Po włączeniu komputera hXXp://exinariuminix.info/


(dejv91) #1

Witajcie, złapałem jakieś dziadostwo na komputerze i chciałem Was prosić o pomoc w usunięciu. Po włączeniu komputera włącza się od razu Mozilla i przekierowuje mnie na stronę http://exinariuminix.info/. Antywirus ESET stronę blokuje jako potencjalne zagrożenie. Przeskanowałem komputer- nie znalazło żadnego wirusa, wyczyściłem ccleanerem, usunąłem daemon tolls, skanowałem adw cleanerem, użyłem także FRST i Delfix. Niestety żadna czynność nie przyniosła oczekiwanego rezultatu. Załączam log z Delfix.

Cytat # DelFix v1.013 - Logfile created 11/07/2018 at 23:41:21

Updated 17/04/2016 by Xplode

Username : adm - DAWID-TOSHIBA

Operating System : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Removing disinfection tools …

Deleted : C:\FRST
Deleted : C:\AdwCleaner
Deleted : C:\Users\adm\Desktop\AdwCleaner[S01].txt
Deleted : C:\Users\adm\Downloads\adwcleaner_7.2.1.exe
Deleted : C:\Users\adm\Downloads\FRST64.exe

########## - EOF - ##########

Cytat

Proszę o pomoc.


(Bogdan_G) #2

Przeskanuj roguekillerem


Wejdź potem na stronę pastebin i wklej log z usuwania. Tu zapodaj link do wklejki.


(dejv91) #3

Przeskanowało i znalazło to dziadostwo


Te 2 zaznaczone usunąłem, pozostałe zostawiłem.

https://pastebin.com/SkqJdnGT


(synaptyk) #4

Potrzebny jest raport FRST


(dejv91) #5

Włączyłem przed chwilą komputer i niestety znowu uruchomiła się przeglądarka. Proszę o plik fixlist.txt


(synaptyk) #6

Nie da rady bez logów FRST


(dejv91) #7

Addition
http://wklejto.pl/587879
FRST
http://www.wklejto.pl/587881


(synaptyk) #8

Wklej to na pastebin.com, ponieważ ucięło ukośniki a eksperci nie będą mogli zrobić fixloga.

A poza tym to oba logi to FRST a brakuje Addition


(dejv91) #9

Addition
https://pastebin.com/bFgPgnYj
FRST
https://pastebin.com/KRymL7cU


(synaptyk) #10

W programie ccleaner w zakładce narzędzia -> autostart -> zaplanowane zadania, usuń wszystkie zadania, ponieważ nie ma tam nic ważnego a jest tam odniesienie do tej strony

Potem w ccleaner zrób skan rejestru, robiąc jednocześnie jego kopię zapasową oraz usuń niepotrzebne pliki

Na koniec jeszcze raz przeskanuj komputer za pomocą RogueKiller.

Po wszystkim uruchom ponownie komputer

Napisz czy dalej to wyskakuje


(dejv91) #11

Zrobiłem tak jak napisałeś i po przeskanowaniu RougeKiller ponownie znalazło 4 błędy

Te 2 usunąłem. Po uruchomieniu komputera przeglądarka nie włączyła się. Pojawił się jedynie komunikat z Ccleanera czy chce mu pozwolić wprowadzić zmiany na tym komputerze, dałem że nie.


(Bogdan_G) #12

Masz (system32\DRIVERS\SWDUMon.sys) - to ścieżka do pliku. A wrzuć go na virus total https://www.virustotal.com/pl/
Sprawdź na virus total ten plik z program files CONEXANT.exe i CAudioFilterAgent64.exe
Zdaje się, że masz zainfekowany ster dźwięku.


(synaptyk) #13

Można to szybciej i z automatu to przeskanować za pomocą Autoruns:

Pobierz Autoruns i w Options-> Scan Options zaznacz Check VirusTotal.com i Submit Unknown Images, to powinno wysłać pliki na serwis virustotal i sprawdzić je pod kątem wirusów za pomocą różnych antywirusów, zrób screena tych elementów które mają więcej niż 5(dlatego 5 ponieważ mniej zwykle oznacza tzw Fake Alarm) wykryć czyli np. 26/68(Będą zaznaczone na czerwono)


(Bogdan_G) #14

RogueKiller - jeszcze nie spotkałem, żeby pokazywał false positive, czy fake alarmy.


(Acorus) #15

p.txt (906 bajtów)


(dejv91) #16

Panowie taki jest teraz fixlog

https://pastebin.com/SBfbmNBj

Przeskanowałem na Virustotal plik CAudioFilterAgent.exe i jest wynik 0/57.
Pliku CONEXANT.exe nie znalazłem.


(Acorus) #17

Pokaż nowe logi z FRST.


(dejv91) #18

FRST
https://pastebin.com/NvRx19Vu
Addition
https://pastebin.com/wVJUSVjV


(Acorus) #19

W logach już nie widać nic szkodliwego.Jak wszystko gra to pobierz >>>DelFix<<< http://www.bleepingcomputer.com/download/delfix/dl/281/
Zaznacz opcje:
Remove disinfection tools
Kliknij przycisk Run.


(dejv91) #20

Zrobione, przesyłam wynik. Zdaje się, że jest OK. Bardzo dziękuje Panowie za pomoc.
https://pastebin.com/1ut9jWXg