Dużo wirusów, pomoc w posprzątaniu po nich, logi OTL i FRST


(Stary Zgredek2) #1

Witam. Kuzyn poprosił mnie o posprzątanie komputera. Objawy były typowe dla wirusów: spowolnienie komputera i prędkości internetu - plik z instalką anti-malware 20MB ściągał się ponad 5 minut na stałym łączu, przy przeglądaniu internetu wyskakiwały reklamy które uniemożliwiały przeglądanie. Przeprowadziłem dwukrotnie pełne skanowanie zaktualizowanym malwarebytes anti-malware oraz skanowanie adwcleanerem.

 

Oto logi wykonane po wszystkim:

http://www.wklej.org/id/1565140/ - FRST

http://www.wklej.org/id/1565141/ - Addition (FRST)

http://www.wklej.org/id/1565144/ - OTL

 

Z pomocą malwarebytes zostały usunięte takie zagrożenia jak:

adware.eorezo

adware.tuto4pc

trojan.eorezo

trojan.rotbrowse

trojan.rotbrow.a

oraz mnóstwo plików PUP

 

Proszę o ostateczną pomoc w wyczyszczeniu pozostałości po zainfekowanych plikach.


(Acorus) #2

Otwórz notatnik systemowy i wklej:

Google Update Helper (x32 Version: 1.3.23.0 - BonanzaDeals) Hidden ==== ATTENTION
Task: {6985B632-B022-45C0-BEE2-5CD77DE4FBEF} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3030011158-566063244-2941247180-1002UA = C:\Users\Użytkownik\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-05-19] (Facebook Inc.)
Task: {BB4ED102-31F0-4EDF-A41F-E66D2145DE22} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3030011158-566063244-2941247180-1002Core = C:\Users\Użytkownik\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-05-19] (Facebook Inc.)
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3030011158-566063244-2941247180-1002Core.job = C:\Users\U|ytkownik\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3030011158-566063244-2941247180-1002UA.job = C:\Users\U|ytkownik\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM-x32\...\Run: [RemoteControl10] = C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe [91432 2012-03-28] (CyberLink Corp.)
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated)
HKU\S-1-5-21-3030011158-566063244-2941247180-1002\...\Run: [Facebook Update] = "C:\Users\U
HKU\S-1-5-21-3030011158-566063244-2941247180-1002\...\Run: [Overwolf] = ytkownik\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
URLSearchHook: [S-1-5-21-3030011158-566063244-2941247180-1001] ATTENTION == Default URLSearchHook is missing.
SearchScopes: HKLM - {B12CCC10-B7BD-48A9-A848-59D20AC3B3FC} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8tag=hp-uk3-vsb-21link%5Fcode=qsindex=apsfield-keywords={searchTerms}
SearchScopes: HKLM-x32 - {B12CCC10-B7BD-48A9-A848-59D20AC3B3FC} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8tag=hp-uk3-vsb-21link%5Fcode=qsindex=apsfield-keywords={searchTerms}
SearchScopes: HKLM-x32 - {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://pl.search.yahoo.com/search?p={searchTerms}ei={inputEncoding}fr=chr-hp-psgtype=HPNTDF
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3030011158-566063244-2941247180-1001 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3030011158-566063244-2941247180-1002 - {B12CCC10-B7BD-48A9-A848-59D20AC3B3FC} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8tag=hp-uk3-vsb-21link%5Fcode=qsindex=apsfield-keywords={searchTerms}
U4 BthAvrcpTg; No ImagePath
U4 BthHFEnum; No ImagePath
U4 bthhfhid; No ImagePath
S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [X]
2014-12-22 11:44 - 2014-12-22 11:44 - 00783400 _____ (Elex do Brasil Participações Ltda) C:\Users\Użytkownik\Downloads\yet_another_cleaner_reh.exe
2014-12-22 11:13 - 2014-12-22 11:49 - 00000000 ____ D () C:\AdwCleaner
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Stary Zgredek2) #3

Dziękuję za pomoc :slight_smile: Po wykonaniu tych czynności przesyłam następne logi:

http://www.wklej.org/id/1565227/ - FRST

http://www.wklej.org/id/1565228/ - Addition (FRST)

http://www.wklej.org/id/1565229/ - OTL

 

Proszę o ponowne przeanalizowanie logów, czy wszystko jest już ok.


(Acorus) #4

Skasuj folder C:\FRST


(Stary Zgredek2) #5

Dziękuję w takim razie za okazaną pomoc :slight_smile: Temat uważam za zamknięty, wszystko działa poprawnie. Jeszcze raz dziękuję :slight_smile: