Problem z SurfVox (są logi)

ZawiszaTheBlack · 12 Sierpień 2015 15:52

Hej ho!

Zwracam się do Was o pomoc w walce z infekcją, która jako domyślną stronę non stop ustawia mi w przeglądarkach (IE oraz Firefox) surfvox. Mało tego - jak używam funkcji “szukaj” w FIrefox lub jej domyślnej strony, to przekierowuje mnie na Google Custom Search. Przykładowy link: http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q=google&sa=Search&ref=#gsc.tab=0&gsc.q=google&gsc.page=1

Addition:

http://www.wklej.org/id/1773822/

Shortcut:

http://www.wklej.org/id/1773823/

FRST:

http://www.wklej.org/id/1773824/

Z góry dziękuję za pomoc!

Atis · 12 Sierpień 2015 16:09

Pobierz i uruchom AdwCleaner Kliknij Skanuj i później Usuń.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [DivXMediaServer] => C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe [448520 2015-05-05] (DivX, LLC)
HKLM-x32\...\Run: [DivXUpdate] => C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe [1861968 2014-01-10] ()
GroupPolicyScripts: Group Policy detected <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2021053491-2314850192-2581586870-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2021053491-2314850192-2581586870-500 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1
SearchScopes: HKU\S-1-5-21-2021053491-2314850192-2581586870-500 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF Homepage: hxxp://www.surfvox.com
S4 Update SmarterPower; "C:\Program Files (x86)\SmarterPower\updateSmarterPower.exe" [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-08-12 16:18 - 2015-08-12 16:18 - 00063355 _____ C:\ComboFix.txt
2015-08-12 15:59 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2015-08-12 15:59 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2015-08-12 15:59 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-08-12 15:59 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-08-12 15:59 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-08-12 15:59 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2015-08-12 15:59 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2015-08-12 15:59 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2015-08-12 00:50 - 2015-08-12 15:37 - 00000000 ____ D C:\Users\Właściciel\AppData\Roaming\chportu
2015-08-12 00:50 - 2015-08-12 15:27 - 00000000 _RSHD C:\Users\Właściciel\AppData\Roaming\taskmgr
2015-08-12 00:49 - 2015-08-12 00:49 - 00000009 _____ C:\Users\Właściciel\AppData\Roaming\update.dat
2015-07-08 02:08 - 2015-07-08 02:08 - 0253196 _____ () C:\Users\Właściciel\AppData\Local\Tempdivx0dee
2015-05-19 02:43 - 2015-05-19 02:43 - 0247298 _____ () C:\Users\Właściciel\AppData\Local\Tempdivx2bd9
2015-07-08 02:08 - 2015-07-08 02:08 - 0253196 _____ () C:\Users\Właściciel\AppData\Local\Tempdivx3bda
2015-05-19 02:43 - 2015-05-19 02:43 - 0247298 _____ () C:\Users\Właściciel\AppData\Local\Tempdivx4176
2015-07-20 05:38 - 2015-07-20 05:38 - 0043494 _____ () C:\Users\Właściciel\AppData\Local\Tempdivx5b66
2015-06-08 19:45 - 2015-06-08 19:45 - 0043682 _____ () C:\Users\Właściciel\AppData\Local\Tempdivx66d5
2015-05-19 02:43 - 2015-05-19 02:43 - 0247298 _____ () C:\Users\Właściciel\AppData\Local\Tempdivx810c
2015-07-21 23:17 - 2015-07-21 23:17 - 0043494 _____ () C:\Users\Właściciel\AppData\Local\Tempdivx8a5b
2015-07-08 02:08 - 2015-07-08 02:08 - 0253196 _____ () C:\Users\Właściciel\AppData\Local\Tempdivx98d0
2015-06-10 21:51 - 2015-06-10 21:51 - 0043682 _____ () C:\Users\Właściciel\AppData\Local\Tempdivx9b74
2015-08-02 03:16 - 2015-08-02 03:16 - 0043494 _____ () C:\Users\Właściciel\AppData\Local\Tempdivxb208
2015-06-08 19:51 - 2015-06-08 19:51 - 0043682 _____ () C:\Users\Właściciel\AppData\Local\Tempdivxeb7f
Task: {27959630-1C9D-447D-B91E-E6EEB1F8F2BB} - System32\Tasks\RealDownloader Update Check => C:\Program Files (x86)\RealNetworks\RealDownloader\downloader2.exe
Task: {9ECFA917-525F-41E7-BA5A-286B35E7E31C} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.)
Task: {BF5F1DD9-78BE-47C9-9E63-21A4C98B4C7D} - System32\Tasks\ASRock Internet Setup => E:\AsrSetup.exe
Task: {EA82A9AF-955E-4FCE-9A76-7FE0F95FBDD2} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-07-07] (Adobe Systems Incorporated)
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

Acorus · 12 Sierpień 2015 16:18

Otwórz notatnik systemowy i wklej:

CloseProcesses:
HKU\S-1-5-21-2021053491-2314850192-2581586870-500\...\Run: [BaiduYunGuanjia] => D:\Programy\baidu\BaiduYunGuanjia\BaiduYunGuanjia.exe [5805336 2015-07-23] ()
GroupPolicyScripts: Group Policy detected <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2021053491-2314850192-2581586870-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-2021053491-2314850192-2581586870-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF Homepage: hxxp://www.surfvox.com
FF Extension: NetVideoHunter - C:\Users\Właściciel\AppData\Roaming\Mozilla\Firefox\Profiles\pktsvyh0.default\Extensions\netvideohunter@netvideohunter.com [2015-05-29]
S4 Update SmarterPower; "C:\Program Files (x86)\SmarterPower\updateSmarterPower.exe" [X]
S3 BaiduYunUtility; D:\Programy\baidu\BaiduYunGuanjia\YunUtilityService.exe [90392 2015-07-23] ()
S3 catchme; \\C:\ComboFix\catchme.sys [X]
S3 MSICDSetup; \\E:\CDriver64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-08-12 15:59 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2015-08-12 15:59 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2015-08-12 15:59 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-08-12 15:59 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-08-12 15:59 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-08-12 15:59 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2015-08-12 15:59 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2015-08-12 15:59 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

ZawiszaTheBlack · 14 Sierpień 2015 14:59

Wielkie dzięki! Pomogło!

Po ponownym uruchomieniu komputera Steam mi się zaktualizował, a więc być może jakieś jego pliki również był zainfekowane. W każdym razie wszystko jest teraz OK.

Acorus · 14 Sierpień 2015 15:36

Skasuj folder C:\FRST