Wirus zmieniający nr kont

Dla specjalistów Bezpieczeństwo
#1

Witam, dziś chcąc podać znajome nr konta do przelewu spotkała mnie nie miła niespodzianka po wpisaniu jakiegokolwiek nr zmieniało mi na jakiś inny i wyczytałem ze to jakiś wirus.

 

logi nie wiem czy dobrze daje linki:

 

FRST: http://wklej.org/id/1488359/txt/

 

Addition: http://wklej.org/id/1488364/txt/

 

w razie mojej niekompetencji proszę o wyrozumiałość

#2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_35_ch&cd=2XzuyEtN2Y1L1QzutCyCtB0DtByByCtDzy0B0A0E0D0DzyyBtN0D0Tzu0SzyyBtBtN1L2XzutAtFtBtFtCtFtCtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyByCzzyD0F0Azy0BtGtAyDyC0CtGtB0Bzy0CtGtD0AtCyDtGyEyDyEtC0CtAtBzyyDzzyByE2QtN1M1F1B2Z1V1N2Y1L1Qzu2StA0F0CyEyDzzyDyDtGyEtDtC0EtGyEtAyB0CtGzz0F0A0BtGtB0CyEtDyD0D0D0DyCtAtAzy2Q&cr=1459268015&ir=
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_35_ch&cd=2XzuyEtN2Y1L1QzutCyCtB0DtByByCtDzy0B0A0E0D0DzyyBtN0D0Tzu0SzyyBtBtN1L2XzutAtFtBtFtCtFtCtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyByCzzyD0F0Azy0BtGtAyDyC0CtGtB0Bzy0CtGtD0AtCyDtGyEyDyEtC0CtAtBzyyDzzyByE2QtN1M1F1B2Z1V1N2Y1L1Qzu2StA0F0CyEyDzzyDyDtGyEtDtC0EtGyEtAyB0CtGzz0F0A0BtGtB0CyEtDyD0D0D0DyCtAtAzy2Q&cr=1459268015&ir=
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_35_ch&cd=2XzuyEtN2Y1L1QzutCyCtB0DtByByCtDzy0B0A0E0D0DzyyBtN0D0Tzu0SzyyBtBtN1L2XzutAtFtBtFtCtFtCtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyByCzzyD0F0Azy0BtGtAyDyC0CtGtB0Bzy0CtGtD0AtCyDtGyEyDyEtC0CtAtBzyyDzzyByE2QtN1M1F1B2Z1V1N2Y1L1Qzu2StA0F0CyEyDzzyDyDtGyEtDtC0EtGyEtAyB0CtGzz0F0A0BtGtB0CyEtDyD0D0D0DyCtAtAzy2Q&cr=1459268015&ir=
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_35_ch&cd=2XzuyEtN2Y1L1QzutCyCtB0DtByByCtDzy0B0A0E0D0DzyyBtN0D0Tzu0SzyyBtBtN1L2XzutAtFtBtFtCtFtCtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyByCzzyD0F0Azy0BtGtAyDyC0CtGtB0Bzy0CtGtD0AtCyDtGyEyDyEtC0CtAtBzyyDzzyByE2QtN1M1F1B2Z1V1N2Y1L1Qzu2StA0F0CyEyDzzyDyDtGyEtDtC0EtGyEtAyB0CtGzz0F0A0BtGtB0CyEtDyD0D0D0DyCtAtAzy2Q&cr=1459268015&ir=
SearchScopes: HKCU - {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = 
R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys [61072 2014-08-28] (StdLib)
C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys
C:\AdwCleaner
C:\ProgramData\SetStretch.exe
C:\ProgramData\SetStretch.VBS
C:\ProgramData\wmc.exe
Task: {1BD0D205-A9D0-4CF0-BFFB-535812195615} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe [2014-08-08] (Microsoft® Corporation)
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#3

Fixlog: http://wklej.org/id/1488762/txt/

 

Frst: http://wklej.org/id/1488767/txt/

 

Addition: http://wklej.org/id/1488768/txt/

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
C:\Users\Matii\Downloads\FRST-OlderVersion
C:\ProgramData\.windows.sys
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

#5

Raport z Malware:

2:http://wklej.org/id/1489390/txt/

 

Już po czy  coś jeszcze potrzeba?

#6

Dodaj do kwarantanny i to wszystko.