Dziwne zachowanie komputera, otwierają się podejrzane okna


(dragen) #1

Witam, proszę o pomoc, otwiera mi się jakiś syf, blokuje to w sumie antywir, spyhunter znalazł 111 zagrożeń, ale jest płatny i drogi, znalazł min. coś ala  "terra.im"  i inne, czym tu skanować takie coś na przyszłość ??  Malwarebytes nie widzi nic :( Anty też..


(Acorus) #2

Pokaż logi z aktualnej wersji FRST http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

FRST version is 227 days old and could be outdated


(dragen) #3

 

OK, dzięki, zrobiłem edycję posta


(Acorus) #4

Odinstaluj SpyHunter 4.Otwórz notatnik systemowy i wklej:

Task: {3E2F3F03-DCB5-40F4-8546-00846BAAFCD7} - System32\Tasks\SpyHunter4Startup = C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-09-20] (Enigma Software Group USA, LLC.)
Task: {778C1ED4-CE08-486C-9788-D6CE911402C6} - System32\Tasks\{15974F54-AFF9-4BC2-AE52-9540076C8EAE} = Chrome.exe http://ui.skype.com/ui/0/7.7.0.103/pl/abandoninstall?source=lightinstalleramp;page=tsBing
ShellIconOverlayIdentifiers: [OneDrive1] - {BBACC218-34EA-4666-9D7A-C78F2274A524} = Brak pliku
ShellIconOverlayIdentifiers: [OneDrive2] - {5AB7172C-9C11-405C-8DD5-AF20F3606282} = Brak pliku
ShellIconOverlayIdentifiers: [OneDrive3] - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} = Brak pliku
ShellIconOverlayIdentifiers: [OneDrive4] - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} = Brak pliku
ShellIconOverlayIdentifiers: [OneDrive5] - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} = Brak pliku
ShellIconOverlayIdentifiers-x32: [OneDrive1] - {BBACC218-34EA-4666-9D7A-C78F2274A524} = Brak pliku
ShellIconOverlayIdentifiers-x32: [OneDrive2] - {5AB7172C-9C11-405C-8DD5-AF20F3606282} = Brak pliku
ShellIconOverlayIdentifiers-x32: [OneDrive3] - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} = Brak pliku
ShellIconOverlayIdentifiers-x32: [OneDrive4] - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} = Brak pliku
ShellIconOverlayIdentifiers-x32: [OneDrive5] - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} = Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKU\S-1-5-21-1689863419-2369483584-1389092369-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://terra.im/?sid=101
SearchScopes: HKU\S-1-5-21-1689863419-2369483584-1389092369-1001 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1689863419-2369483584-1389092369-1001 - {32188D76-9131-490D-937B-689D0477A669} URL =
CHR StartupUrls: Default - "hxxp://avg.nation.com/avgtbavg/search/home?cid={4C270E69-6AAB-4FB2-8556-150D2621C970}mid=98f21dcfaef047d3b6c8dd29303621dd-162fe64ad97a9c68e4365c4d9c5a1ba7b681a822lang=plds=AVGcoid=avgtbavgpr=frd=2013-09-28 11:03:29v=17.0.1.7pid=nationsg=sap=hpcmpid=0913b","hxxp://avg.nation.com/avgtbavg/search/home?cid={4C270E69-6AAB-4FB2-8556-150D2621C970}mid=98f21dcfaef047d3b6c8dd29303621dd-162fe64ad97a9c68e4365c4d9c5a1ba7b681a822lang=plds=AVGcoid=avgtbavgpr=frd=2013-09-28 11:03:29v=17.0.1.12pid=nationsg=0sap=hpcmpid=0913b","hxxp://mysearch.avg.com?cid={68F7D6E6-EB07-4636-94C3-D36A93E180FB}mid=98f21dcfaef047d3b6c8dd29303621dd-162fe64ad97a9c68e4365c4d9c5a1ba7b681a822lang=plds=AVGcoid=avgtbavgcmpid=pr=frd=2014-04-21 14:29:40v=18.0.5.292pid=safeguardsg=sap=hp","hxxp://avg.nation.com/avgtbavg/search/home?cid={68F7D6E6-EB07-4636-94C3-D36A93E180FB}mid=98f21dcfaef047d3b6c8dd29303621dd-162fe64ad97a9c68e4365c4d9c5a1ba7b681a822lang=plds=AVGcoid=avgtbavgpr=frd=2013-09-28 11:03:29v=18.0.5.292pid=nationsg=sap=hpcmpid=0913b
hxxp://avg.nation.com/avgtbavg/search/home?cid={4C270E69-6AAB-4FB2-8556-150D2621C970}mid=98f21dcfaef047d3b6c8dd29303621dd-162fe64ad97a9c68e4365c4d9c5a1ba7b681a822lang=plds=AVGcoid=avgtbavgpr=frd=2013-09-28 11:03:29v=17.0.1.12pid=nationsg=0sap=hpcmpid=0913b
hxxp://mysearch.avg.com?cid={68F7D6E6-EB07-4636-94C3-D36A93E180FB}mid=98f21dcfaef047d3b6c8dd29303621dd-162fe64ad97a9c68e4365c4d9c5a1ba7b681a822lang=plds=AVGcoid=avgtbavgcmpid=pr=frd=2014-04-21 14:29:40v=18.0.5.292pid=safeguardsg=sap=hp","hxxp://mysearch.avg.com?cid={68F7D6E6-EB07-4636-94C3-D36A93E180FB}mid=98f21dcfaef047d3b6c8dd29303621dd-162fe64ad97a9c68e4365c4d9c5a1ba7b681a822lang=plds=AVGcoid=avgtbavgcmpid=pr=frd=2014-04-21 14:29:40v=18.1.0.443pid=safeguardsg=sap=hp"
CHR HKU\S-1-5-21-1689863419-2369483584-1389092369-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
R2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [1026944 2015-09-20] (Enigma Software Group USA, LLC.)
R3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [15920 2015-09-20] (Enigma Software Group USA, LLC.)
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-09-20] ()
2015-09-20 10:49 - 2015-09-20 10:49 - 00007911 _____ C:\Users\raff\Desktop\SpyHunter_4 3 32 3239_[ENG]_[Portable][Torrenty.org].torrent
2015-09-20 10:39 - 2015-09-20 10:39 - 00000000 ____ D C:\AdwCleaner
2015-09-20 09:38 - 2015-09-20 09:38 - 00000000 _____ C:\autoexec.bat
2015-09-20 09:37 - 2015-09-20 09:37 - 00003320 _____ C:\WINDOWS\System32\Tasks\SpyHunter4Startup
2015-09-20 09:37 - 2015-09-20 09:37 - 00001110 _____ C:\Users\raff\Desktop\SpyHunter.lnk
2015-09-20 09:37 - 2015-09-20 09:37 - 00000000 ____ D C:\Users\raff\AppData\Roaming\Enigma Software Group
2015-09-20 09:37 - 2015-09-20 09:37 - 00000000 ____ D C:\sh4ldr
2015-09-20 09:36 - 2015-09-20 09:36 - 03237248 _____ (Enigma Software Group USA, LLC.) C:\Users\raff\Desktop\SpyHunter-Installer.exe
2015-09-20 09:36 - 2015-09-20 09:36 - 00022704 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
2015-09-20 09:36 - 2015-09-20 09:36 - 00000000 ____ D C:\Program Files\Enigma Software Group
2015-08-30 02:18 - 2015-08-30 23:58 - 00000000 ____ D C:\Users\raff\AppData\Roaming\Baidu
2015-08-30 02:18 - 2015-08-30 23:58 - 00000000 ____ D C:\Program Files (x86)\baidu
2015-08-30 02:18 - 2015-08-30 03:21 - 00000000 ____ D C:\ProgramData\Baidu
2015-08-30 02:18 - 2015-08-30 02:18 - 00000000 ____ D C:\Users\Public\Documents\Baidu
C:\ProgramData\MakeMarkerFile.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware https://www.malwarebytes.org/downloads/


(dragen) #5

Zrobiłem, ale po restarcie i odpaleniu chrome, dalej to samo, antywirus blokuje podejrzaną stronę, która chce się zrobić startową, to samo co wcześniej, dodatkowe okno itd…

 

Strona która chce się wbić to  “mynavpage” , czyli dalej coś musi być,  Mbam nie widzi absolutnie nic…co też dziwne…


(Acorus) #6

Skasuj folder C:\FRST

Odinstaluj Chrome zaznaczając usunięcie danych przeglądania.


(dragen) #7

Dzięki wielkie, pomogło, co prawda zrobiłem jeszcze czyszczenie adwcleanerem, usunął trochę folderów, i reg-ów i innych i widać system odpala się szybciej ( wcześniej było mega wolno ) 

 

Jakich programów używać do szukania takich syfów?? adw, mbam, co jeszcze??

 

Załączyć kontrolnie raport po usunięciu??


(Acorus) #8

Jak wszystko gra to skasuj folder C:\FRST.