Wirus z reklamą ks.exe

larespl · 11 Wrzesień 2015 15:23

Witam, mam problem z wyskakujacymi reklamami co jakiś czas, wirus ks.exe

Prosiłbym o pomoc jak to usunąć, combofix nie poradził sobie, kaspersky rowniez.

Skany:

FRST

http://wklej.org/id/1794582/

Addition

http://wklej.org/id/1794584/

Shortcut

http://wklej.org/id/1794585/

Acorus · 11 Wrzesień 2015 15:59

Otwórz notatnik systemowy i wklej:

CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-4040580334-688418666-4135792292-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-4040580334-688418666-4135792292-1000\...\Run: [GalaxyClient] => [X]
Startup: C:\Users\Sprinter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ARCHIVER.lnk [2015-08-27]
ShortcutTarget: ARCHIVER.lnk -> C:\Users\Sprinter\AppData\Roaming\ARCHIVER.exe (ARCHIVER COMPANY 2015)
GroupPolicy: Zasady grupy Chrome wykryto <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Zasada ograniczeń <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Zasada ograniczeń <======= UWAGA
HKU\S-1-5-21-4040580334-688418666-4135792292-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Zasada ograniczeń <======= UWAGA
SearchScopes: HKLM -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL =
SearchScopes: HKU\S-1-5-21-4040580334-688418666-4135792292-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll [2014-04-09] (McAfee, Inc.)
Toolbar: HKU\.DEFAULT -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
Toolbar: HKU\S-1-5-21-4040580334-688418666-4135792292-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
FF HKU\S-1-5-21-4040580334-688418666-4135792292-1000\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: McAfee Security Scan Plus - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM-x32\...\Chrome\Extension: [hbcennhacfaagdopikcegfcobcadeocj] - C:\Program Files (x86)\Common Files\Spigot\GC\saebay_1.1.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [icdlfehblmklkikfigmjhbmmpmkmpooj] - C:\Program Files (x86)\Common Files\Spigot\GC\ErrorAssistant_1.2.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [mhkaekfpcppmmioggniknbnbdbcigpkk] - C:\Program Files (x86)\Common Files\Spigot\GC\coupons_2.4.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [pfndaklgolladniicklehhancnlgocpp] - C:\Program Files (x86)\Common Files\Spigot\GC\saamazon_1.0.crx <nie znaleziono>
S3 catchme; \\C:\ComboFix\catchme.sys [X]
S3 cpuz136; \\C:\Users\Sprinter\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WINIO; \\C:\Program Files (x86)\IVT Corporation\BlueSoleil\winio64.sys [X]
S1 {fe0d951b-f1e9-4cbc-8054-78c95ed14cc5}w64; system32\drivers\{fe0d951b-f1e9-4cbc-8054-78c95ed14cc5}w64.sys [X]
2015-09-11 15:07 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2015-09-11 15:07 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2015-09-11 15:07 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-09-11 15:07 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-09-11 15:07 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-09-11 15:07 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2015-09-11 15:07 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2015-09-11 15:07 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2015-09-11 15:06 - 2015-09-11 15:42 - 00000000 ____ D C:\Qoobox
2015-08-27 20:36 - 2015-08-27 20:36 - 0070144 _____ (ARCHIVER COMPANY 2015) C:\Users\Sprinter\AppData\Roaming\ARCHIVER.exe
2015-08-27 20:36 - 2015-08-27 20:36 - 0019968 _____ (newup) C:\Users\Sprinter\AppData\Roaming\newup.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

larespl · 11 Wrzesień 2015 16:05

Zrobione.

Jakies skany, cos dodac?

Acorus · 11 Wrzesień 2015 16:18

Jak wszystko gra to skasuj folder C:\FRST.

larespl · 11 Wrzesień 2015 16:39

Znaczy jeszcze nie wiem, jesli w ciągu 2h nie wyskoczy żadna reklama to znaczy, że wszystko gra. Także dzięki za pomoc i jbc za około 2h napisze/edytuje post czy wszystko gra.

Wszystko cacy. Dzieki za pomoc.