Przejrzenie logów

[MrTiranei]

Witam, jestem nowym użytkownikiem, zarejestrowałem się tutaj, ponieważ potrzebuję pomocy w oczyszczeniu komputera z wirusów, które kilka dni temu zagościły na moim laptopie.

Przeskanowalem już komputer za pomocą Malwarebytes Antimalware, Avasta oraz systemowego Defendera.

Avast oraz Defender nic nie wykryły, natomiast Malwarebytes znalazł i usunął 4wirusy.

Problem jednak nie został rozwiązany, a konkretniej - podczas korzystania z przeglądarki (Opera) losowo otwierają się stronki porno, a oprócz tego resetują się domyślne ustawienia aplikacji (domyślna przeglądarka internetu, domyślna przeglądarka zdjęć/filmów, program do muzyki itp).

 

Wklejam logi wykonane programem OTL i chciałbym prosić doświadczonych użytkowników o ich przejrzenie oraz pomoc w oczyszczeniu szkodliwego oprogramowania.

 

Z góry dziękuję za pomoc.

[Miszel03]

Przeskanowalem już komputer za pomocą Malwarebytes Antimalware, Avasta oraz systemowego Defendera.

Avast oraz Defender nic nie wykryły, natomiast Malwarebytes znalazł i usunął 4wirusy.

 

Dostarcz raporty z tych działań, o ile to jeszcze możliwe. 

 

---

 

Raporty z OTL kasuję, to stare (co za tym w tym przypadku idzie - niebezpieczne), nierozwijane już narzędzie. 

 

Dostosuj się do zasad działu i dostarcz raporty FRST oraz GMER.

[MrTiranei]

Niestety, ale logi czy też raport ze skanów Avastem, Defenderem oraz Malwarebytes już nie istnieją, natomiast zrobiłem skan programami FRST oraz GMER.

 

@edit

post wysłał się podwójnie, proszę o usunięcie jednego z nich.

 

@edit2

poprawione, dodałem shortcut.txt, teraz wszystko powinno się zgadzać

FRST.txt

Addition.txt

gmer.txt

Shortcut.txt

[Rucek]

Brakuje jednego raportu - uzupełnij.

Czytaj dokładnie wszystkie instrukcje.

[Miszel03]

Nic specjalnego to tu nie widać. Usuwam wszelkie szczątki i resztki po programach. Podaję kroki czyszczące przeglądarkę oraz skanowanie dedykowanym programem do takich infekcji. W skrótach LNK do przeglądarek zauważyłem jakąś wyszukiwarkę (launchpage.org) nigdy wcześniej jej nie widziałem i wygląda na infekcyjną - kasuję.
 
Do poczytania: KLIK.
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
Winlogon\Notify\igfxcui: igfxdev.dll [X]
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
U3 idsvc; Brak ImagePath
U3 awworpoc; \??\C:\Users\Damian\AppData\Local\Temp\awworpoc.sys [X] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D
ShortcutWithArgument: C:\Users\Damian\Desktop\lewa\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PXG Client.lnk -> C:\Users\Damian\AppData\Roaming\pxgclient\pxgclient\client\launcher.exe () -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\Default Apps.lnk -> C:\Windows\ImmersiveControlPanel\systemsettings.exe (Microsoft Corporation) -> page=SettingsPageAppsDefaults
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\Devices.lnk -> C:\Windows\ImmersiveControlPanel\systemsettings.exe (Microsoft Corporation) -> page=SettingsPagePCSystemDevices
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Gameroom.lnk -> C:\Users\Damian\AppData\Local\Facebook\Games\FacebookGameroom.exe (Facebook) -> fbgames://windows_startup/
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D
Task: {18B17FBC-4764-4B08-91BF-FFB4ECD4D661} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {5042F508-BF7C-4EE9-AA5D-165F11BF5988} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {52637AE5-512F-44D3-9B93-CE7FB1100B23} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {533898CF-6DBE-4B0E-B284-7000064A1FF8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {5441E236-4279-4CC9-B500-DA0AC9522CC2} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {54AC6516-B1BC-4CAA-A032-851C0203D5B6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {575583EF-0C25-4B05-9806-FAEF165B5D6E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {93D73D79-B6BB-41A5-A88B-B88CB4EB1388} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {AF032677-B833-47FF-A34D-DE3FCD2D93DA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {C8A53A0F-1D4A-4E14-8EBA-F35A264E82E4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D07F5D7E-18FB-4E06-914E-A4978CFE6156} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D14C1939-7496-44C3-BCC0-5D9152ED3CD6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {F3D1F045-3DCD-4CBB-A293-EFD2FBB3C512} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku C:\Users\Damian\Desktop\lewa\Launcher — skrót .lnk
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Users\Damian\AppData\Roaming\Microsoft\Office\Niedawny\Dokument.LNK
C:\Users\Damian\AppData\Roaming\Microsoft\Office\Niedawny\s.LNK
C:\Users\Damian\AppData\Roaming\Microsoft\Office\Niedawny\Słownik Symboli - WŁADYSŁAW KOPALIŃSKI.LNK
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Damian\AppData\Local\Mozilla
C:\Users\Damian\AppData\Roaming\Mozilla
C:\Users\Damian\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Wyczyść przeglądarkę Opera.

• CTRL + SHIFT + E > Skasuj wszystkie nieznane Ci i niepotrzebne rozszerzenia.
• ALT + P > Przeglądarka > Wyszukiwanie > Zarządzaj wyszukiwarkami > Skasuj wszystkie nieznane Ci i niepotrzebne wyszukiwarki.
• CTRL + SHIFT + DELETE > Wyszyć dane przeglądania zasobów internetowych od samego początku. 

3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[MrTiranei]

Bardzo dziękuję za pomoc, chyba wszystkie nieporządane programy zostały usunięte. Część wróciła do normy, a na temat reszty dowiem się wkrótce.

Zaczęła działać wyszukiwarka plików (systemowa), przestały resetować sie ustawienia domyślne aplikacji, póki co nie wyskakują żadne dodatkowe strony internetowe.

 

Zrobiłem skan ADWcleanerem, wykrył 17 problemów, skasowałem je i wykonałem kolejny skan, tym razem nic nie zostało wykryte.

Dołączam wszystkie logi.

 

Natomiast jeśli chodzi o poczytanie tematu, do którego dostałem link, to na szczęscie nie będzie mi on potrzebny, gdyż owe problemy wynikły z tego, że udostępniłem laptop osobie trzeciej na 30minut
Jeszcze raz dziękuję za pomoc.

Addition.txt

FRST.txt

Fixlog.txt

Shortcut.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

[Miszel03]

Natomiast jeśli chodzi o poczytanie tematu, do którego dostałem link, to na szczęscie nie będzie mi on potrzebny, gdyż owe problemy wynikły z tego, że udostępniłem laptop osobie trzeciej na 30minut  

 

Przekaż ten artykuł znajomemu.

P.S: Wyjątkowy zdolny chyba ten znajomy prawda?

 

Zrobiłem skan ADWcleanerem, wykrył 17 problemów, skasowałem je i wykonałem kolejny skan, tym razem nic nie zostało wykryte.

 

Prosiłem tylko o skanowanie, a nie o skanowanie i usunięcie. Wyniki musza być kwalifikowane.

W tym przypadku nadawały się one do kasacji, więc pół biedy.

 

---

 

Komentując zaś raporty to teraz już wyglądają w porządku, a mając na uwadze to, że problem z Twojej strony ustąpił to myślę, że możemy kończyć. 

 

Zastosuj DelFix (usuwanie używanych narzędzi) oraz zaktualizuj ważne programy - KLIK.

Sprawdź również czy masz aktualny system oraz wyczyść punkty przywracania systemu: KLIK / KLIK.