Problem z zainfekowanym po ściąganiu modów do WoT


(Dawid Kaczmarek5) #1

Witam. Dzisiaj wieczorem chciałem lekko zmodować WoT'a i niestety zainfekowałem komputer. Ściągnąłem najpierw xvm i aktywowałem, a potem  pobrałem fejk celownik i... Przez nieuwagę nie zauważyłem, że jest to plik wykonywalny (.exe) i jak już go uruchomiłem, to było za późno. Zrobiłem przywracanie systemu, ale to nie pomogło do końca, wywaliło programy, które się zainstalowały, ale coś musiało zostać. Teraz jak gram ping utrzymuje się ciągle w okolicach 100-200ms, gdzie wcześniej było to 30-50ms i to jest jedyny ślad. Antywirusy nic nie znajdują, w monitorze zasobów również nie widać nic podejrzanego, a problem jest nadal. Bardzo proszę o pomoc, bo chcę uniknąć formatowania, w dodatku boję się, że to może nie pomóc :frowning:

 

Serdecznie pozdrawiam i dziękuję za pomoc.

 

@Edit: link usunięty :slight_smile:


(foni78) #2

Zapoznaj sie z tym tematem i przeskanuj kompa  programem Adw Cleaner jesli coś znajdzie usuń to

http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/

 

i pokarz logi napewno ktoś pomoże.


(system) #3

Z ciekawości sprawdziłem tą stronkę co dałeś link.

Wykasuj tutaj ten adres, stwarza zagrożenie, że ktoś pobierze jakieś dziadostwo.

Już z samych komentarzy ludzi widać, że to FAKE (oryginalny plik celownika jako zip ma 1.2Mb a tu z instalatorem ma 700Kb :P, nieźle )

 

Do grania w WoT potrzebny Ci tylko i wyłącznie XVM (oryginalny a nie jakiś mod)- wszelkie inne dziadostwo tylko spowalnia Ci grę (tak, dokładnie, addy potrafią powodować duże spadki fps, a nawet skok pinga jak zbyt często odpytują serwer WoT).


(Dawid Kaczmarek5) #4

Ok, zrobione. Oto logi zgodnie z poradnikiem, dzięki.

 

 

FRST http://www.wklej.org/id/1766498/

 

Addition http://www.wklej.org/id/1766497/

 

Shortcut http://www.wklej.org/id/1766496/

 

@Edit: Sorki, ale się zagapiłem i musiałem zrobić jeszcze raz skan FRST. AdwCleaner coś znalazł, ale problem pozostał.


(Acorus) #5

Otwórz notatnik systemowy i wklej:

HKU\S-1-5-21-833723985-2841108291-1327669637-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.yahoo.com?fr=fp-comodo
SearchScopes: HKLM-x32 - {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://ww.safetab.org/textresults.php?q={searchTerms}full=1
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-833723985-2841108291-1327669637-1000 - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}fr=chr-comodo
S3 MSICDSetup; \\D:\CDriver64.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
2015-08-01 09:32 - 2015-08-01 09:34 - 00000000 ____ D C:\AdwCleaner
2015-07-31 23:35 - 2015-08-01 00:14 - 00000000 ____ D C:\Program Files (x86)\搜狐影音
2015-07-31 23:35 - 2015-07-31 23:35 - 00000000 ____ D C:\Users\ja\Documents\搜狐影音
2015-07-31 23:35 - 2015-07-31 23:35 - 00000000 ____ D C:\Users\ja\AppData\Local\Temp尰
2015-07-31 23:33 - 2015-07-31 23:34 - 00000000 ____ D C:\ProgramData\Rising
2015-07-31 23:33 - 2015-07-31 23:34 - 00000000 ____ D C:\Program Files (x86)\Rising
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware https://www.malwarebytes.org/downloads/


(Dawid Kaczmarek5) #6

Wklejam fixlog http://www.wklej.org/id/1766505/

Właśnie lecę skanem anti-malware.

Btw. w fixlist.txt nie zapisały się te chińskie znaczki, czy to ma jakieś znaczenie?

Dobra, po restarcie i skanie antimalware lagi ustały - sprawdzone w boju ;). Dziękuję wszystkim serdecznie za pomoc, bez Was bym sobie nie poradził!