Zasyfiony komputer wirusami

[agressive1337]

Użyczyłem komputer kuzynowi i jakimś trafem został zasyfiony przez instalowanie jakichś gier. Użyłem Malwarebytes Anti Malware i wyrzucił ponad 50 zagrożeń, ale są jeszcze wyjątki dodane do Windows Defendera których nie można usunąć ręcznie, ponieważ coś je blokuje, dołączam skany i proszę o jak najszybszą odpowiedź. Dodam, że komputer dostał jakichś ścinek co paręnaście sekund

Addition.txt

Shortcut.txt

FRST.txt

[Miszel03]

Użyłem Malwarebytes Anti Malware i wyrzucił ponad 50 zagrożeń, ale są jeszcze wyjątki dodane do Windows Defendera których nie można usunąć ręcznie, ponieważ coś je blokuje, dołączam skany i proszę o jak najszybszą odpowiedź.

 

Dostarcz raport z tego skanowania. 

 

---

 

W systemie widać infekcję adware, głównie w postaci rozszerzeń w przeglądarce Google Chrome, ale zainfekowane zostały również skróty przeglądarek (CHR i IE), więc je usuwam, a Ty dorobisz sobie nowe. Gdyby tego było mało to widać infekcję podszywającą się pod Microsoft. 

 

Od razu przechodzimy do działań.

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
C:\Users\adam1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
C:\Users\adam1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk
C:\Users\adam1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\63f64848708c6231\Аdаm - Сhrоmе.lnk
C:\Users\adam1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\63f64848708c6231\Adam - Chrome.lnk
HKU\S-1-5-21-2257015987-4230492318-3150798801-1001\...\Run: [Виджет] => C:\Program Files (x86)\Widget 1.2\Âčäćĺň.exe
C:\Program Files (x86)\Widget 1.2
GroupPolicy: Ograniczenia - Chrome 
S2 lsid61607; C:\ProgramData\lsid61607.exe [1118208 2017-09-09] (Microsoft Corporation) [brak podpisu cyfrowego]
C:\ProgramData\lsid61607.exe
2017-09-09 11:06 - 2017-09-09 11:34 - 000000000 ____D C:\Users\adam1\AppData\Roaming\lll00j1gjh0
2017-09-09 11:05 - 2017-09-09 11:32 - 000000000 ____D C:\Users\adam1\AppData\Roaming\1337
2017-09-09 11:06 - 2017-09-09 11:06 - 000140800 _____ () C:\Users\adam1\AppData\Local\installer.dat
2017-09-09 11:05 - 2017-09-09 11:05 - 000000000 ___SH () C:\ProgramData\Microsoft.ini
2017-09-02 20:49 - 2017-09-02 20:49 - 000000060 _____ () C:\ProgramData\SoftwareUpdateTemp.xml
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\adam1\AppData\Local\Mozilla
C:\Users\adam1\AppData\Roaming\Mozilla
C:\Users\adam1\AppData\Roaming\Profiles
C:\Program Files\Mozilla Firefox
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\adam1\AppData\Local
CMD: dir /a C:\Users\adam1\AppData\LocalLow
CMD: dir /a C:\Users\adam1\AppData\Roaming
Hosts:
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj adware Quick Searcher v16.2, Quick Searcher, BetterTTV, FACEIT HELPER oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Ustaw tą lub jakąkolwiek inną zaufaną przeglądarkę jako domyślną - skromnie sugeruję Google Chrome - KLIK.

3. Zrób raport AdwCleaner z opcji Szukaj, nie stosuj jeszcze Oczyść. Raport zaprezentuj na forum. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[agressive1337]

Więc tak, nie potrafiłem znaleźć logu z Malwarebytes Anti Malware, gdzieś po prostu zaginął i nie mam pojęcia gdzie go szukać. AdwCleaner użyłem już wcześniej więc dołączę 3 logi. Dwa z nich są wykonane przed naprawianiem z FRST, natomiast następny jest z teraz. Usunąłem wszystkie rozszerzenia z chrome, zresetowałem ustawienia i skasowałem wyszukiwarki. Nie potrafiłem usunąć rozszerzeń Quick Searcher v16.2, Quick Searcher, bo ich po prostu nie ma w Chrome, nie potrafię ich znaleźć. Zastanawiam się nad przeinstalowaniem Chrome'a. Na razie dziękuję za pomoc

AdwCleanerS0.txt

AdwCleanerPrzed1.txt

AdwCleanerPrzed2.txt

Addition.txt

FRST.txt

[Miszel03]

OK, czyli AdwCleaner już niczego nie wykrywa.

 

Zapomniałeś dostarczyć raportu wynikowego Fixlog - poproszę o niego ponownie.

[agressive1337]

Oto ten plik:

 

@update

Zainstalowałem AVG i puściłem dokładnego skana zobaczymy co z tego będzie. Na razie dzięki za pomoc. Najgorsze są te wykluczenia których nie da się usunąć

 

@updatev2

Okej więc tak.. AVG przeniósł parę zagrożeń Malware do kwarantanny. Dodatkowo uruchomiłem do tego MBAR, ale on nie wskazał żadnych zagrożeń, log dołączam w załączniku.

Fixlog.txt

mbar-log-2017-09-09 (19-27-25).txt

[Miszel03]

Gdzie raport z AVG? 

Czy ja w ogóle prosiłem o te skany? Wykonuj tylko moje zalecenia, bo zaczną się komplikacje. Musisz zrobić nowe raport FRST + Addition, bo w związku z AVG te, które dałeś są już nieaktualne. 

[agressive1337]

Ponowne skany:

FRST.txt

Addition.txt

[Miszel03]

Produkt AVG PC TuneUp wg mnie nadaję się do deinstalacji, bo robi masę zmian w systemie, które mogą okazać się problematyczne.

Zresztą Avast Software przejmie AVG, ale nie wiadomo do końca na jakich zasadach.

 

---

 

Przeglądarka Google Chrome musi przejść proces kompleksowej reinstalacji wg poniższej instrukcji ze względu na modyfikacje preferencji przez adware.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

Reszta wygląda w porządku, szkoda jednak, że nie przedstawiłeś raportu z AVG, ale zakładam, że nic już nie wykrywa.

Proszę o końcowy, całościowo skan systemu za pomocą Malwarebytes. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

[agressive1337]

Przeinstalowałem Chrome'a wyrzucając wszystko co było z nim związane. Malwarebytes coś jeszcze wykrył, raport zostawiam poniżej.

 

 

mb skan.txt

[Miszel03]

Detekcje nie nadają się do kasacji, ponieważ są już w kwarantannie AdwCleaner. 

 

Jak podsumowujesz obecną sytuację? 

[agressive1337]

Pozbyłem się wyskakując reklam i komputer przestał mulić. Mam jeszcze problem jakiego Antywirusa użyć, polecasz jakiś? Do tej pory używałem AVG, ponieważ można co miesiąc go sobie odnawiać do pełnej wersji. Na razie mam zainstalowany SecureAPlus, ale bym go wyrzucił i zainstalował jakiś bardziej popularny, mam jeszcze wykonać jakieś czynności czyszczące typu odinstalowanie MB itp.

[Miszel03]

(...) mam jeszcze wykonać jakieś czynności czyszczące typu odinstalowanie MB itp.

 

Kończymy.

 

Zastosuj DelFix (kasacja używanych narzędzi), zaktualizuj system Windows oraz ważne programy. 

MBAM możesz odinstalować (przez Panel Sterownia). 

 

Mam jeszcze problem jakiego Antywirusa użyć, polecasz jakiś?

 

Jeśli chodzi o darmowe propozycję to wybrałbym na spokojnie rozwiązanie marki Avast. Jak będziesz uważnie, z głową korzystał z Internetu i urządzeń przenośnych oraz będziesz miał aktualny system i oprogramowanie to wyjdziesz z tego cało

 

P.S: Naprawdę zachęcam do obszernej listy oprogramowania zabezpieczającego, autorskiego materiału Picasso.

[agressive1337]

Dziękuję za całą pomoc, zastosuję się do reszty i mam nadzieję, że już nie będzie problemu z Malware. Nie wiem serio jak się odwdzięczyć, bo sam bym sobie nie poradził. Miłego dnia! 

[Rucek]

 

Nie wiem serio jak się odwdzięczyć, bo sam bym sobie nie poradził.

Cześć, możesz się odwdzięczyć np. wspierając forum finansowo https://www.fixitpc.pl/topic/2595-przycisk-dotacji-wsparcie-finansowe-dla-forum/

Czy to jednorazowo, czy miesięcznie - tyle, na ile Twoja sytuacja Ci pozwala może być 5zł, może być 5000, może być coś pomiędzy

Pozdrawiam serdecznie.