Wirus, wyskakujące okienka

[Arczieku 0]

Witam,

 

Czy ktoś pomoże ? mam ogromny problem z komputerem, w firefox ciągle wywala reklamy, komputer muli, nie idzie nic zrobić w dodatku wyświetla jakieś dziwne okienka o kasowaniu historii przeglądarki.

 

http://www.wklejto.pl/732687

http://www.wklejto.pl/732688

http://www.wklejto.pl/732689

 

Proszę o pomoc

[Gość]

Adwcleaner próbowałeś?

[Arczieku 0]

Adwcleaner próbowałeś?

 

 

adw, combofix, tds nic nie daje rady

[Hexg 47]

przeczytałem kilanaście linijek i może prościej,

 

1) albo malwareBytes Pro (14 dni) z ustawioną opcją samoobrony

2) albo jakieś np. Bitdefender Security czy coś (trial)

3) albo np. z Hirens Boot z nośnika przenośnego i tam masz skanery różnej maści  - ZALECANE, pomijasz rozruch z podejrzanego hdd, etc

4) albo zaorać system, przeskanować i jak będzie ok to wtedy goły system op.

[januzi 24]

cała masa syfu w temp, w taskach, wirus też wgrany do katalogu filezilli, do firefoxa wrzucony customowy user.js, w skrótach pliki bat i exe z cyrylicą, w katalogu użytkownika też powgrywane wirusy

 

wystarczy poczekać aż filutka poda listę rzeczy do naprawienia

[Arczieku 0]

cała masa syfu w temp, w taskach, wirus też wgrany do katalogu filezilli, do firefoxa wrzucony customowy user.js, w skrótach pliki bat i exe z cyrylicą, w katalogu użytkownika też powgrywane wirusy

 

wystarczy poczekać aż filutka poda listę rzeczy do naprawienia

 

 

Czyli ktoś mi pomoże ??

[januzi 24]

mogę wrzucić wszystkie rzeczy, jakie powinny się znaleźć w pliku naprawczym, ale nie zagwarantuję, że uda się wywalić całość

jak poczekasz trochę, to filutka na 100% wrzuci dokładnie to, co powinno znaleźć się na liście dla frst

[filutka78 11]

mogę wrzucić wszystkie rzeczy, jakie powinny się znaleźć w pliku naprawczym, ale nie zagwarantuję, że uda się wywalić całość

jak poczekasz trochę, to filutka na 100% wrzuci dokładnie to, co powinno znaleźć się na liście dla frst

 

1) Te skróty przeglądarek dam do usunięcia - bo przekierowują do fałszywej przeglądarki "Browsers), która wygląda dokładnie tak samo, jak oryginalna przeglądarka, ale to Trojan.

C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Internеt Eхplorеr Вrowser.lnk

C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firеfox.lnk

C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Explоrеr.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firеfox.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intеrnеt Explоrеr.lnk

Potem zrobisz sobie nowe skróty w tych samych lokalizacjach.

 

2)

Error: (04/16/2019 12:25:08 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi

i go uruchom jako Administator.

 

3) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Task: {E1833598-8132-4CAD-AD7B-5E4893FBE259} - System32\Tasks\Opera scheduled Autoupdate 2021791044 => C:\Users\Artur\AppData\Roaming\Microsoft\Windows\vbcvawua\fecvetdh.exe () [brak podpisu cyfrowego]

Task: {3565394F-4DFA-46CD-9208-F9764ED63FA2} - System32\Tasks\wAgTSFiboImwMRX => rundll32 "C:\Users\Artur\AppData\Local\Temp\nlvEkhBBALXwWFvDP\akAcVsNKhKySTaLX\IekUWIR.dll",#1 /adp IFYR3AGYR9SEYR4NGYR2SGYR7ZFYR5CFYR8XEYR4AFYR1IGYR7YEYR4IFYR7EGYR3TGYR3ZGYR3 /site_id 721.164983785_131941 <==== UWAGA

RemoveDirectory: C:\Users\Artur\AppData\Roaming\Browsers

C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Internеt Eхplorеr Вrowser.lnk

C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firеfox.lnk

C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Explоrеr.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firеfox.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intеrnеt Explоrеr.lnk

C:\Users\Artur\AppData\Local\App\csrss.exe

RemoveDirectory: C:\Users\Artur\AppData\Roaming\Microsoft\Windows\vbcvawua

FirewallRules: [{ECCA5097-94FA-4668-B165-B2A63E5549BC}] => (Allow) C:\Users\Artur\AppData\Local\Temp\download\MiniThunderPlatform.exe Brak pliku

FirewallRules: [{4B7A0A38-115A-4647-8298-91888801ED9C}] => (Allow) C:\Users\Artur\AppData\Local\Temp\download\MiniThunderPlatform.exe Brak pliku

RemoveDirectory: C:\Users\Artur\Documents\TransactionServices Inc

Tcpip\..\Interfaces\{33A5647F-F47A-423E-8218-476B74F14E95}: [NameServer] 116.202.1.65

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

Task: {FA677D0D-D268-460F-8C40-6F690691CF5D} - System32\Tasks\{7D7F63CC-B8AE-4940-BE15-1783F19D74FB} => C:\Windows\system32\pcalua.exe -a D:\pobrane\InterfejsB_BMW_USB\Driver_D_CAN_USB\OBDSetup.exe -d D:\pobrane\InterfejsB_BMW_USB\Driver_D_CAN_USB

HKLM-x32\...\Run: [] => [X]

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

HKU\S-1-5-21-2528228634-3579518835-2351681602-1001\...\Run: [transactionservices] => C:\Users\Artur\Documents\TransactionServices Inc\transactionserviceshelper.exe [466944 2019-04-15] () [brak podpisu cyfrowego]

HKU\S-1-5-21-2528228634-3579518835-2351681602-1001\...\Run: [transactionservicesmain] => C:\Users\Artur\Documents\TransactionServices Inc\transactionservices.exe.lnk [1952 2019-04-15] () [brak podpisu cyfrowego]

HKU\S-1-5-21-2528228634-3579518835-2351681602-1001\...\Run: [-FPQN4L5-p.exe] => C:\Program Files\FileZilla FTP Client\BJVN1GB\-FPQN4L5-p.exe [245760 2019-04-15] () [brak podpisu cyfrowego]

HKU\S-1-5-21-2528228634-3579518835-2351681602-1001\...\Run: [App] => C:\Users\Artur\AppData\Local\App\csrss.exe [696320 2019-04-15] () [brak podpisu cyfrowego] <==== UWAGA

HKU\S-1-5-21-2528228634-3579518835-2351681602-1001\...\Run: [hsdfb8asdad7sdfbsZYSXa] => C:\Users\Artur\AppData\Local\Temp\8A83.tmp.exe [269312 2019-04-16] () [brak podpisu cyfrowego] <==== UWAGA

Startup: C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vbcvawua.lnk [2019-04-16]

GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA

FF user.js: detected! => C:\Users\Artur\AppData\Roaming\Mozilla\Firefox\Profiles\jvk02bpj.default\user.js [2019-04-16]

S2 rcdll; C:\Users\Artur\AppData\Local\Temp\rcdll.exe [X] <==== UWAGA

S3 catchme; \??\C:\ComboFix\catchme.sys [X]

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

2019-04-15 23:25 - 2019-04-15 23:25 - 000000000 ____D C:\Users\Public\Thunder Network

2019-04-15 23:25 - 2019-04-15 23:25 - 000000000 ____D C:\ProgramData\Thunder Network

2019-04-15 23:25 - 2019-04-15 23:25 - 000000000 ____D C:\ProgramData\Lamia

2019-04-15 23:25 - 2019-04-15 23:25 - 000000000 ____D C:\ProgramData\KUMCL5evfpEh1K

2019-04-15 23:25 - 2019-04-15 23:25 - 000000000 ____D C:\Program Files (x86)\TigerTrade

2019-04-15 23:23 - 2019-04-15 23:23 - 000722944 _____ C:\Users\Artur\AppData\Local\sha.db

2019-04-15 23:23 - 2019-04-15 23:23 - 000140800 _____ C:\Users\Artur\AppData\Local\installer.dat

2019-04-15 23:23 - 2019-04-15 23:23 - 000000000 ____D C:\Users\Artur\AppData\Local\App

2019-04-15 23:22 - 2019-04-16 12:25 - 000000000 ____D C:\Users\Artur\Documents\TransactionServices Inc

2019-04-15 23:22 - 2019-04-15 23:22 - 000000000 ____D C:\ProgramData\{D97CED6F-D9E8-935F-90C4-DC1F9023854E}

2019-04-15 23:22 - 2019-04-15 23:22 - 000000000 ____D C:\ProgramData\{A25A9C6F-A8E8-E879-90B5-FA649052A335}

2019-04-15 23:22 - 2019-04-15 23:22 - 000000000 ____D C:\Program Files (x86)\Chesterson

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

4) Zrób nowe logi FRST.

 

F.

[januzi 24]

jeszcze to wygląda podejrzanie

 

Task: {E1833598-8132-4CAD-AD7B-5E4893FBE259} - System32\Tasks\Opera scheduled Autoupdate 2021791044 => C:\Users\Artur\AppData\Roaming\Microsoft\Windows\vbcvawua\fecvetdh.exe () [brak podpisu cyfrowego]

 

(2019-04-14 13:19 - 2019-03-21 04:09 - 000218624 ___SH () [brak podpisu cyfrowego] C:\Users\Artur\AppData\Roaming\Microsoft\Windows\vbcvawua\fecvetdh.exe)

 

jestem na 99% pewien, że opera nie robiłaby losowej nazwy katalogu i pliku i nie udawałaby, że jest fragmentem windowsa

[filutka78 11]

-->@januzi

 

Rzeczywiście, zapomniałam dać do usuwania to Zaplanowane Zadanie, choć dałam do usuwania folder:

RemoveDirectory: C:\Users\Artur\AppData\Roaming\Microsoft\Windows\vbcvawua

 

EDIT:

już poprawiłam swój skrypt usuwający: dodałam tam to Zaplanowane Zadanie.

 

F.

[Arczieku 0]

-->@januzi

 

Rzeczywiście, zapomniałam dać do usuwania to Zaplanowane Zadanie, choć dałam do usuwania folder:

 

 

EDIT:

już poprawiłam swój skrypt usuwający: dodałam tam to Zaplanowane Zadanie.

 

F.

 

 

Dziękuje za pomoc, nadal to samo po usunięciu może mniej reklam

 

1) Te skróty przeglądarek dam do usunięcia - bo przekierowują do fałszywej przeglądarki "Browsers), która wygląda dokładnie tak samo, jak oryginalna przeglądarka, ale to Trojan.

 

Potem zrobisz sobie nowe skróty w tych samych lokalizacjach.

 

2)

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi

i go uruchom jako Administator.

 

3) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

4) Zrób nowe logi FRST.

 

F.

 

log z usunięcia http://www.wklejto.pl/732844

 

logi

 

http://www.wklejto.pl/732849

http://www.wklejto.pl/732850

http://www.wklejto.pl/732851

 

Liczę na wsparcie, laptop jest mi niezbędny

[Gość]

Dziękuje za pomoc, nadal to samo po usunięciu może mniej reklam

Poczekaj na odpowiedź filutki bo nie wszystkie infekcje zostały skutecznie usunięte za pierwszym razem przez naprawę w FRST.

[filutka78 11]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\Program Files\FileZilla FTP Client\BJVN1GB

HKU\S-1-5-21-2528228634-3579518835-2351681602-1001\...\Run: [hsdfb8asdad7sdfbsZYSXa] => C:\Users\Artur\AppData\Local\Temp\8A83.tmp.exe [269312 2019-04-16] () [brak podpisu cyfrowego] <==== UWAGA

HKU\S-1-5-21-2528228634-3579518835-2351681602-1001\...\Run: [-FPQN4L5-p.exe] => C:\Program Files\FileZilla FTP Client\BJVN1GB\-FPQN4L5-p.exe [245760 2019-04-15] () [brak podpisu cyfrowego]

RemoveDirectory: C:\ProgramData\hsdfb8asdad7sdfbsZYSXa

Task: {FD023094-A54D-4008-BE8B-08DCB7A4C98E} - \Opera scheduled Autoupdate 2021791044 -> Brak pliku <==== UWAGA

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

[Arczieku 0]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

 

 

Nowe logi

 

http://www.wklejto.pl/732993

http://www.wklejto.pl/732995

http://www.wklejto.pl/732996

[filutka78 11]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\ProgramData\hsdfb8asdad7sdfbsZYSXa

HKU\S-1-5-21-2528228634-3579518835-2351681602-1001\...\Run: [hsdfb8asdad7sdfbsZYSXa] => C:\Users\Artur\AppData\Local\Temp\8A83.tmp.exe [269312 2019-04-16] () [brak podpisu cyfrowego] <==== UWAGA

C:\ProgramData\lock.dat

C:\ProgramData\ts.dat

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

aszUYSxaasdads7d8bdfsds.exe

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

aszUYSxaasdads7d8bdfsds.exe

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

Zrób nowy log FRST, już bez Addition, i bez Shortcut.

 

F.

[Arczieku 0]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

 

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

 

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

 

Zrób nowy log FRST, już bez Addition, i bez Shortcut.

 

F.

 

 

hej

 

http://www.wklejto.pl/733004

 

http://www.wklejto.pl/733009

 

http://www.wklejto.pl/733011

http://www.wklejto.pl/733012

http://www.wklejto.pl/733013

 

jest już lepiej dziękuje

[filutka78 11]

To diabelstwo stale powraca, choć, wg wyszukiwania, nic go nie ściąga, nic go nie ożywia.

Zagadka.

 

Wejdź w Tryb Awaryjny (F8 przed startem Systemu).

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

C:\ProgramData\hsdfb8asdad7sdfbsZYSXa\aszUYSxaasdads7d8bdfsds.exe

RemoveDirectory: C:\ProgramData\hsdfb8asdad7sdfbsZYSXa

StartRegedit:

Windows Registry Editor Version 5.00

 

[HKEY_USERS\S-1-5-21-2528228634-3579518835-2351681602-1001\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]

"aszUYSxaasdads7d8bdfsds.exe"=-

EndRegedit:

HKU\S-1-5-21-2528228634-3579518835-2351681602-1001\...\Run: [hsdfb8asdad7sdfbsZYSXa] => C:\Users\Artur\AppData\Local\Temp\8A83.tmp.exe [269312 2019-04-16] () [brak podpisu cyfrowego] <==== UWAGA

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

[Arczieku 0]

To diabelstwo stale powraca, choć, wg wyszukiwania, nic go nie ściąga, nic go nie ożywia.

Zagadka.

 

Wejdź w Tryb Awaryjny (F8 przed startem Systemu).

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

 

Hej

wg mnie jest ok ale proszę o sprawdzenie.

http://www.wklejto.pl/733370

http://www.wklejto.pl/733372

http://www.wklejto.pl/733373

[filutka78 11]

Tak, jest OK.

 

F.