Infekcja, proszę o sprawdzenie logów

Dla specjalistów Bezpieczeństwo
#1

Dobry wieczór

Proszę o sprawdzenie logów, komputer został zainfekowany, wstępnie przeskanowany Comodo i Malwarebytesem:

FRST:
http://www.wklej.org/id/3209326/

Addition:
http://www.wklej.org/id/3209324/

#2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKU\S-1-5-21-667350903-3262861617-4277837840-1000\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe -scheduler <==== UWAGA HKU\S-1-5-21-667350903-3262861617-4277837840-1000\...\Run: [megabits-90] => C:\ProgramData\megabits-55\megabits-19.exe [671744 2017-06-26] (Conseco lost) HKU\S-1-5-21-667350903-3262861617-4277837840-1000\...\RunOnce: [lepton-6] => C:\Users\User\AppData\Roaming\lepton-2\lepton-3.exe [704512 2017-06-26] (Asian Solutions son) HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [280576 2013-03-21] (Microsoft Corporation) HKU\S-1-5-21-667350903-3262861617-4277837840-1000\...\Winlogon: [Shell] C:\ProgramData\tdmoip-00\tdmoip-9.exe -17,explorer.exe <==== UWAGA ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smbus-09.lnk [2017-06-26] CHR HKLM\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx 2017-06-26 18:28 - 2017-06-26 18:28 - 00000000 ____D C:\Users\User\AppData\Roaming\smbus-81 2017-06-26 18:19 - 2017-06-26 18:19 - 00000000 ____D C:\ProgramData\megabits-55 2017-06-26 15:29 - 2017-06-26 15:29 - 00000000 ____D C:\Users\User\AppData\Roaming\lepton-2 2017-06-26 08:12 - 2017-06-26 08:12 - 00000000 ____D C:\ProgramData\tdmoip-00 2017-06-26 15:02 - 2012-07-31 11:49 - 00033212 _____ C:\Users\User\AppData\Roaming\wklnhst.dat 2013-04-18 06:51 - 2013-04-18 07:08 - 0000004 _____ () C:\Users\User\AppData\Roaming\skype.ini CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.30.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.31.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.33.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.32.7\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-667350903-3262861617-4277837840-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

#3

Elementy nieznalezione w fixlogu zdążyłem sam wcześniej usunąć. Widzę, że pojawiły się jakieś nowe, ale poczekam na dalsze instrukcje.

Fixlog:
http://www.wklej.org/id/3209405/

FRST:
http://www.wklej.org/id/3209404/

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKU\S-1-5-21-667350903-3262861617-4277837840-1000\...\Run: [algebra-5] => C:\ProgramData\algebra-3\algebra-70.exe [549888 2017-06-26] () C:\ProgramData\glonass-9 C:\ProgramData\algebra-3 C:\Users\User\AppData\LocalLow\Temp EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

#5

Tym razem nie usuwałem niczego sam.

fixlog:
http://www.wklej.org/id/3209761/

FRST:
http://www.wklej.org/id/3209759/

Daję jeszcze screen z dziwnymi wpisami w dzienniku Comodo:
http://imgur.com/TyPwrxY

#6

Masz wirusa którego nie widać w logach lub Comodo przeszkadza w usuwaniu.
Naprawę wykonaj w trybie awaryjnym:
http://support.eset.pl/kb2268/?viewlocale=pl_PL

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKU\S-1-5-21-667350903-3262861617-4277837840-1000\...\Run: [spice-9] => C:\ProgramData\spice-45\spice-03.exe [638976 2017-06-27] () HKU\S-1-5-21-667350903-3262861617-4277837840-1000\...\RunOnce: [taper-02] => C:\Users\User\AppData\Roaming\taper-73\taper-0.exe [602624 2017-06-27] () HKU\S-1-5-21-667350903-3262861617-4277837840-1000\...\Winlogon: [Shell] C:\ProgramData\sound-9\sound-96.exe -v,explorer.exe <==== UWAGA Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ampere-1.lnk [2017-06-27] ShortcutTarget: ampere-1.lnk -> C:\Users\User\AppData\Roaming\ampere-1\ampere-62.exe () 2017-06-27 16:16 - 2017-06-27 16:16 - 00000000 ____D C:\ProgramData\spice-45 2017-06-27 15:08 - 2017-06-27 15:08 - 00000000 ____D C:\Users\User\AppData\Roaming\taper-73 2017-06-27 11:18 - 2017-06-27 11:18 - 00000000 ____D C:\ProgramData\sound-9 2017-06-27 07:03 - 2017-06-27 07:03 - 00000000 ____D C:\Users\User\AppData\Roaming\ampere-1 EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

#7

fixlog:
http://www.wklej.org/id/3209821/

FRST:
http://www.wklej.org/id/3209823/

#8

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu

#9

Wielkie dzięki za pomoc!