Zainstalowano złośliwe oprogramowanie

sigon · 23 Grudnia 2015

Witam

Pod moją nieobecność jeden z domowników nieumyślnie ściagnął złośliwe oprogramowanie i zainstalował je na komputerze. Program nazywa się AQOVD. Okazało się, że ów program zainfekował wszystkie przeglądarki. (IE, Firefox, Chrome). Przez telefon próbowałem poinstruować domownika, żeby usunął program przez panel sterowania (Programy i funkcje). Niestety nie dało się tego zrobić. Dopiero program Revo Uninstaller pozwolił (pozornie) odinstalować wirusa. Rychło okazało się, że szkodliwe oprogramowanie, pomimo deinstalacji, wciąż znajduje się w komputerze i infekuje przeglądarki. Pisze tego posta w mękach, gdyż najwyraźniej wirus spowalnia także prace systemu (kursor i myszka "zacinają się"). Dołączam logi FRST i GMER.
Proszę o pomoc i pozdrawiam.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

sigon · 30 Grudnia 2015

Czy jest szansa na otrzymanie pomocy ?

jessica · 31 Grudnia 2015

Czy jest szansa na otrzymanie pomocy ?

Na razie szanse są marne, bo Picasso jest nieobecna na forum od 22 grudnia, i nie wiem, kiedy wróci.

1) Odinstaluj ten program:

Builder Camera (HKU\S-1-5-21-2801442270-617576118-1268728334-1000\...\{B2257250-E56E-4C2A-E0A6-59A0DDDCA194}) (Version: 1.4.9 - Camera Download corp) <==== UWAGA

2) Użyj >Adw-cleaner

najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

Pokaż raport z niego "C"

3) Otwórz Notatnik i wklej w nim:

ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

HKU\S-1-5-21-2801442270-617576118-1268728334-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHJ9dPgC7rPiFy61fqYkKGTeGZ9oRxNh6FOZcIX-y_PqkBLRxFV6otRriO7AA31RsILk9eKHz1Rz4Iu-gCQlCINO0BuKzwG6Aj1QYGO23ahvHLrkj8STQXg7T2Qf2XI89Xk0jF4oBa7tJE,&q={searchTerms}

HKU\S-1-5-21-2801442270-617576118-1268728334-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHJ9dPgC7rPiFy61fqYkKGTeGZ9oRxNh6FOZcIX-y_PqkBLRxFV6otRriO7AA31RsIHmGrUh4EucnEzZqAVn1Y5ogmpWez0hqwOOoVwqlX-jqrE9D7rH5qJr9SStRqYdV8IUvwPSi-y0cI,

HKU\S-1-5-21-2801442270-617576118-1268728334-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

HKU\S-1-5-21-2801442270-617576118-1268728334-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHJ9dPgC7rPiFy61fqYkKGTeGZ9oRxNh6FOZcIX-y_PqkBLRxFV6otRriO7AA31RsILk9eKHz1Rz4Iu-gCQlCINO0BuKzwG6Aj1QYGO23ahvHLrkj8STQXg7T2Qf2XI89Xk0jF4oBa7tJE,&q={searchTerms}

HKU\S-1-5-21-2801442270-617576118-1268728334-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHJ9dPgC7rPiFy61fqYkKGTeGZ9oRxNh6FOZcIX-y_PqkBLRxFV6otRriO7AA31RsILk9eKHz1Rz4Iu-gCQlCINO0BuKzwG6Aj1QYGO23ahvHLrkj8STQXg7T2Qf2XI89Xk0jF4oBa7tJE,&q={searchTerms}

SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms}

SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHJ9dPgC7rPiFy61fqYkKGTeGZ9oRxNh6FOZcIX-y_PqkBLRxFV6otRriO7AA31RsILk9eKHz1Rz4Iu-gCQlCINO0BuKzwG6Aj1QYGO23ahvHLrkj8STQXg7T2Qf2XI89Xk0jF4oBa7tJE,&q={searchTerms}

SearchScopes: HKLM-x32 -> {ielnksrch} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms}

SearchScopes: HKU\S-1-5-21-2801442270-617576118-1268728334-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHJ9dPgC7rPiFy61fqYkKGTeGZ9oRxNh6FOZcIX-y_PqkBLRxFV6otRriO7AA31RsILk9eKHz1Rz4Iu-gCQlCINO0BuKzwG6Aj1QYGO23ahvHLrkj8STQXg7T2Qf2XI89Xk0jF4oBa7tJE,&q={searchTerms}

FF NewTab: C:\\ProgramData\\Solotoughs\\ff.NT

FF DefaultSearchEngine: findit

FF Homepage: www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\o7n5lh3z.default-1446717373185\searchplugins\findit.xml [2015-12-23]

FF Extension: "Builder Camera - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\o7n5lh3z.default-1446717373185\Extensions\@3FB2CFB1E91AAF73CC3D4C765EE585E13FB2.xpi [2015-12-19] [brak podpisu cyfrowego]

FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!3FB2CFB1E91AAF73CC3D4C765EE585E13FB2.js [2015-12-19] <==== UWAGA

FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\3FB2CFB1E91AAF73CC3D4C765EE585E13FB2 [2015-12-19] <==== UWAGA

CHR HomePage: Default -> www.aqovd.com?oem=mbtkplv3&uid=5QJ0RDRC_ST31000340AS&tm=1450548273

R2 ApplicationHosting; C:\ProgramData\\ApplicationHosting\\ApplicationHosting.exe [437248 2015-12-19] () [brak podpisu cyfrowego]

R2 NetTcpHandler; C:\Users\user\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] ()

R2 Solotough; C:\ProgramData\\Solotough\\Solotough.exe [437248 2015-12-19] () [brak podpisu cyfrowego]

R2 WinNetSvc; C:\Users\user\AppData\Roaming\WinNetSvc\WinNetSvc.exe [4845408 2015-12-16] ()

2015-12-19 19:27 - 2015-12-19 19:27 - 00000000 _____ C:\END

DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes

DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes

DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes

Task: {65CD680D-1573-4B9D-B4F3-F63210EC8793} - System32\Tasks\Builder Camera => Rundll32.exe "C:\Users\user\AppData\Local\Builder Camera\{E8745889-AF02-0D47-5BDC-46CBACCEF8A2}\BuilderCamera.dll",#1 <==== UWAGA

Task: {67D8C2FF-4295-4065-BFE7-411D1C5F2948} - System32\Tasks\{38B8823F-E39B-484D-8425-E5C9B25FC365} => pcalua.exe -a "C:\Program Files (x86)\Common Files\IceNix\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\IceNix\uninstall.dat" -a uninstallme 57A5346B-B299-4014-9712-994D26602677 DeviceId=2f06f73f-664b-9697-4829-0f3f5bf9e4ac BarcodeId=50081003 ChannelId=3 DistributerName=APSFIMonetizer

Task: {7E59D758-CFFB-4B35-B589-1FAFE3AEC75F} - System32\Tasks\Bluetooth Driver Installer => C:\Users\user\AppData\Local\Temp\is-TPR7S.tmp\prsetup.exe <==== UWAGA

Task: {ED47A35E-55EE-411F-AAD4-204EFBB50689} - System32\Tasks\Builder Camera2 => Rundll32.exe "C:\Users\user\AppData\Local\Builder Camera\{E8745889-AF02-0D47-5BDC-46CBACCEF8A2}\ywf.dll",#1 <==== UWAGA

C:\Users\user\AppData\Local\Builder Camera

C:\Users\user\AppData\Roaming\NetService

C:\ProgramData\Solotough

C:\Users\user\AppData\Roaming\WinNetSvc

C:\ProgramData\ApplicationHosting

AppInit_DLLs: C:\ProgramData\Solotough\StrongBam.dll => C:\ProgramData\Solotough\StrongBam.dll [518656 2015-12-19] ()

AppInit_DLLs-x32: C:\ProgramData\Solotough\Volit.dll => C:\ProgramData\Solotough\Volit.dll [320512 2015-12-19] ()

GroupPolicy: Ograniczenia - Chrome <======= UWAGA

CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA

2015-12-19 19:05 - 2015-12-19 20:24 - 00000000 ____D C:\Users\user\AppData\Roaming\systweak

2015-12-19 19:05 - 2015-12-19 19:05 - 00003168 _____ C:\Windows\System32\Tasks\Builder Camera

2015-12-19 19:05 - 2015-12-19 19:05 - 00003148 _____ C:\Windows\System32\Tasks\Builder Camera2

2015-12-19 19:05 - 2015-12-19 19:05 - 00000000 ____D C:\Users\user\AppData\Local\Builder Camera

2015-12-19 19:05 - 2015-11-20 19:27 - 00019888 _____ () C:\Windows\system32\roboot64.exe

2015-12-19 19:04 - 2015-12-23 16:40 - 00000000 ____D C:\Users\user\AppData\Roaming\RunDir

2015-12-19 19:04 - 2015-12-23 16:30 - 00002385 _____ C:\Windows\SysWOW64\findit.xml

2015-12-19 19:04 - 2015-12-19 19:43 - 00000000 ____D C:\Users\user\AppData\Roaming\NetService

2015-12-19 19:04 - 2015-12-19 19:04 - 00000000 ____D C:\ProgramData\Solotoughs

2015-12-19 19:03 - 2015-12-23 16:30 - 00000000 ____D C:\ProgramData\Solotough

2015-12-19 19:03 - 2015-12-19 19:03 - 00000000 ____D C:\ProgramData\ApplicationHosting

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\3#柜清单 (1).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\3#柜清单.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\balance not deliver未出货清单-1.15.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\ceny.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\DOROTA ORDER OCT6 2015 (2).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\Dorota 2014未出货清单.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\DOROTA1_柜.新整理 (1).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\DOROTA1_柜.新整理.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\Dorota余出货清单1.14 (1).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\Dorota余出货清单1.14 (2).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\Dorota余出货清单1.14 (3).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\Dorota余出货清单1.14.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\Dysk wymienny (L).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\działka nad jeziorem.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\Warszawska.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\å¤-ä»s plan list.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\Вылет.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\义乌商翔易有限公司工行 (1).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\义乌商翔易有限公司工行 (2).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\义乌商翔易有限公司工行 (3).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\义乌商翔易有限公司工行.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\副本PACKING LIST AND INVOICE-FOR DOROTA (1).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\副本PACKING LIST AND INVOICE-FOR DOROTA (2).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\副本PACKING LIST AND INVOICE-FOR DOROTA.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\复件 plan list (1).LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\复件 plan list.LNK

C:\Users\user\AppData\Roaming\Microsoft\Office\Niedawny\毛帖包推荐NEW DESIGN.LNK

EmptyTemp:

>>Menu Notatnika >> Plik >>

>>Zapisz jako >>

Nazwa pliku: fixlist

Zapisz jako typ: Dokumenty tekstowe

Kodowanie: UTF -8

>>Zapisz

Plik umieść w folderze F:\FRST

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

4) Zrób nowe logi FRST.

5) Napisz, czy problem znikł?

jessi

sigon · 1 Stycznia 2016

Dziękuje za pomoc, problem zniknął. Dołączam wymagane logi. Przy okazji chciałbym się zapytać, czy poniższe konto bankowe jest nadal aktualne do dokonania darowizny ?

W związku z moim pobytem na wakacjach w Polsce mogłam w końcu załatwić alternatywną metodę wsparcia, o którą wiele osób mnie pytało, czyli tradycyjny przelew na rachunek w banku. Dane polskiego konta bankowego:

Właściciel konta:
Aretuza Folfas

Numer rachunku do rozliczeń krajowych:
47 1500 1487 1014 8051 4570 0000

Numer rachunku i BIC do rozliczeń transgranicznych:
PL 47 1500 1487 1014 8051 4570 0000 KRDBPLPW

Adres:
Kraków Kapelanka 17

Przy okazji, pragnę serdecznie podziękować wszystkim dotychczasowym darczyńcom.

Pozdrawiam

jessica · 1 Stycznia 2016

Przy okazji chciałbym się zapytać, czy poniższe konto bankowe jest nadal aktualne do dokonania darowizny ?

Z tego, co wiem, to konto jest aktualne.

Kończymy:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

jessi

Zaloguj się

Zainstalowano złośliwe oprogramowanie

Rekomendowane odpowiedzi

sigon

Odnośnik do komentarza

sigon

Odnośnik do komentarza

jessica

Odnośnik do komentarza

sigon

Odnośnik do komentarza

jessica

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność