Wirus, keylogger, rootkity

dawidziorek · 4 Styczeń 2015 13:50

Witam, wczoraj gdy ktos mi zmienił hasło do mojej głównej poczty, zorientowałem się że coś niegra. Przeskanowałem komputer za radą kumpla Malwarebytesem i wykryło mi dwa keyloggery, jednego trojana i parę mało istotnych innych wirusów. Wszystkie przeniosłem na kwarantannę, postanowiłem ponownie przeskanować komputer aby upewnić się że wszystko wporządku. Jednakże tak nie było, ciągle pozostaje jeden błąd który zamieszczę poniżej. Kilkukrotnie go przenosiłem na kwarantannę i nic z tego, ciągle zostaje. Ktoś na innym forum napisał mi że mogą to być rootkity i aby komputer przeskanować adw cleanerem oraz FRST i aby logi wkleić do tego działu, dlatego tak więc postanowiłem zrobić. Mógłby ktoś pomóc mi z tym błędem? Poniżej załącznik do screena z Malwarebytesa oraz logi z FRST.

YrLAzwG.png920×583

Logi FRST.txt - http://wklej.org/id/1583592/

Logi Addition.txt - http://wklej.org/id/1583593/

Logi Shortcut.txt - http://wklej.org/id/1583594/

Acorus · 4 Styczeń 2015 14:36

Odinstaluj Spybot - Search & Destroy.Otwórz notatnik systemowy i wklej:

Task: {9C786BAA-4139-4E1C-BB79-46ADCDF59A86} - System32\Tasks\{7B1C015C-2225-44A5-BB9F-1A40B458365A} = Firefox.exe http://ui.skype.com/ui/0/6.22.64.107/pl/abandoninstall?source=lightinstalleramp;page=tsInstall
AlternateDataStreams: C:\ProgramData:NT
AlternateDataStreams: C:\ProgramData:NT2
AlternateDataStreams: C:\Users\All Users:NT
AlternateDataStreams: C:\Users\All Users:NT2
AlternateDataStreams: C:\ProgramData\Application Data:NT
AlternateDataStreams: C:\ProgramData\Application Data:NT2
AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT
AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT2
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2
AlternateDataStreams: C:\Users\Dawid\Dane aplikacji:NT
AlternateDataStreams: C:\Users\Dawid\Dane aplikacji:NT2
AlternateDataStreams: C:\Users\Dawid\AppData\Roaming:NT
AlternateDataStreams: C:\Users\Dawid\AppData\Roaming:NT2
HKLM\...\Run: [HKLM] = C:\Windows\InstallDir\svhost.exe
HKU\S-1-5-21-2584800063-1671056376-2812908841-1000\...\Run: [SpybotSD TeaTimer] = C:\Program Files\Spybot - Search Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
HKU\S-1-5-21-2584800063-1671056376-2812908841-1000\...\Run: [AdobeBridge] = [X]
HKU\S-1-5-21-2584800063-1671056376-2812908841-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [SpybotSD TeaTimer] = C:\Program Files\Spybot - Search Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
HKU\S-1-5-21-2584800063-1671056376-2812908841-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [AdobeBridge] = [X]
HKU\S-1-5-21-2584800063-1671056376-2812908841-1001\...\Run: [SpybotSD TeaTimer] = C:\Program Files\Spybot - Search Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
HKU\S-1-5-21-2584800063-1671056376-2812908841-1001\...\Run: [AdobeBridge] = [X]
HKU\S-1-5-21-2584800063-1671056376-2812908841-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [SpybotSD TeaTimer] = C:\Program Files\Spybot - Search Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
HKU\S-1-5-21-2584800063-1671056376-2812908841-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [AdobeBridge] = [X]
HKU\S-1-5-21-2584800063-1671056376-2812908841-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [SpybotSD TeaTimer] = C:\Program Files\Spybot - Search Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
HKU\S-1-5-21-2584800063-1671056376-2812908841-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [AdobeBridge] = [X]
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2584800063-1671056376-2812908841-1000 - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}fr=chr-comodo
SearchScopes: HKU\S-1-5-21-2584800063-1671056376-2812908841-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}fr=chr-comodo
SearchScopes: HKU\S-1-5-21-2584800063-1671056376-2812908841-1001 - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}fr=chr-comodo
SearchScopes: HKU\S-1-5-21-2584800063-1671056376-2812908841-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}fr=chr-comodo
SearchScopes: HKU\S-1-5-21-2584800063-1671056376-2812908841-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}fr=chr-comodo
SearchScopes: HKU\S-1-5-21-2584800063-1671056376-2812908841-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}fr=chr-comodo
BHO: Spybot-SD IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search Destroy\SDHelper.dll (Safer Networking Limited)
CHR Extension: (BrowseStudio) - C:\Users\Dawid\AppData\Local\Google\Chrome\User Data\Default\Extensions\ooeeliilpmaonodidficepghngjnjjce [2014-11-26]
R2 SBSDWSCService; C:\Program Files\Spybot - Search Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)
S3 EagleXNt; \\C:\Windows\system32\drivers\EagleXNt.sys [X]
S3 FairplayKD; \\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 massfilter_lte; \\C:\Windows\system32\drivers\massfilter_lte.sys [X]
S3 taphss6; system32\DRIVERS\taphss6.sys [X]
2014-12-28 22:38 - 2015-01-04 00:07 - 00000000 ____ D () C:\Windows\InstallDir
2015-01-04 14:24 - 2014-07-11 12:42 - 00000000 ____ D () C:\AdwCleaner
C:\Users\Dawid\RX Service.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

dawidziorek · 4 Styczeń 2015 15:05

Nie pomogło, ciągle to samo.

Acorus · 4 Styczeń 2015 15:28

Pokaż nowy log z FRST bez Addition.

dawidziorek · 4 Styczeń 2015 15:51

Fixlog - http://wklej.org/id/1583704/

FRST - http://wklej.org/id/1583705/

Teraz po zaktualizowaniu Malwarebytesa(nie wiem czy to po tym) nie wynajduje on już żadnych problemów, zaktualizowałem również windows defendera i przeskanowałem komputer moim dotychczasowym antywirusem, ESET nodem 32, on też nic nie wynajduje. Mogę się czuć już bezpieczny?

Acorus · 4 Styczeń 2015 15:57

Pokazałeś stary log Frst.txt

Skasuj folder C:\FRST

dawidziorek · 4 Styczeń 2015 16:08

http://www.wklej.org/id/1583756/

Teraz powinien być chyba aktualny.

Acorus · 4 Styczeń 2015 16:16

Teraz aktualny .To wszystko.

dawidziorek · 4 Styczeń 2015 16:24

Dzięki wielkie za pomoc.