Prosze o sprawdzenie logów (wirus z facebooka)

[adanek_lol]

Objawy zainfekowania:
Po ściągnięciu wirusa hahaha img00662.zip z facebooka przegladarki w ogole sie nie uruchamiają np "program google chrom przestał działać".

Wykonywane działania:
Skanowałem malware, ccleaner''em, adwcleaner''em i doktor web. Pousuwało jakies wirusy ale przegladarki bez zmian nie działaja. Spybota nie udalo mi sie uruchomić. Google chroma usunałem i zaintalowalem jeszcze raz offline ale nic sie nie zmienilo.

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL z dzisiaj

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras z wczoraj

[Aby zobaczyć linki, zarejestruj się tutaj]

addition z frst

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

Z góry dziękuję za pomoc!

[tachion]

Dwa razy jest podany FRST.txt,odznacz wszystko w programie i zaznacz tylko addition.txt,następnie kliknij Scan i podaj log.
Brak infekcji typu z Facebooka,rozumiem że archiwum zip było wypakowane i zawartość uruchomiona.

[adanek_lol]

Zrobilem tak jak napisales. Nizej wysylam link.
zawirusowany plik sciągnałem i kliknałem odruchowo zeby sie otworzyl, po chwili ogrnalem ze to wirus i wylaczylem laptopa z zasilania.

[Aby zobaczyć linki, zarejestruj się tutaj]

addition

[tachion]

Jest czynny sterownik po adware.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

HKU\S-1-5-21-3481509710-2864155054-4111662855-1000\...\Policies\Explorer: []
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - {6A2EF59B-5DEE-4CFA-94F0-F9688FB7401A} URL = https://www.google.com/search?q={searchTerms}
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -No File
R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61120 2014-03-23] (StdLib)
C:\Users\Adik\Doctor Web
C:\Users\Adik\AppData\Local\Temp
C:\temp
C:\Users\Adik\AppData\Local\Temp\Quarantine.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg: Akamai NetSession Interface" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Mega Browse" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Util Mega Browse" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Napisz czy Google Chrome w ogóle się odpala.

[adanek_lol]

Ok, git, firefox działa, wszystko ok. Natomiast chrome i explorer nadal sie nie uruchamiają, widać znowu "program przestał działać".

W msconfig w zakladce uruchamianie plik o nazwie Akamai net session nadal jest.

[Aby zobaczyć linki, zarejestruj się tutaj]

fixlog

Jeszcze chciałem zapytać czy powinienem sie obawiać o np kradzież danych i haseł przez wirusa?

[tachion]

Zależy czym byś został zarażony,nie wszystkie wykradają hasła itp.
Obecna wersja z facebooka służy do kopania waluty bitcoin,nie było u ciebie widać akcji od strony tego zagrożenia.

Nie wiem po co wykonywałeś parokrotnie skrypt ?
Skrypt wykonuje się tylko raz i po wykonaniu miał zostać dostarczony raport z niego.

Odinstaluj:

Avasta (tymczasowo).
Google Chrome

Usuń resztę z tej lokalizacji,czyli cały folder chrome z zawartością C:\Users\Adik\AppData\Local\Google\Chrome

Zainstaluj ponownie Google Chrome

[Aby zobaczyć linki, zarejestruj się tutaj]

Zainstaluj również Internet Explorer 11

[Aby zobaczyć linki, zarejestruj się tutaj]

Zrób nowe logi FRST.txt+Addition.txt + OTL

[adanek_lol]

Udało się! Chrome i Explorer działają. Wszystko wydaje się spoko, zastanawia mnie tylko w msconfig w rozruchu, że cały czas widnieje akamai net session. Tak juz ma zostać?

Dzieki Ci, tachion!

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

Additional

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[tachion]

Hmm ciekawe że to widzisz bo w raporcie już tego nie ma.
W takim wypadku usuń to.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -No File
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
C:\Users\Adik\AppData\Local\cache
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[adanek_lol]

W "Uruchamianie" widze Akamai NetSession Interface znajdujący się w c\users\adik\AppData\Local\Akamai\netsession_win.exe
Wchodzę normalnie C\users\adik\appdata\Local i nie ma w ogóle folderu ''Akamai''.
Wyłączyłem uruchamianie tego pliku co nie zmienia faktu, że pewnie cały czas gdzieś siedzi

[Aby zobaczyć linki, zarejestruj się tutaj]

checkup

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[tachion]

Nie po prostu to co widać to pusty wpis,nie ma to już znaczenia ogólnie.

Działania końcowe:

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

[adanek_lol]

Ok, zrobione. Delfix od razu sam sie usunął po zakończeniu działania.
A TFC zwolnil ok 1gb miejsca.
Coś jeszcze zrobić?
Dziękuje Ci za pomoc!