Komputer po poważnej infekcji - prośba o sprawdzenie logów

[Jetson]

Witam,

 

Dzisiaj mój komputer został zaatakowany przez pokaźną liczbę dziadostwa. Mianowicie w menadżerze zadań pojawiło się kilkanaście procesów z chińskimi opisami, zaś przeglądarka została przejęta przez jakiś adware o nazwie yessearches. Załączyłem skan programem Malwarebytes - okazało się, że pobiłem swój osobisty rekord w ilości wirusów. 1130 wykrytych zagrożeń. Wygląda na to, że antywirus sobie z tym poradził, bo obecnie komputer zdaje się być czysty, jednak proszę o przejrzenie logów. czy nie siedzi tam coś więcej. Załączam raporty FRST, Malwarebytes i ADWCleaner.

 

Pozdrawiam.

 

EDIT: Dodaję raport GMER.

EDIT2: Dodaję świeże raporty FRST. GMER nie dodaję, bo o dziwo nic teraz nie znalazł.

Uprzedzając ewentualne pytania - plik hidusbf.sys został zmodyfikowany przeze mnie.

 

Shortcut 25.03.txt FRST 25.03.txt Addition 25.03.txt Raport malware.txt AdwCleanerC1.txt AdwCleanerC2.txt GMER.txt

[picasso]

W raportach widać tylko mikroszczątki (odpadki po Tencent oraz odinstalowanym Google Chrome). Doczyść te drobnostki:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.xinjunshi.com/?qg
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTray.exe" /regrun
HKLM-x32\...\Run: [BlueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku
Task: {DB99E582-E5B2-44D4-90C1-EF41BE0B9A86} - System32\Tasks\{7818EECA-4B74-48D7-83E3-7FA48CAF95D0} => pcalua.exe -a C:\Users\Marcin\Desktop\clean\NeroCleanTool5.0.0.18.exe -d C:\Users\Marcin\Desktop\clean
S4 NMIndexingService; "C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe" [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [X]
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
C:\Program Files (x86)\Google
C:\Program Files (x86)\Nero
C:\Program Files (x86)\Temp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Nero
C:\ProgramData\Thunder Network
C:\Users\Bogusia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Grzegorz\Desktop\Google Chrome.lnk
C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Marcin\AppData\Local\Google
C:\Users\Marcin\AppData\Roaming\GiftBag.db
C:\Users\Marcin\AppData\Roaming\gplyra
C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Steam.lnk
C:\Users\Public\Thunder Network
C:\Users\Public\Documents\dmp
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. Jest tu więcej kont, Bogusię i Grzegorza rówżnież wypadałoby sprawdzić:

 

==================== Konta użytkowników: =============================

Bogusia (S-1-5-21-1244533767-2505366996-2244784048-1004 - Administrator - Enabled) => C:\Users\Bogusia
Grzegorz (S-1-5-21-1244533767-2505366996-2244784048-1003 - Administrator - Enabled) => C:\Users\Grzegorz
Marcin (S-1-5-21-1244533767-2505366996-2244784048-1000 - Administrator - Enabled) => C:\Users\Marcin

 

Edytowane 23 Stycznia 2020 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso