Problem z malware omiga-plus/offer4u

adekbp · 1 Luty 2015 17:39

Witam, mam problem z ze szkodliwym oprogramowaniem typu malware(tak podejrzewam). Jest to omiga-plus która wkradła mi się w przeglądarkę, oraz offer4u który otwiera mi reklamy na każdej stronie. Czyściłem programem AdCleaner ale nic nie pomogło, nadal tak samo. Pomóżcie co robić! Z góry dzięki.

Acorus · 1 Luty 2015 17:52

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.

adekbp · 1 Luty 2015 17:57

http://www.wklej.org/id/1619518/ FRST

http://www.wklej.org/id/1619520/ Addition

Acorus · 1 Luty 2015 18:09

Odinstaluj SpyHunter 4.Otwórz notatnik systemowy i wklej:

Task: {3F05FF50-5918-49A2-BB07-F555C21F8BE7} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2242336131-1871377946-4287311633-1000UA = C:\Users\Paulinka\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-09-14] (Facebook Inc.)
Task: {93ADE3A8-19FD-4194-AE9A-55B1C91EB15A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2242336131-1871377946-4287311633-1000Core = C:\Users\Paulinka\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-09-14] (Facebook Inc.)
Task: {C9BA0D6B-6BBD-4490-BA2B-6C8E1FC481B8} - System32\Tasks\{8C4EF0C9-913C-45D4-902A-BD9AD1F1D4AB} = Chrome.exe http://ui.skype.com/ui/0/6.20.0.104/pl/go/help.faq.installer?source=lightinstalleramp;LastError=1618
Task: {D9FFE77C-F11D-4E38-87F5-CB17223453EC} - System32\Tasks\SpyHunter4Startup = C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-02-01] (Enigma Software Group USA, LLC.)
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2242336131-1871377946-4287311633-1000Core.job = C:\Users\Paulinka\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2242336131-1871377946-4287311633-1000UA.job = C:\Users\Paulinka\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM\...\Run: [SunJavaUpdateSched] = C:\Program Files\Common Files\Java\Java Update\jusched.exe [256896 2014-07-25] (Oracle Corporation)
HKLM\...\Run: [RtHDVCpl] = C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe [7625248 2009-07-20] (Realtek Semiconductor)
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-2242336131-1871377946-4287311633-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2242336131-1871377946-4287311633-1001 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR StartupUrls: Default - "hxxp://isearch.omiga-plus.com/?type=hpppts=1420983987from=coruid=WDCXWD5000BEVT-22A0RT0_WD-WXA0AB9T6369T6369"
R2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [770944 2015-02-01] (Enigma Software Group USA, LLC.)
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-02-01] ()
S3 catchme; \\C:\Users\Paulinka\AppData\Local\Temp\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-02-01 18:15 - 2015-02-01 18:15 - 00001244 _____ () C:\Users\Paulinka\Desktop\SpyHunter.lnk
2015-02-01 18:15 - 2015-02-01 18:15 - 00000000 ____ D () C:\Users\Paulinka\AppData\Roaming\Enigma Software Group
2015-02-01 18:15 - 2015-02-01 18:15 - 00000000 ____ D () C:\sh4ldr
2015-02-01 18:15 - 2015-02-01 18:15 - 00000000 ____ D () C:\Program Files\Enigma Software Group
2015-02-01 18:13 - 2015-02-01 18:13 - 02998656 _____ (Enigma Software Group USA, LLC.) C:\Users\Paulinka\Downloads\SpyHunter-Installer.exe
2015-02-01 17:59 - 2015-02-01 18:01 - 00000000 ____ D () C:\AdwCleaner
2015-02-01 17:54 - 2015-02-01 17:54 - 00008163 _____ () C:\ComboFix.txt
2015-02-01 17:47 - 2011-06-26 07:45 - 00256000 _____ () C:\Windows\PEV.exe
2015-02-01 17:47 - 2010-11-07 18:20 - 00208896 _____ () C:\Windows\MBR.exe
2015-02-01 17:47 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-02-01 17:47 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-02-01 17:47 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-02-01 17:47 - 2000-08-31 01:00 - 00098816 _____ () C:\Windows\sed.exe
2015-02-01 17:47 - 2000-08-31 01:00 - 00080412 _____ () C:\Windows\grep.exe
2015-02-01 17:47 - 2000-08-31 01:00 - 00068096 _____ () C:\Windows\zip.exe
2015-02-01 17:45 - 2015-02-01 17:54 - 00000000 ____ D () C:\Qoobox
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

adekbp · 1 Luty 2015 18:23

Dzięki, najwidoczniej pomogło. Mam jeszcze pytanie odnośnie antywirusa. Czy taka opcja będzie dobra, oraz czy w ogóle ten antywirus będzie chronił komputer?

https://www.g2a.com/norton-360-1pc-180days-cd-key.html

Acorus · 1 Luty 2015 18:26

Skasuj folder C:\FRST

Zainstaluj jaki Ci odpowiada- to nieistotne.

adekbp · 1 Luty 2015 18:45

Ok, podaję jeszcze logi z drugiego komputera, co prawda działa normalnie, ale chce się upewnić że nie ma na nim syfu.

FRST: http://wklej.org/id/1619650/

Addition: http://wklej.org/id/1619653/

Czy tutaj wszystko w porządku ?

Acorus · 2 Luty 2015 08:56

Otwórz notatnik systemowy i wklej:

Task: {0CB4DF06-F2FC-4D57-92EB-F5774E9B7A3A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2460646164-2685573912-2021718449-1000Core = C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-10-16] (Facebook Inc.)
Task: {2E0C81A4-3E5D-4EC8-910E-404CA536E747} - System32\Tasks\{BB65BAAB-C27E-47F5-84F0-8E1424CCEDCD} = Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?source=lightinstalleramp;page=tsInstall
Task: {BA1AEEBD-661A-441D-8F31-C36AE71DE1C8} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2460646164-2685573912-2021718449-1000UA = C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-10-16] (Facebook Inc.)
Task: {FC153CFA-823D-498B-B180-D8B324FE9573} - \Program aktualizacji online firmy Adobe. No Task File ==== ATTENTION
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2460646164-2685573912-2021718449-1000Core.job = C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2460646164-2685573912-2021718449-1000UA.job = C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-2460646164-2685573912-2021718449-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
U2 ccEvtMgr; No ImagePath
U2 ccSetMgr; No ImagePath
S3 dump_wmimmc; \\E:\CABAL Online (EU)\GameGuard\dump_wmimmc.sys [X]
U3 navapsvc; No ImagePath
U3 SAVRT; No ImagePath
U1 SAVRTPEL; No ImagePath
U3 TlntSvr; No ImagePath
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

adekbp · 2 Luty 2015 09:14

Fixlog: http://wklej.org/id/1620465/

A jak sprawdzić czy komputer nie jest zainfekowany innymi wirusami? Bo rozumiem że program FRST wykrywa tylko malware/spyware? Czy mylę się, i wykrywa on całe zło na komputerze?

Acorus · 2 Luty 2015 09:20

Inne rzeczy też wykrywa.Skasuj folder C:\FRST