Przeglądarka sama się włącza i wyskakują różne okna


(lolti) #1

Witam. Podczas przeglądania internetu niestety z własnej winy kliknąłem w jakiś link i natychmiast zalała mnie fala otwieranych okien przeglądarki, zaczęły się instalować jakieś programy i generalnie komputer został zarażony jakimś syfem. odłączyłem się od sieci, co powstrzymało chwilowo destrukcję. Przeskanowałem już chyba kilkanaście razy adwcleanerem i nieco pomógł ale niestety nadal wykrywa za każdym razem jakieś zagrożenia. Po restarcie sytuacja już się nie zmienia. Nadal wyskakują okienka z chińskimi znaczkami, i przeglądarka się sama uruchamia od czasu do czasu.
Bardzo proszę o pomoc.
logi:
FRST: http://www.wklej.org/id/3039604/
Addition: http://www.wklej.org/id/3039608/
Shortcut: http://www.wklej.org/id/3039610/


(Acorus) #2

Otwórz notatnik systemowy i wklej:

CloseProcesses:
Task: {0F37E7FD-5E12-48BE-B3D2-9141BF91B26F} - System32\Tasks\Tuwishprikudom Agent => C:\Program Files (x86)\Gherwaspanasution\planut.exe [2017-02-10] (Glarysoft Ltd)
Task: {1225BDFC-1A7F-440F-9E6A-EE91305C8568} - System32\Tasks\Niiseclajuent => msiexec/i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=SAMSUNGXSATAXSSD_00000000000000&v=2017210 /q
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
Hosts:
HKU\S-1-5-21-3002297080-1228696134-1154815685-1001…\StartupApproved\Run: => "jtN552vxrs.exe"
HKU\S-1-5-21-3002297080-1228696134-1154815685-1001…\StartupApproved\Run: => "pI6-C8tnMB.exe"
FirewallRules: [{85CE7171-7981-4DD3-9D4E-371E81660019}] => C:\Windows\Temp\9D71.tmp
HKU\S-1-5-21-3002297080-1228696134-1154815685-1001…\Run: [jtN552vxrs.exe] => C:\Users\DAREK\AppData\Local\Temp{1ec-87-77-ed456-b2387-3c55-d764c}\jtN552vxrs.exe -r1_1 -r2_1 <===== UWAGA
HKU\S-1-5-21-3002297080-1228696134-1154815685-1001…\Run: [pI6-C8tnMB.exe] => C:\Users\DAREK\AppData\Local\Temp{1ec-87-77-ed456-b2387-3c55-d764c}\pI6-C8tnMB.exe 1 0 <===== UWAGA
HKLM…\Providers\m75pkb0c: C:\Program Files (x86)\Tuwishprikudom Agent\local64spl.dll [312832 2017-02-10] ()
ShellExecuteHooks: Brak nazwy - {7FF42358-ECD1-11E6-946D-64006A5CFC23} - C:\Users\DAREK\AppData\Roaming\Prilecergutain\Woatdrusent.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-02-10] ()
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku
HKU\S-1-5-21-3002297080-1228696134-1154815685-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPg7lDWkjCrgzmou1kcWXZ8IVLRuLdoOSb5RRXdwalOC1nafV_sc8QFiuXnglc8RWn7ocaeF_YSbb2AmMPavY3gZnlmH_3L6nOBL6KGgGr1ifJ-y2zkPe4PUC1TZn0lFp2D0zUxhnYOeo2ZiRZHxLbhSOYmV7X1dwFc8cFC0Ty&q={searchTerms}
HKU\S-1-5-21-3002297080-1228696134-1154815685-1001\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
FF SearchPlugin: C:\Users\DAREK\AppData\Roaming\Mozilla\Firefox\Profiles\2v28lpad.default\searchplugins\m75pkb0c.xml [2017-02-10]
CHR HKU\S-1-5-21-3002297080-1228696134-1154815685-1001\SOFTWARE\Google\Chrome\Extensions…\Chrome\Extension: [jlcgehabolcakkjhgmgpkagpolbjlhfa] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32…\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
S2 serverss; C:\Windows\Temp\9D72.tmp [X]
S2 serverws; C:\Windows\Temp\9D71.tmp [X]
2017-02-10 16:51 - 2017-02-10 16:51 - 00000000 ____D C:\Users\DAREK\AppData\Roaming\KuaiZip
2017-02-10 16:29 - 2017-02-10 16:29 - 00000000 ____D C:\Users\DAREK\AppData\Local\UCBrowser
2017-02-10 16:06 - 2017-02-10 16:48 - 00000000 ____D C:\AdwCleaner
2017-02-10 15:51 - 2017-02-10 15:51 - 00000000 ____H C:\Windows\system32\BIT82BE.tmp
2017-02-10 15:50 - 2017-02-10 15:50 - 00000903 _____ C:\Users\DAREK\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
2017-02-10 15:50 - 2017-02-10 15:50 - 00000000 ____D C:\Program Files\żěŃą
2017-02-10 15:47 - 2017-02-10 16:02 - 00000000 ____D C:\Users\DAREK\AppData\Roaming\Prilecergutain
2017-02-10 15:47 - 2017-02-10 15:47 - 00006146 _____ C:\Windows\System32\Tasks\Tuwishprikudom Agent
2017-02-10 15:47 - 2017-02-10 15:47 - 00003746 _____ C:\Windows\System32\Tasks\Niiseclajuent
2017-02-10 15:47 - 2017-02-10 15:47 - 00000000 ____D C:\Program Files (x86)\Tuwishprikudom Agent
2017-02-10 15:47 - 2017-02-10 15:47 - 00000000 ____D C:\Program Files (x86)\Gherwaspanasution
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.
Przeskanuj progr. Malwarebytes Anti-Malware http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
Pokaż nowy raport z FRST bez Addition i Shortcut.


(lolti) #3

Program cały czas pracuje. U góry widnieje napis: Naprawa w toku, proszę czekaj.
Czy to tak długo ma trwać? Już ponad 10 minut.


(Acorus) #4

Cierpliwości.Ma co robić.


(lolti) #5

Minęło około godziny i program FRST nadal pracuje. Ale nie widać po diodach laptopa (procek, dysk), żeby coś się działo. A ten program Malwarebytes Anti-Malware to dopiero po zakończonym naprawianiu mam uruchomić?


(Acorus) #6

Przerwij.Przeskanuj Malwarebytesem.Pokaż nowe logi z FRST.


(lolti) #7

Ok. Przerwałem i przeskanowałem od nowa FRST
logi:
FRST: http://www.wklej.org/id/3039656/
Addition: http://www.wklej.org/id/3039659/
Shortcut: http://www.wklej.org/id/3039661/

Teraz instaluję tego Malwarebytesa i również przeskanuję.


(Acorus) #8

Nowe logi pokaż po przeskanowaniu Malwarebytesem.


(lolti) #9

Anti malware skończył skanowanie. Wykrył zagrożenia. I mam wielki przycisk USUŃ ZAGROZENIA. Mam to zrobić? (sorry ze tak infantylnie pytam, ale nie chcę popełnić błędu).


(Acorus) #10

A jak myślisz?Po co było to skanowanie?


(lolti) #11

Przepraszam. To było naprawdę głupie. :wink:
Po usunięciu zagrożeń zażądało restartu, co oczywiście zrobiłem i przeskanowałem na nowo FRST. Podczas tego skanowania AntiMalware wyskoczył kilka razy z komunikatem, ze zablokowano niepożądaną stronę.
Logi:
FRST: http://www.wklej.org/id/3039681/
Addition: http://www.wklej.org/id/3039683/
Shortcut: http://www.wklej.org/id/3039685/


(Acorus) #12

Wykonaj w trybie awaryjnym:


Otwórz notatnik systemowy i wklej:

HKU\S-1-5-21-3002297080-1228696134-1154815685-1001…\StartupApproved\Run: => "jtN552vxrs.exe"
HKU\S-1-5-21-3002297080-1228696134-1154815685-1001…\StartupApproved\Run: => "pI6-C8tnMB.exe"
ShellExecuteHooks: Brak nazwy - {7FF42358-ECD1-11E6-946D-64006A5CFC23} - C:\Users\DAREK\AppData\Roaming\Prilecergutain\Woatdrusent.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku
HKU\S-1-5-21-3002297080-1228696134-1154815685-1001\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
CHR HKLM-x32…\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
S2 serverss; C:\Windows\Temp\9D72.tmp [X]
S2 serverws; C:\Windows\Temp\9D71.tmp [X]
S2 Stuhoph; C:\Program Files (x86)\Gherwaspanasution\cgghtdeberkmnt.dll [X]
2017-02-10 16:29 - 2017-02-10 16:29 - 00000000 ____D C:\Users\DAREK\AppData\Local\UCBrowser
2017-02-10 16:06 - 2017-02-10 16:48 - 00000000 ____D C:\AdwCleaner
2017-02-10 15:50 - 2017-02-10 18:55 - 00000947 _____ C:\Users\DAREK\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
2017-02-10 15:47 - 2017-02-10 16:02 - 00000000 ____D C:\Users\DAREK\AppData\Roaming\Prilecergutain
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.
Zapisując Fixlist kodowanie ustaw na UTF-8
Pokaż nowy raport z FRST bez Addition i Shortcut.


(lolti) #13

No więc jestem cały czas w trybie awaryjnym. Plik fixlist utworzyłem z UTF-8. Fabar wystartował pół godziny temu i nadal mieli, podobnie jak przy pierwszym naprawianiu. Zauważyłem że w folderze obok fabara utworzył się plik Fixlog.txt
jego zawartość:
http://www.wklej.org/id/3039727/


(lolti) #14

Nadal wiszę w awaryjnym, a Fabar działa. Nic się nie dzieje.


(lolti) #15

Wróciłem do normalnego trybu. Komputer wydaje się działać poprawnie. Mimo to przeskanowałem dwukrotnie jeszcze AntiMalwarem i wykrył zagrożenia, usunąłem je. Program wymusił restarty systemu.
Następnie odinstalowałem dwa dziś zainstalowane programy (rano, jeszcze przed zdarzeniem) i ręcznie pousuwałem pozostałości z ProgramFiles.
Sprawdziłem działanie większości moich programów i nie budzą one zastrzeżeń.
Uzywając DelFixa usunąłem pozostałości po Fabarze i ADWceanerze.
Wczoraj miałem małą aktualizację systemu, więc utworzył mi się punkt przywracania. Korzystając z niego przywróciłem system do tych ustawień. Przywracanie przebiegło pomyślnie.
Pobrałem ponownie Fabara i przeskanowałem komputer.

Bardzo proszę jeszcze raz o sprawdzenie logów:
FRST: http://www.wklej.org/id/3039851/
Addition: http://www.wklej.org/id/3039852/
Shortcut: http://www.wklej.org/id/3039854/


(Acorus) #16

Nic szkodliwego nie widać.


(lolti) #17

No to bardzo się cieszę. Nie mniej jeszcze w nocy spotkało mnie coś dziwnego. Wyłączyłem laptopa i przypomniałem sobie że jeszcze coś miałem zrobić więc włączyłem na nowo. Po uruchomieniu systemu pojawiło sie takie okno


Zainstalowała sie jakaś przeglądarka, oraz wyszukiwarka “search”. Usunąłem to przez “dodaj usuń programy” i przeskanowałem adw cleaner. Znalazł zagrożenia i usunął. Przeskanowałem drugi raz i nie wykryto zagrożeń. Od taj pory wszystko mi działa poprawnie. Czy coś powinienem jeszcze zrobić?
I tak w ogóle to dziękuję za czas mi poświęcony.
EDIT:
To czy jeszcze coś robić??? Czy temat do zamknięcia?