Upierdliwy wirus z reklamą przy starcie systemu

anon93839094 · 29 Lipiec 2015 07:43

Witam, mam problem z bardzo upierdliwym wirusem, proces tego wirusa to KS.exe ale założę się że maczał w tym palce proces ARCHIVER który mój comboFixer wykrył jako wirusa, niestety nie wykrył u mnie wszystkiego, próbowałem sabotować ręcznie wirusa, usuwać mu pliki, usuwać skrypty itd, ale upierdliwiec nie chce się odwalić, nawet specjalnie avasta premiera (30 dniową wersje próbną) ściągać i skanować, ale /cenzura/ to dało. dajcie jakiś program czy porade jak przeskanować całego kompa i jakiego skanera/antiwirusa ściągnąć. przy okazji macie screeny mojego pulpitu w tym stanie i procesów (nie pokazywałem systemowych bo po cholere :P) okienko łatwo wyłączyć, ale włącza się przy każdym starcie i mam obawy. Dodam że nie ściągałem jakiś plików z ciemnej strony internetu, czy na torrentach, wiem co ściągam, więc raczej żadnego kitu mi np. League of Legends nie wsadził

linki ze screenami:

http://iv.pl/images/16876188498522336907.png

http://iv.pl/images/60964975562565251525.png

Acorus · 29 Lipiec 2015 08:06

http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowiązkowy-t478727/

anon93839094 · 29 Lipiec 2015 08:23

http://wklej.se/d1a0

i jeszcze dodatkowo coś mi wyskoczyło z tego programu

http://wklej.se/c150

hasło do obu to 6969

Acorus · 29 Lipiec 2015 08:46

Raporty umieść na http://wklej.org/ i podaj link.

anon93839094 · 29 Lipiec 2015 08:58

okej zaznaczyłem jeszcze te haczki na dole jak w poradniku i mam jeszcze shortcut.txt

Acorus · 29 Lipiec 2015 09:12

Otwórz notatnik systemowy i wklej:

CloseProcesses:
Task: C:\Windows\Tasks\1014avtUpdateInfo.job => C:\ProgramData\Avg_Update_1014avt\1014avt_AVG-Secure-Search-Update.exe
Task: C:\Windows\Tasks\Bidaily Synchronize Task.job => C:\ProgramData\{91ec9dac-3dee-2ea1-91ec-c9dac3de76b0}\Pokemon_SoulSilver_Version_v10_EU.exe <==== ATTENTION
HKLM\...\Run: [winlogon] => wscript.exe //B "C:\Users\krzyzaq\AppData\Roaming\winlogon.vbs"
HKU\S-1-5-21-1532978699-2482315397-3577591743-1000\...\Run: [winlogon] => wscript.exe //B "C:\Users\krzyzaq\AppData\Roaming\winlogon.vbs"
Startup: C:\Users\krzyzaq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.vbs [2015-07-18] ()
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1532978699-2482315397-3577591743-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File
CHR HomePage: Default -> hxxp://start.qone8.com/?type=hp&ts=1397626152&from=smt&uid=TOSHIBAXMK1237GSX_473QT13ETXX473QT13ET
CHR StartupUrls: Default -> "hxxp://google.com/", "hxxp://www.istartsurf.com/?type=hp&ts=1428179384&from=smt&uid=TOSHIBAXMK1237GSX_473QT13ETXX473QT13ET", "hxxp://www.istartsurf.com/?type=hppp&ts=1428179394&from=smt&uid=TOSHIBAXMK1237GSX_473QT13ETXX473QT13ET", "hxxp://www.google.com/"
CHR Extension: (Wakfu) - C:\Users\krzyzaq\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcbaialfabihpdmeaejihfcoablgdaig [2015-05-26]
S3 catchme; \\C:\ComboFix\catchme.sys [X]
S3 EagleX64; \\C:\Windows\system32\drivers\EagleX64.sys [X]
S1 lwnfd_1_10_0_14; system32\drivers\lwnfd_1_10_0_14.sys [X]
S3 MSICDSetup; \\E:\CDriver64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WinRing0_1_2_0; \\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
S3 XFDriver64; \\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X]
S3 xhunter1; \\C:\Windows\xhunter1.sys [X]
2015-07-28 22:15 - 2015-07-18 15:44 - 04370680 _____ C:\Users\krzyzaq\AppData\Roaming\winlogon.vbs
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

anon93839094 · 29 Lipiec 2015 09:45

http://wklej.org/id/1764885/

Acorus · 29 Lipiec 2015 12:34

Otwórz notatnik systemowy i wklej:

2015-07-28 21:58 - 2015-07-29 09:15 - 00000000 ____ D C:\Qoobox
2015-07-28 21:58 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2015-07-28 21:58 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2015-07-28 21:58 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-07-28 21:58 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-07-28 21:58 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-07-28 21:58 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2015-07-28 21:58 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2015-07-28 21:58 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
C:\Users\krzyzaq\AppData\Local\Temp\KS.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware https://www.malwarebytes.org/downloads/

anon93839094 · 29 Lipiec 2015 13:42

nic to nie daje dodam że za każdym razem gdy ponownie włączam laptopa to ta reklama i pliki tak jakby automatycznie ponownie się tworzą. Za kazdym razem gdy mam tą reklame wyłączam ją w procesach bo nie da się z nią nic robić bo zasłania praktycznie cały pulpit.

Atis · 29 Lipiec 2015 13:52

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
Startup: C:\Users\krzyzaq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ARCHIVER.lnk [2015-07-28]
C:\Users\krzyzaq\AppData\Roaming\ARCHIVER.exe
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

anon93839094 · 29 Lipiec 2015 14:19

DZIĘKUJĘ! reklama nie wyskakuje,

Atis · 29 Lipiec 2015 14:27

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> D:\Program Files\avast\aswWebRepIE64.dll No File
2015-07-29 09:15 - 2015-07-29 09:19 - 00000000 ___SD C:\ComboFix
2015-07-21 10:32 - 2015-07-21 10:32 - 00000000 ____ D C:\Program Files\AVAST Software
2015-07-17 12:40 - 2015-07-17 12:40 - 00000000 _____ C:\Windows\SysWOW64\RENAE1D.tmp
2015-07-29 14:40 - 2015-04-22 07:24 - 00000000 ____ D C:\ProgramData\{91ec9dac-3dee-2ea1-91ec-c9dac3de76b0}
2015-07-28 22:07 - 2015-04-04 22:30 - 00000000 ____ D C:\ProgramData\TEMP
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj ESET Online Scanner