] <==== UWAGA
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\...\Run: [1409931] => C:\Users\paula\AppData\Local\Temp\is-LF3IV.tmp\Coursers.exe [738579 2019-11-22] ( ) [Brak podpisu cyfrowego] <==== UWAGA
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\...\Run: [7947509] => "C:\Users\paula\AppData\Local\Temp\is-SUB50.tmp\Coursers.exe" /VERYSILENT <==== UWAGA
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\...\Run: [2316180] => C:\Users\paula\AppData\Roaming\zq1dre1tro3\anug5mbc1sc.exe [4330381 2019-11-25] ( ) [Brak podpisu cyfrowego]
AppInit_DLLs: C:\ProgramData\Quoteex\Damjob.dll => C:\ProgramData\Quoteex\Damjob.dll [342528 2019-11-24] () [Brak podpisu cyfrowego]
AppInit_DLLs-x32: C:\ProgramData\Quoteex\Ronzimnix.dll => Brak pliku
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Task: {1A050D5F-3A43-4D45-BEE3-DFC651F7C340} - System32\Tasks\RyVdMRuJrFpvTQ => rundll32 "C:\Program Files (x86)\FEoZIHJcyOcU2\LtyNFqrghvDym.dll",#1
Task: {2E056063-0F86-4FD9-950F-0DC18DB69802} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA
Task: {4078A3FB-7011-4565-9A20-1C86BD1951AF} - System32\Tasks\gvVywgorzMDAb2 => C:\Windows\system32\wscript.exe "C:\ProgramData\KzqIhdLMAbFSuYVB\zkTrZAC.wsf"
Task: {4C48B546-F6D9-453A-8985-C43DDB046E49} - System32\Tasks\OZuycACZFPpjRdw2 => rundll32 "C:\Program Files (x86)\malhLxIDU\mAEHxg.dll",#1
Task: {6DD48B93-0A11-4F68-847F-D27299F19641} - System32\Tasks\fMbKWJvlURLuzEMtb2 => rundll32 "C:\Program Files (x86)\RbAMuAKQlBOkrQZUeUR\njxwxvc.dll",#1
Task: {F6FE7CB9-882B-4C1A-A5CB-1F446E41221C} - System32\Tasks\FtWAaXskhGyPkYAgsQK2 => rundll32 "C:\Program Files (x86)\njcqHiQFWuxsC\NUyCdlW.dll",#1
Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G4.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G5.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G6.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpEu3QWpfYxwNGsiS5Sz4pbehwe7cONIzJZJgtGiyRJV-qHKJD-0NDBv6AP83p-C9x0x-CDWwYtLTcPhxdjmiIr65D_OG_7co3yPfpSvtNfiQRrJjOFpFsY_VmlnotDxVf9JQ-Nlj9may4hj5gnV6GLIE5dn-p&q={searchTerms}
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpEu3QWpfYxwNGsiS5Sz4pbehwe7cONIzJZJgtGiyRJV-qHKJD-0NDBv6AP83p-C99eNNeTYqRhbg1RHOgeROFllbHwx7KixeoM7hJmF5LUQopywWzbBzCGE3PsOKIL6stYjIB2YMqEVMvqDH8E8jLBDEDE1Wa
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpEu3QWpfYxwNGsiS5Sz4pbehwe7cONIzJZJgtGiyRJV-qHKJD-0NDBv6AP83p-C9x0x-CDWwYtLTcPhxdjmiIr65D_OG_7co3yPfpSvtNfiQRrJjOFpFsY_VmlnotDxVf9JQ-Nlj9may4hj5gnV6GLIE5dn-p&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2858759977-1372284025-741021665-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpEu3QWpfYxwNGsiS5Sz4pbehwe7cONIzJZJgtGiyRJV-qHKJD-0NDBv6AP83p-C9x0x-CDWwYtLTcPhxdjmiIr65D_OG_7co3yPfpSvtNfiQRrJjOFpFsY_VmlnotDxVf9JQ-Nlj9may4hj5gnV6GLIE5dn-p&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2858759977-1372284025-741021665-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpEu3QWpfYxwNGsiS5Sz4pbehwe7cONIzJZJgtGiyRJV-qHKJD-0NDBv6AP83p-C9x0x-CDWwYtLTcPhxdjmiIr65D_OG_7co3yPfpSvtNfiQRrJjOFpFsY_VmlnotDxVf9JQ-Nlj9may4hj5gnV6GLIE5dn-p&q={searchTerms}
BHO: YoutubeAdBlock -> {1C77EC69-5EA3-4241-87D8-AC5A3B0ADAD1} -> C:\Program Files (x86)\DleyWJGFVIE\teQuruW.dll => Brak pliku
BHO-x32: YoutubeAdBlock -> {1C77EC69-5EA3-4241-87D8-AC5A3B0ADAD1} -> C:\Program Files (x86)\DleyWJGFVIE\k3RMwvtS.dll => Brak pliku
S2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2019-11-24] () [Brak podpisu cyfrowego] <==== UWAGA
R2 EsgShKernel; C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe [11776224 2019-11-24] (EnigmaSoft Limited -> EnigmaSoft Limited)
R2 EventSvc; C:\ProgramData\EventSvc\eventsvc.exe [360448 2018-07-24] (CloudBees, Inc.) [Brak podpisu cyfrowego] <==== UWAGA
R2 ShMonitor; C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe [519904 2019-11-24] (EnigmaSoft Limited -> EnigmaSoft Limited)
R3 EnigmaFileMonDriver; C:\Windows\System32\drivers\EnigmaFileMonDriver.sys [68424 2019-11-25] (EnigmaSoft Limited -> EnigmaSoft Limited)
C:\Program Files\XOA8L2ZESJ
C:\Program Files\ADHNT25FRF
C:\Program Files\4EA0HTD2Q0
C:\Users\paula\AppData\Roaming\qydosc0fukc
C:\Users\paula\AppData\Roaming\dj3ef3bj2h3
C:\Users\paula\AppData\Roaming\zq1dre1tro3
C:\ProgramData\KzqIhdLMAbFSuYVB
C:\Program Files (x86)\Bathou
C:\ProgramData\Quoteexs
C:\ProgramData\Quoteex
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\...\StartupApproved\Run: => "7947509"
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\...\StartupApproved\Run: => "1409931"
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\...\StartupApproved\Run: => "7464317"
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\...\StartupApproved\Run: => "6495628"
CMD: ipconfig /flushdns
CMD: netsh advfirewall set allprofiles state Off
CMD: netsh advfirewall reset
CMD: netsh int ipv4 reset all
CMD: netsh int ipv6 reset all
CMD: netsh int httpstunnel reset all
CMD: netsh int portproxy reset all
CMD: netsh int tcp reset all
CMD: ipconfig /release
CMD: ipconfig /renew
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:


Zapisz jako fixlist.txt i umieść obok FRST
Następnie w programie kliknij Fix, po wykonaniu pokaż raport z tego działania.

Odinstaluj:
Online Application
SpyHunter 5
YoutubeAdBlock



Następnie pobierz i zainstaluj: https://pl.malwarebytes.com/adwcleaner/
Uruchom klik skanuj i pokaż po skanowaniu plik dziennika.
Odpowiedz
#3
AdwCleaner - https://pastebin.com/vhcqeAfA
fixlog - https://pastebin.com/tj0a6P4h

Online Application - nie widzę w panelu usuwania
SpyHunter 5  - odinstalowane
YoutubeAdBlock  - nie da się


Dodam iż ten wirus miał pełną kontrolę chyba nad urządzeniem. Na facebooku zostały stworzone jakieś dziwne strony z adresem .ru 
Po wykonaniu tych działań, nadal wyskakują reklamy w przeglądarce 
Odpowiedz
#4
Miałeś jeszcze nie usuwać nic w adw.

Zrób nowe logi FRST

Na Chrome były restrykcje nałożone, być może coś teraz się jeszcze uwidoczni.
Odpowiedz
#5
Wybacz, źle zrozumiałem. 
Frst  - https://pastebin.com/CR1WMdyu
Add  - https://pastebin.com/b6NVQ8u6
Short  -  https://pastebin.com/H1tJ79Wu
Odpowiedz
#6
Do notatnika wklej i wykonaj:

Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2858759977-1372284025-741021665-1001\...\Run: [9115345] => C:\Users\paula\AppData\Roaming\1mtfwdfrmb5\ybcl2104odb.exe [4503502 2019-11-27] ( ) [Brak podpisu cyfrowego]
AppInit_DLLs: C:\ProgramData\AppxeetouQ\Daltwarm.dll => C:\ProgramData\AppxeetouQ\Daltwarm.dll [342528 2019-11-27] () [Brak podpisu cyfrowego]
AppInit_DLLs-x32: C:\ProgramData\AppxeetouQ\Zumit.dll => C:\ProgramData\AppxeetouQ\Zumit.dll [460800 2019-11-27] () [Brak podpisu cyfrowego]
ProxyServer: [S-1-5-21-2858759977-1372284025-741021665-1001] => http=127.0.0.1:8080;https=127.0.0.1:8080
CHR DefaultSearchURL: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpEu3QWpfYxwNGsiS5Sz4pbehwe7cONIzJZJgtGiyRJV-qHKJD-0NDBv6AP83p-C9xxGQfXcsLGFymxoISzFGRw3dmt_IJDFS3Oy5bOKkmTGG8i97IL11yidHfLF2TPyU64xHSCxtUNcAyXBhPE7etN-87BJYd&q={searchTerms}
CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
Task: {0A69E4F9-D98C-46AC-B4D1-09B63287A5A4} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [360448 2019-11-24] (CloudBees, Inc.) [Brak podpisu cyfrowego]
Task: {25B9A571-3AB5-403F-9E80-9FBF84787E16} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [360448 2019-11-24] (CloudBees, Inc.) [Brak podpisu cyfrowego]
R2 AppxeetouQ; C:\ProgramData\\AppxeetouQ\\AppxeetouQ.exe [1044480 2019-11-19] () [Brak podpisu cyfrowego]
C:\ProgramData\AppxeetouQs
C:\ProgramData\AppxeetouQ
C:\Program Files\X6UGLJS8ZD
C:\Users\paula\AppData\Roaming\tkt5whznn5z
C:\Users\paula\AppData\Roaming\5mg4h3e2qr1
C:\Users\paula\AppData\Roaming\1mtfwdfrmb5
C:\Users\paula\AppData\Roaming\Mozilla
ShortcutWithArgument: C:\Users\paula\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
ShortcutWithArgument: C:\Users\paula\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
C:\ProgramData\AppxeetouQ\Daltwarm.dll
C:\Users\paula\AppData\Local\Temp\is-10LNB.tmp
C:\Users\paula\AppData\Local\Temp\is-19KUR.tmp
CMD: netsh firewall reset
EmptyTemp:

Przejdź do Google Chrome > Ustawienia > Zaawansowane > Przywróć ustawienia do wartości domyślnych > Zresetuj ustawienia

Użyj kolejny raz AdwCleaner, skanuj, jak coś wykryje to do kwarantanny.

Napisz o rezultatach.
Odpowiedz
#7
Adw - https://pastebin.com/n2CxaJDg
fix - https://pastebin.com/fb24XYrz
Nie wyskoczyła żadna reklama wraz ze startem systemu, ale gdy odpaliłem google chroma to wyskoczył komunikat z prośbą o dostęp do sieci bodajże, odrzuciłem go i wtedy wyskoczyła reklama. Na pewno zmniejszyła się częstotliwość wyskakiwania bo tylko raz się to zdarzyło, ale nie wiem czy już wszystko jest ok. Proszę sprawdź czy wszystko się powiodło
Odpowiedz
#8
W takim wypadku ponownie logi zrób i zapodaj.
Odpowiedz
#9
Wybacz że długo nie pisałem, jutro będę dopiero mieć dostęp do tego komputera i zrobię logi od nowa. Kobieta mówiła że gdy coś wyszukuje w googlach to w pierwszej kolejności wyskakują jej same ruskie strony.
Odpowiedz
#10
Short - https://pastebin.com/RXeUAsak
Add - https://pastebin.com/TsALAiDa
Frst - https://pastebin.com/UjhvvZxe
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości