pomoc z malwarami i obciązającymi procesami

[konrad28 0]

Antywirusy i antymalware nie dają sobie rady. Co jest widoczne to coś co podszywa się pod przeglądarki.

Logi z FRST:

FRST http://www.wklejto.pl/303622

Addition http://www.wklejto.pl/303623

Shortcut http://www.wklejto.pl/303624

 

Z góry dzięki za pomoc

[filutka78 11]

1) Spróbuj odinstalować te programy:

SafeFinder (HKLM-x32\...\{7C3C300D-AAE3-414F-9A46-D4CF6574742D}) (Version: 1.0.0.0 - Linkury) <==== UWAGA

1MuIUzctqaQC Updater version 1.2.0.4 (HKLM-x32\...\1MuIUzctqaQC Updater_is1) (Version: 1.2.0.4 - )

 

2)

017-10-19 12:41 - 2017-10-19 12:41 - 000070800 _____ C:\Users\Natalia\AppData\Local\Config.xml

2017-10-19 12:41 - 2017-10-19 12:41 - 000005568 _____ C:\Users\Natalia\AppData\Local\md.xml

2017-10-19 12:41 - 2017-10-19 12:41 - 000003236 _____ C:\Windows\System32\Tasks\LaCieS

2017-10-19 12:41 - 2017-10-19 12:41 - 000000000 ____D C:\Windat

2017-10-19 12:41 - 2017-10-19 12:41 - 000000000 ____D C:\Program Files\LaCie Private Public

2017-10-19 12:41 - 2017-10-19 12:41 - 000000000 ____D C:\Disk

2017-10-19 12:41 - 2017-10-19 12:40 - 002729472 _____ (TODO: <Company name>) C:\Users\Natalia\AppData\Local\Zamjob.exe

2017-10-19 12:41 - 2017-10-19 12:40 - 002729472 _____ (TODO: <Company name>) C:\Users\Natalia\AppData\Local\Jobdox.exe

2017-10-19 12:40 - 2017-10-19 12:40 - 000140800 _____ C:\Users\Natalia\AppData\Local\installer.dat

Znasz te pogrubione Mają identyczną datę i godzinę , jak infekcja.

 

3) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\Program Files (x86)\1MuIUzctqaQC Update

RemoveDirectory: C:\Program Files (x86)\1MuIUzctqaQC

Task: {98B74BAE-E3B8-4399-A8FB-F838E0DD8E45} - System32\Tasks\1MuIUzctqaQC => 1muiuzctqaqc.exe

Task: {5F6C3E9D-1DC7-4FCD-ACD8-8576FD34E17D} - System32\Tasks\{0E0F7A47-0A0E-7A7E-7A11-0505780A117D} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgACAAOwA7ADsAIAAgADsAIAAgADsAOwA7ADsAOwA7ACAAIAA7ACAAOwAkAEUAcgByAG8AcgBBAGMAdABpAG8AbgBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AIgBzAHQAbwBwACIAOwAkAHMAYwA9ACIAUwBpAGwAZQBuAHQAbAB5AEMAbwBuAHQAaQBuAHUAZQAiADsAJABXAGEAcgBuAGkA (dane wartości zawierają 10080 znaków więcej). <==== UWAGA

Tcpip\..\Interfaces\{C9E9555E-ED81-4539-89DA-139AF78A648A}: [NameServer] 82.163.142.8,95.211.158.136

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA

HKU\S-1-5-21-2677717574-2735756275-4034751375-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvFAcPCc8fIZRB0zK3CYDC8GsyP7_hIJnJw-ogAqwNj8V2zRnej8B84AV5URFyeQFWfeG_RFmCwueRw-cmi0NO5dfTWXWqUcUdMlBPpBUlAGbSkjtTyumd4ZaPDPvT_pDzLYlTFqk-77KwwStGnICoyMB1rQ,,&q={searchTerms}

HKU\S-1-5-21-2677717574-2735756275-4034751375-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvFAcPCc8fIZRB0zK3CYDC8GsyP7_hIJnJw-ogAqwNj8V2zRnej8B84AV5URFyeQFWfeG_RFmCwueRw-cmi0NO5dfTWXWqUcUdMlBPpBUlAGbSkjtTyumd4ZaPDPvT_pDzLYlTFqk-77KwwStGnICoyMB1rQ,,&q={searchTerms}

SearchScopes: HKLM-x32 -> DefaultScope - brak wartości

SearchScopes: HKU\S-1-5-21-2677717574-2735756275-4034751375-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvFAcPCc8fIZRB0zK3CYDC8GsyP7_hIJnJw-ogAqwNj8V2zRnej8B84AV5URFyeQFWfeG_RFmCwueRw-cmi0NO5dfTWXWqUcUdMlBPpBUlAGbSkjtTyumd4ZaPDPvT_pDzLYlTFqk-77KwwStGnICoyMB1rQ,,&q={searchTerms}

SearchScopes: HKU\S-1-5-21-2677717574-2735756275-4034751375-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvFAcPCc8fIZRB0zK3CYDC8GsyP7_hIJnJw-ogAqwNj8V2zRnej8B84AV5URFyeQFWfeG_RFmCwueRw-cmi0NO5dfTWXWqUcUdMlBPpBUlAGbSkjtTyumd4ZaPDPvT_pDzLYlTFqk-77KwwStGnICoyMB1rQ,,&q={searchTerms}

SearchScopes: HKU\S-1-5-21-2677717574-2735756275-4034751375-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

SearchScopes: HKU\S-1-5-21-2677717574-2735756275-4034751375-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

Toolbar: HKU\S-1-5-21-2677717574-2735756275-4034751375-1002 -> Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak pliku

FF user.js: detected! => C:\Users\Natalia\AppData\Roaming\Mozilla\Firefox\Profiles\9kvryw49.default\user.js [2015-12-22]

FF NewTab: Mozilla\Firefox\Profiles\9kvryw49.default -> hxxp://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFcUcQ8ABQ5CDAQbdAoVVQsVRBgbcgsBTAtHFAdCdAlbWAoVRxNBNARaB0tXUUEeGGlxR1dMY0dMLkNdIFAV

FF Homepage: Mozilla\Firefox\Profiles\9kvryw49.default -> hxxp://searchinterneat-a.akamaihd.net/hm?eq=U0EeCFZVBB8SRghBdwgOWV1GEhgSeA0LTA1DRVAOeAsKWBRDFwARIQ0IAgBCRVMFIk0FA18DB0VXfWFoKB8fHHdRL1dCBHgYRQ==

FF Extension: (Bronze Aid) - C:\Users\Natalia\AppData\Roaming\Mozilla\Firefox\Profiles\9kvryw49.default\Extensions\{d7dd19c4-bb90-412e-b4ff-3e66b2a6ea83}.xpi [2015-12-22] [brak podpisu cyfrowego]

FF SearchPlugin: C:\Users\Natalia\AppData\Roaming\Mozilla\Firefox\Profiles\9kvryw49.default\searchplugins\yoursites123.xml [2015-12-22]

CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvFAcPCc8fIZRB0zK3CYDC8GsyP7_hIJnJw-ogAqwNj8V2zRnej8B84AV5URFyeQFWZtETdbdlDwM8EoluRk_gMERe1rQTYlcMEEX705sjM-9rKf5RyLt1QLfciuIT-RDxdtQH1zfLbMG5LgWWlJAVHtmrRQ,,

R2 1MuIUzctqaQC Updater; C:\Program Files (x86)\1MuIUzctqaQC Updater\1MuIUzctqaQC Updater.exe [313344 2017-10-19] () [brak podpisu cyfrowego]

S3 BdDesktopParental; "C:\Program Files\Bitdefender\Bitdefender 2015\bdparentalservice.exe" [X]

S2 McAPExe; "C:\Program Files\McAfee\MSC\McAPExe.exe" [X]

S4 McMPFSvc; "C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe" /McCoreSvc [X]

S2 McNaiAnn; "C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X]

S3 McODS; "C:\Program Files\mcafee\VirusScan\mcods.exe" [X]

S2 UPDATESRV; "C:\Program Files\Bitdefender\Bitdefender 2015\updatesrv.exe" /service [X]

S4 VSSERV; "C:\Program Files\Bitdefender\Bitdefender 2015\vsserv.exe" /service [X]

2017-10-19 12:41 - 2017-10-19 12:41 - 007334400 _____ C:\Users\Natalia\AppData\Local\agent.dat

2017-10-19 12:41 - 2017-10-19 12:41 - 001900178 _____ C:\Users\Natalia\AppData\Local\Jobdox.tst

2017-10-19 12:41 - 2017-10-19 12:41 - 001895382 _____ C:\Users\Natalia\AppData\Local\Zoomlab.bin

2017-10-19 12:41 - 2017-10-19 12:41 - 000278509 _____ C:\Users\Natalia\AppData\Local\Zamjob.tst

2017-10-19 12:41 - 2017-10-19 12:41 - 000126464 _____ C:\Users\Natalia\AppData\Local\noah.dat

2017-10-19 12:41 - 2017-10-19 12:41 - 000070800 _____ C:\Users\Natalia\AppData\Local\Config.xml

2017-10-19 12:41 - 2017-10-19 12:41 - 000005568 _____ C:\Users\Natalia\AppData\Local\md.xml

2017-10-19 12:41 - 2017-10-19 12:41 - 000000000 ____D C:\Windat

2017-10-19 12:41 - 2017-10-19 12:40 - 002729472 _____ (TODO: <Company name>) C:\Users\Natalia\AppData\Local\Zamjob.exe

2017-10-19 12:41 - 2017-10-19 12:40 - 002729472 _____ (TODO: <Company name>) C:\Users\Natalia\AppData\Local\Jobdox.exe

2017-10-19 12:40 - 2017-10-19 12:40 - 000140800 _____ C:\Users\Natalia\AppData\Local\installer.dat

AlternateDataStreams: C:\Users\Natalia\Downloads\adwcleaner_6.047.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\Apache_OpenOffice_4.1.3_Win_x86_install_pl.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\ChromeSetup(1).exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\ChromeSetup.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\InstallMyDriveConnect.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\navifirm_0.5.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\NokiaCareSuiteForStore-5.2.92.1418 (1).exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\NokiaSoftwareUpdaterForRetail_4.3.2.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\PhotoScape_V3.7.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\picasa39-setup (1).exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\picasa39-setup.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\Setup.X86.pl-PL_O365HomePremRetail_0cfa176d-8152-4671-bfc7-5ed23271ceca_TX_DB_.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\shotcut-win32-150811.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\shotcut-win64-151203.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\video_editor.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\wlsetup-web.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\X-Codec-Pack-2.7.4.exe:BDU [0]

AlternateDataStreams: C:\Users\Natalia\Downloads\ZuneSetupPkg.exe:BDU [0]

C:\Users\Natalia\Desktop\Nowy folder (5)\Nowy folder (4)\AVG.lnk

C:\Users\Natalia\Desktop\calypulpit\Angry Birds Breakfast 2.lnk

C:\Users\Natalia\Desktop\calypulpit\Digital Photo Professional.lnk

Hosts:

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

4) Masz Adw-Cleaner - czy już go użyłeś?

Jeśli nie, to użyj.

 

5)Zrób nowe logi FRST - już bez Shortcut

 

Masz Adw-Cleaner - czy już go użyłeś?

Jeśli nie, to użyj.

 

F.

zaraz to przejrzę ...

[konrad28 0]

Dzięki za odzew. SafeFinder jest nie do ruszenia, próba odinstalowania zamyka tylko przeglądarkę. Adwcleaner używałem juz dzisiaj.

Logi po skanie addition : http://www.wklejto.pl/303652 frst : http://www.wklejto.pl/303653

Pytanie niezwiązane z tematem, choć nie wiadomo. Na laptopie, na którym występują te problemy nie działa dzwięk. Kiedyś udało mi się go jakoś aktywować ale działał tylko chwilę, w czasie kiedy działał co jakiś czas wyłączał się, nawet podczas trwania jednej piosenki następowała cisza. Nie było słychać żadnego "pierdzenia" z głosników, nie wiem czy jest to problem mechaniczny z głośnikami czy softwareowy.

[filutka78 11]

Task: {B4F55E92-1292-4DC0-AF4F-A44453EAE729} - System32\Tasks\LaCieS => C:\Disk\WebService.exe [2017-09-18] (TODO: <Company name>)

(TODO: <Company name>) C:\Disk\WebService.exe

(PC Tools) C:\Disk\securedisk.exe

Znasz to?

 

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7C3C300D-AAE3-414F-9A46-D4CF6574742D}

DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7C3C300D-AAE3-414F-9A46-D4CF6574742D}

DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DisableS3S4

Task: {7A741303-E5DD-4DBB-9BC6-B51F0815CC81} - System32\Tasks\{38CB08FE-07A6-44B6-8F95-CD465ECB26DC} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\Bio-Fax\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Bio-Fax\uninstall.dat" -a uninstallme 7C3C300D-AAE3-414F-9A46-D4CF6574742D DeviceId=b8271410-9779-f7d7-35fd-cd4836b94a56 BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet

S3 SWDUMon; \SystemRoot\system32\DRIVERS\SWDUMon.sys [X]

S1 wfcre; system32\drivers\wfcre.sys [X]

R2 WinDivert1.2; C:\Windows\system32\drivers\WinDivert64.sys [37552 2017-10-19] (Basil)

C:\Windows\system32\drivers\WinDivert64.sys

c:\Users\Natalia\AppData\Local\installer.dat

C:\Users\Natalia\AppData\Local\uninstall_temp.ico

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST.

 

Na laptopie, na którym występują te problemy nie działa dzwięk

Trudno mi zgadnąć, czy to problem wynikający z infekcji, czy sprzętowy.

 

F.

[Gość]

Task: {B4F55E92-1292-4DC0-AF4F-A44453EAE729} - System32\Tasks\LaCieS => C:\Disk\WebService.exe [2017-09-18] (TODO: <Company name>)

(TODO: <Company name>) C:\Disk\WebService.exe

(PC Tools) C:\Disk\securedisk.exe

Nie wygląda to dobrze z forum MBAM.

[konrad28 0]

Logi po kolejnej naprawie: addition : http://www.wklejto.pl/303844 frst : http://www.wklejto.pl/303843

webservice i securedisk nie znam, to są minery? Laptop jest używany przez kobietę więc mogło być ściągnięte wszystko

[filutka78 11]

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Task: {B4F55E92-1292-4DC0-AF4F-A44453EAE729} - System32\Tasks\LaCieS => C:\Disk\WebService.exe [2017-09-18] (TODO: <Company name>)

RemoveDirectory: C:\Disk

RemoveDirectory: C:\Program Files\LaCie Private Public

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Jak oceniasz sytuację po tych usuwaniach?

 

F.

[konrad28 0]

Jest o wiele lepiej, teraz tylko zając się dźwiękiem, spróbuję sprawdzić czy będzie na linuxie będzie działać, dzięki za pomoc