Wkradły się wirusy - prośba o analize logów


(krysek89) #1

Cześć, mam problem ponieważ zaatakowały mój komputer jakieś wirusy.
Skanowałem Anti-MalwareBytes i AdwCleaner. Logi FRST.
FRST.txt
http://wklej.org/id/3406875/

Addition.txt
http://wklej.org/id/3406877/

Nie mogę zrobić logu OTL bo wyskakuje blad: “1/1/2099 12:00 is not a valid date and time.”
Da rade jakoś na podstawie logu FRST tylko zanalizować?


(synaptyk) #2

OTL nie jest potrzebne, FRST całkowicie wystarcza.
Po czym wnioskujesz że masz wirusy?


(krysek89) #3

Przeglądarka po wpisaniu na przykład FRST w google > wchodze na pierwszą lepszą stronę wyłącza się. To samo na firefox i edge. Niektore programy od razu po uruchomieniu wyłączają się


(krysek89) #4

Najgorsze ze odpala się jakiś nieznany proces, który zjada procesor. Ubicie go = blue screen
podejrzany_proces


(synaptyk) #5

Wrzuć pliki z rozszerzeniem .exe z katalogów
C:\Users\Krzysiek\AppData\Local\
C:\Program Files (x86)\Common Files
C:\Windows\SysWOW64\dLYAAJEWWhus.exe
na virustotal.com

Radziłbym zainstalować antywirus np. Kaspersky Free i wyłączyć ochronę aktywną jeżeli jest włączona w malwarebytes
Polecam też qBittorrent zamiast uTorrent
Możesz też odinstalować daemoon tools lite ponieważ windows 10 ma wbudowane montowanie iso
Jak nie używasz SQL Serwer to możesz to odinstalować bo jest tego pełno
W firefoxie pasuje usunąć adblock plus ponieważ jest juz ublock origin

Zainstaluj CCleaner, wejdź w narzędzia -> zaplanowane zadania i zrób screena bez trybu zaawansowanego


(Atis) #6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKU\S-1-5-21-4160064291-583773951-682678469-1003\...\RunOnce: [Application Restart #0] => C:\Windows\System32\Taskmgr.exe [1313016 2018-02-10] (Microsoft Corporation)
S1 idaubnrs; \??\C:\Windows\system32\drivers\idaubnrs.sys [X]
2099-02-01 17:19 - 18299-02-01 17:19 - 000174592 ____N (Microsoft Corporation) C:\Users\Krzysiek\AppData\Local\agmslGaWiToU.exe
2099-02-01 17:19 - 18299-02-01 17:19 - 000059904 ____N (Microsoft Corporation) C:\windows\SysWOW64\dLYAAJEWWhus.exe
2018-04-10 21:03 - 2018-04-11 19:16 - 000000000 ____D C:\AdwCleaner
18299-02-01 17:19 - 18299-02-01 17:19 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\ekOHASuY.exe
2018-04-10 19:58 - 2018-04-10 19:58 - 000000001 _____ () C:\Users\Krzysiek\AppData\Roaming\Check.txt
2018-04-10 19:59 - 2018-04-10 19:59 - 000000003 _____ () C:\Users\Krzysiek\AppData\Local\wbem.ini
Task: {E73D66FA-724A-4EC6-8C25-1EDB31EB39D4} - System32\Tasks\{341546AD-6AA0-7D3F-05A5-EF7F82D2F7EE} => C:\Program Files (x86)\Common Files\ekOHASuY.exe [18299-02-01] (Microsoft Corporation)
FirewallRules: [{80103A17-3452-4D9D-A0EA-9742788B4C68}] => (Allow) C:\Program Files (x86)\Common Files\ekOHASuY.exe
FirewallRules: [{B966D5CB-26B2-4B85-B4BA-7C2A1C060099}] => (Allow) C:\Windows\SysWOW64\dLYAAJEWWhus.exe
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(krysek89) #7

FRST.txt
http://wklej.org/id/3406927/
Fixlog.txt
http://wklej.org/id/3406928/


(krysek89) #8

Wydaje się że jest ok. Proces się nie uruchamia. przeglądarki nie wyłączają się :slight_smile: Bardzo dziękuje za pomoc


(Atis) #9

Ciekawe, bo nic nie zostało usunięte.

Nie wiem w jaki sposób skopiowałeś Fixlist, ale brakuje ukośników w ścieżkach i dlatego nic nie zostało usunięte.


(krysek89) #10

Być może ręcznie uprzednio usunąłem po odpowiedzi synaptyk.