exinariuminix - infekcja przeglądarek

[smile1992]

Dzień dobry,

 

ratujcie! Wyłapałem jakieś dziadostwo, które powoduje przede wszystkim samoczynne otwieranie strony hxxp://exinariuminix.info. Z tego co wyczytałem to jednak nie jedyny skutek jaki powołuje to złośliwe oprogramowanie. Działałem AdwCleanaerem, Malwarebytes, ale nieskutecznie. Poniżej załączam aktualne logi z FRST. Z góry bardzo dziękuję za pomoc. 

Addition.txt FRST.txt Shortcut.txt

[jessica]

Nie masz żadnej infekcji, więc MBAM dobrze spełnił swój obowiązek.

 

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

S2 HP Comm Recover; "C:\Program Files\HPCommRecovery\HPCommRecovery.exe" [X]
S4 uhssvc; "C:\Program Files\Microsoft Update Health Tools\uhssvc.exe" [X]
C:\Users\dompa\Downloads\FRST-OlderVersion
HKU\S-1-5-21-3133839560-3129128905-3125803066-1001\Software\Classes\.scr: AutoCADScriptFile => C:\windows\system32\notepad.exe "%1"
SearchScopes: HKLM -> {5940DE61-B85F-491B-A68A-830A62B605BE} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk1-vsb-21&link%5FcPortugueseode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {5940DE61-B85F-491B-A68A-830A62B605BE} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk1-vsb-21&link%5FcPortugueseode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKU\S-1-5-21-3133839560-3129128905-3125803066-1001 -> {5940DE61-B85F-491B-A68A-830A62B605BE} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk1-vsb-21&link%5FcPortugueseode=qs&index=aps&field-keywords={searchTerms}
FirewallRules: [TCP Query User{75D81580-9FE1-4B73-BAC5-48BAA9F917BF}C:\games\battlefield - hardline\bfh.exe] => (Allow) C:\games\battlefield - hardline\bfh.exe => Brak pliku
FirewallRules: [UDP Query User{DEEBCBC8-6A37-447E-8A11-9A7DF3B2976E}C:\games\battlefield - hardline\bfh.exe] => (Allow) C:\games\battlefield - hardline\bfh.exe => Brak pliku
FirewallRules: [TCP Query User{63C23312-E9AF-46E5-A12C-60EB179616C7}C:\games\far cry 4\bin\farcry4.exe] => (Allow) C:\games\far cry 4\bin\farcry4.exe => Brak pliku
FirewallRules: [UDP Query User{A8EA70A1-3B14-4855-B8E2-5FC79F74476F}C:\games\far cry 4\bin\farcry4.exe] => (Allow) C:\games\far cry 4\bin\farcry4.exe => Brak pliku
FirewallRules: [{819DF5D1-33A3-469B-9D3C-4F3D9AC5455B}] => (Allow) C:\Users\dompa\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku
FirewallRules: [{0F33B376-AA4E-44BE-8F4A-488E5AB138CF}] => (Allow) C:\Users\dompa\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku
FirewallRules: [{64006628-ED7C-4157-82D7-8A4E3DDA2D05}] => (Allow) C:\Users\dompa\AppData\Local\Temp\7zS58F7\HP.EasyStart.exe => Brak pliku
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3133839560-3129128905-3125803066-1001\...\Policies\Explorer: []
HKU\S-1-5-21-3133839560-3129128905-3125803066-1001\...\Run: [Shortcutor] => "C:\Program Files\Coode Software\Shortcutor\Shortcutor.exe" (Brak pliku)
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL + S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

[smile1992]

Dziwne, ponieważ po działaniu MBAM problem nadal występował, a później faktycznie ustał.

W każdym razie baaardzo dziękuję!!