rafik86
22 Grudzień 2014 16:59
#1
Witam. Kuzyn poprosił mnie o posprzątanie komputera. Objawy były typowe dla wirusów: spowolnienie komputera i prędkości internetu - plik z instalką anti-malware 20MB ściągał się ponad 5 minut na stałym łączu, przy przeglądaniu internetu wyskakiwały reklamy które uniemożliwiały przeglądanie. Przeprowadziłem dwukrotnie pełne skanowanie zaktualizowanym malwarebytes anti-malware oraz skanowanie adwcleanerem.
Oto logi wykonane po wszystkim:
http://www.wklej.org/id/1565140/ - FRST
http://www.wklej.org/id/1565141/ - Addition (FRST)
http://www.wklej.org/id/1565144/ - OTL
Z pomocą malwarebytes zostały usunięte takie zagrożenia jak:
adware.eorezo
adware.tuto4pc
trojan.eorezo
trojan.rotbrowse
trojan.rotbrow.a
oraz mnóstwo plików PUP
Proszę o ostateczną pomoc w wyczyszczeniu pozostałości po zainfekowanych plikach.
Acorus
22 Grudzień 2014 17:12
#2
Otwórz notatnik systemowy i wklej:
Google Update Helper (x32 Version: 1.3.23.0 - BonanzaDeals) Hidden ==== ATTENTION
Task: {6985B632-B022-45C0-BEE2-5CD77DE4FBEF} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3030011158-566063244-2941247180-1002UA = C:\Users\Użytkownik\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-05-19] (Facebook Inc.)
Task: {BB4ED102-31F0-4EDF-A41F-E66D2145DE22} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3030011158-566063244-2941247180-1002Core = C:\Users\Użytkownik\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-05-19] (Facebook Inc.)
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3030011158-566063244-2941247180-1002Core.job = C:\Users\U|ytkownik\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3030011158-566063244-2941247180-1002UA.job = C:\Users\U|ytkownik\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM-x32\...\Run: [RemoteControl10] = C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe [91432 2012-03-28] (CyberLink Corp.)
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated)
HKU\S-1-5-21-3030011158-566063244-2941247180-1002\...\Run: [Facebook Update] = "C:\Users\U
HKU\S-1-5-21-3030011158-566063244-2941247180-1002\...\Run: [Overwolf] = ytkownik\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
URLSearchHook: [S-1-5-21-3030011158-566063244-2941247180-1001] ATTENTION == Default URLSearchHook is missing.
SearchScopes: HKLM - {B12CCC10-B7BD-48A9-A848-59D20AC3B3FC} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8tag=hp-uk3-vsb-21link%5Fcode=qsindex=apsfield-keywords={searchTerms}
SearchScopes: HKLM-x32 - {B12CCC10-B7BD-48A9-A848-59D20AC3B3FC} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8tag=hp-uk3-vsb-21link%5Fcode=qsindex=apsfield-keywords={searchTerms}
SearchScopes: HKLM-x32 - {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://pl.search.yahoo.com/search?p={searchTerms}ei={inputEncoding}fr=chr-hp-psgtype=HPNTDF
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3030011158-566063244-2941247180-1001 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3030011158-566063244-2941247180-1002 - {B12CCC10-B7BD-48A9-A848-59D20AC3B3FC} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8tag=hp-uk3-vsb-21link%5Fcode=qsindex=apsfield-keywords={searchTerms}
U4 BthAvrcpTg; No ImagePath
U4 BthHFEnum; No ImagePath
U4 bthhfhid; No ImagePath
S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [X]
2014-12-22 11:44 - 2014-12-22 11:44 - 00783400 _____ (Elex do Brasil Participações Ltda) C:\Users\Użytkownik\Downloads\yet_another_cleaner_reh.exe
2014-12-22 11:13 - 2014-12-22 11:49 - 00000000 ____ D () C:\AdwCleaner
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
rafik86
22 Grudzień 2014 18:07
#3
Dziękuję za pomoc
http://www.wklej.org/id/1565227/ - FRST
http://www.wklej.org/id/1565228/ - Addition (FRST)
http://www.wklej.org/id/1565229/ - OTL
Proszę o ponowne przeanalizowanie logów, czy wszystko jest już ok.
rafik86
22 Grudzień 2014 18:32
#5
Dziękuję w takim razie za okazaną pomoc
Po wykonaniu tych czynności przesyłam następne logi: