Problem z zainfekowanym po ściąganiu modów do WoT

drafter56 · 1 Sierpień 2015 00:03

Witam. Dzisiaj wieczorem chciałem lekko zmodować WoT’a i niestety zainfekowałem komputer. Ściągnąłem najpierw xvm i aktywowałem, a potem pobrałem fejk celownik i… Przez nieuwagę nie zauważyłem, że jest to plik wykonywalny (.exe) i jak już go uruchomiłem, to było za późno. Zrobiłem przywracanie systemu, ale to nie pomogło do końca, wywaliło programy, które się zainstalowały, ale coś musiało zostać. Teraz jak gram ping utrzymuje się ciągle w okolicach 100-200ms, gdzie wcześniej było to 30-50ms i to jest jedyny ślad. Antywirusy nic nie znajdują, w monitorze zasobów również nie widać nic podejrzanego, a problem jest nadal. Bardzo proszę o pomoc, bo chcę uniknąć formatowania, w dodatku boję się, że to może nie pomóc

Serdecznie pozdrawiam i dziękuję za pomoc.

@Edit: link usunięty

foni78 · 1 Sierpień 2015 04:26

Zapoznaj sie z tym tematem i przeskanuj kompa programem Adw Cleaner jesli coś znajdzie usuń to

http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/

i pokarz logi napewno ktoś pomoże.

system · 1 Sierpień 2015 07:23

Z ciekawości sprawdziłem tą stronkę co dałeś link.

Wykasuj tutaj ten adres, stwarza zagrożenie, że ktoś pobierze jakieś dziadostwo.

Już z samych komentarzy ludzi widać, że to FAKE (oryginalny plik celownika jako zip ma 1.2Mb a tu z instalatorem ma 700Kb :P, nieźle )

Do grania w WoT potrzebny Ci tylko i wyłącznie XVM (oryginalny a nie jakiś mod)- wszelkie inne dziadostwo tylko spowalnia Ci grę (tak, dokładnie, addy potrafią powodować duże spadki fps, a nawet skok pinga jak zbyt często odpytują serwer WoT).

drafter56 · 1 Sierpień 2015 07:24

Ok, zrobione. Oto logi zgodnie z poradnikiem, dzięki.

FRST http://www.wklej.org/id/1766498/

Addition http://www.wklej.org/id/1766497/

Shortcut http://www.wklej.org/id/1766496/

@Edit: Sorki, ale się zagapiłem i musiałem zrobić jeszcze raz skan FRST. AdwCleaner coś znalazł, ale problem pozostał.

Acorus · 1 Sierpień 2015 07:54

Otwórz notatnik systemowy i wklej:

HKU\S-1-5-21-833723985-2841108291-1327669637-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.yahoo.com?fr=fp-comodo
SearchScopes: HKLM-x32 - {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://ww.safetab.org/textresults.php?q={searchTerms}full=1
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-833723985-2841108291-1327669637-1000 - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}fr=chr-comodo
S3 MSICDSetup; \\D:\CDriver64.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
2015-08-01 09:32 - 2015-08-01 09:34 - 00000000 ____ D C:\AdwCleaner
2015-07-31 23:35 - 2015-08-01 00:14 - 00000000 ____ D C:\Program Files (x86)\搜狐影音
2015-07-31 23:35 - 2015-07-31 23:35 - 00000000 ____ D C:\Users\ja\Documents\搜狐影音
2015-07-31 23:35 - 2015-07-31 23:35 - 00000000 ____ D C:\Users\ja\AppData\Local\Temp尰
2015-07-31 23:33 - 2015-07-31 23:34 - 00000000 ____ D C:\ProgramData\Rising
2015-07-31 23:33 - 2015-07-31 23:34 - 00000000 ____ D C:\Program Files (x86)\Rising
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware https://www.malwarebytes.org/downloads/

drafter56 · 1 Sierpień 2015 08:26

Wklejam fixlog http://www.wklej.org/id/1766505/

Właśnie lecę skanem anti-malware.

Btw. w fixlist.txt nie zapisały się te chińskie znaczki, czy to ma jakieś znaczenie?

Dobra, po restarcie i skanie antimalware lagi ustały - sprawdzone w boju ;). Dziękuję wszystkim serdecznie za pomoc, bez Was bym sobie nie poradził!