Komputer został zarażony jakimiś wirusami

[BandzioR.MT]

Witam, nie jestem pewien czy w dobrym dziale to piszę, w razie czego proszę przenieść ten temat. Mam problem, wczoraj w nocy podczas chyba ściągania bo zainstalować jeszcze nie zdążyłem wtedy, gierki z roku o ile dobrze pamiętam 2001 dostanie jej na płycie jest już w zasadzie niemożliwe nagle na moim komputerze zaczęły odpalać się reklamy, banery dziesiątki instalatorów przy czym w może 10 minut komputer zasypało jakieś chinskie oprogramowanie. Pełno krzaczków wyskakujących okienek, zużycie ramu jak i procesora skoczyło do 90-100% gdzie zwykle utrzymuje się w granicy 20-30% Programami ADWCleaner przeczyściłem częśc tego syfu jakoś się udało usunąć większość kilkukrotnie skanując, wykrył na początku przeszło 300 zagrożeń teraz widzi ich zaledwie 9. CCleanerem przeczysciłem rejestr i odinstalowałem wszystkie podejrzane rzeczy które znalazł na liście programów. Dodatkowo zapuściłem ComboFixa ale to akurat wiele nie dało. Essential wykrył dwa pliki zostały już usunięte. Za każdym razem gdy odpalam przeglądarkę zamiast standardowej strony googli odpala mi się NavSmart. Ilektoć bym nie przywrócił ponownie ustawien mozilli do poprawnych czyli we właściwościach usuwam linijkę która to coś dodaje a wygląda to tak: "D:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://navsmart.info ona i tak dodaje się po ponownym uruchomieniu przeglądarki. Wszelkie komunikatory nie działają skype wyrzuca mi "Nie można połączyć ze Skypem" pomimo że komputer normalnie podłączony jest do sieci. W przypadku przeglądarki jest podobnie, często podczas wczytywania strony wyrzuca "Nie odnaleziono serwera". Dodatkowo pozbyłem się większości natrętnych programów ale w systemie zostały 4 nieznane mi procesy "Yurejjaeb" "Yjetipudl" "Soccartuwc "Sejheb" Lokalizacja dwóch pierwszych to C:\Users\BandzioR\AppData\Roaming\Geunfy przy próbie usunięcia całej zawartości folderu dostaje komunikat "Nie można ukończyć akcji ponieważ plik otwarty jest w programie Noije" Już naprawdę nie wiem co z tym zrobić, chciałem po prostu zrobić formata ale okazało się że zaginęła mi płyta z windowsem więc tak jakby jestem w nieciekawej sytuacji. Proszę o pomoc załączam logi

[ordynat]

1) Otwórz Notatnik i wklej w nim:

Task: {62AAF1C9-58F2-4DB8-9B9F-7FF2E72D51B0} - System32\Tasks\{B05678FE-4DF8-4C8C-9121-A913121D46F4} => pcalua.exe -a C:\Users\BandzioR\AppData\Local\Temp\jre-8u31-windows-au.exe <==== UWAGA
Task: {80375036-78F6-4737-9F56-BC18DE9569A0} - System32\Tasks\{8680680D-15FA-4F8F-8B48-BE0BD7612387} => pcalua.exe -a "C:\Users\BandzioR\Desktop\Skróty\Minecraft 1.7.4(By Zyczu) Najlepszy.exe" -d C:\Users\BandzioR\Desktop\Skróty
Task: {A07BB38B-DBD3-4E8B-952E-1079E0DC5079} - System32\Tasks\{A0C41AB9-EDDD-4E37-AE9C-6C4A42720797} => pcalua.exe -a "C:\Users\BandzioR\Desktop\Nero 7.2.0.3 Portable PL.exe" -d C:\Users\BandzioR\Desktop
Task: {C7CC04F4-AB17-4F26-A2FE-5AACA4D2C362} - System32\Tasks\Joropygrosak Debuger => C:\Program Files (x86)\Anerdusygolution\keda.exe
RemoveDirectory: C:\Program Files (x86)\Anerdusygolution
RemoveDirectory: C:\Users\BandzioR\AppData\Roaming\Geunfy
RemoveDirectory: C:\Users\BandzioR\AppData\Roaming\Hemkajdoa
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{B689C5BD-EF91-4B75-ACF9-14C74DD3E7E1}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{D8B0DF21-BE55-45B8-A0F5-B6FE47A973A1}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{F0CCD66B-842A-4720-BC4A-A610F5934486}: [NameServer] 104.197.191.4
ShortcutWithArgument: C:\Users\BandzioR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info
ShortcutWithArgument: C:\Users\BandzioR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info
ShortcutWithArgument: C:\Users\BandzioR\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info
ShortcutWithArgument: C:\Users\BandzioR\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://navsmart.info
ShortcutWithArgument: C:\Users\BandzioR\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://navsmart.info
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://navsmart.info
FirewallRules: [TCP Query User{7D5ECAB9-420E-4ED2-BAB4-35233A33DD3F}C:\users\bandzior\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\bandzior\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{36A6DB5C-7AE9-4571-BC46-814D086111AC}C:\users\bandzior\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\bandzior\appdata\local\akamai\netsession_win.exe
FirewallRules: [{E18CC806-1D35-4AC8-90A2-BEC70C2FBB08}] => (Block) C:\users\bandzior\appdata\local\akamai\netsession_win.exe
FirewallRules: [{B0C076BF-A828-4DF8-AEC1-73EDE9E6E9FA}] => (Block) C:\users\bandzior\appdata\local\akamai\netsession_win.exe
C:\users\bandzior\appdata\local\akamai\netsession_win.exe
HKU\S-1-5-21-3837878568-3274572713-3159142229-1000\...\Run: [Akamai NetSession Interface] => C:\Users\BandzioR\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-3837878568-3274572713-3159142229-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku
Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
FF Plugin HKU\S-1-5-21-3837878568-3274572713-3159142229-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Brak pliku]
CHR HomePage: ChromeDefaultData -> hxxp://www.trotux.com/?z=48451a769631d9fe22427e4g6z1mac6w7wfc7o8t9c&from=isr&uid=ST500DM002-1BD142_W2AS2JTCXXXXW2AS2JTC&type=hp
CHR StartupUrls: ChromeDefaultData -> "hxxp://www.trotux.com/?z=48451a769631d9fe22427e4g6z1mac6w7wfc7o8t9c&from=isr&uid=ST500DM002-1BD142_W2AS2JTCXXXXW2AS2JTC&type=hp"
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.trotux.com/search/?q={searchTerms}&z=48451a769631d9fe22427e4g6z1mac6w7wfc7o8t9c&from=isr&uid=ST500DM002-1BD142_W2AS2JTCXXXXW2AS2JTC&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData -> trotux
CHR Extension: (Brak nazwy) - C:\Users\BandzioR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\cebkcnlhbjapdpofhcokcdhfgpehhajk [2016-09-11]
OPR Extension: (Brak nazwy) - C:\Users\BandzioR\AppData\Roaming\Opera Software\Opera Stable\Extensions\dpiglkccaeohciincfjglehlcjlpfmjd [2016-09-11]
R2 JoropygrosakDebuger; C:\Program Files (x86)\Anerdusygolution\clhBuilder.dll [301568 2016-09-11] () [Brak podpisu cyfrowego]
R2 Noije; C:\Users\BandzioR\AppData\Roaming\Geunfy\Geunfy.exe [170496 2016-08-11] () [Brak podpisu cyfrowego]
R2 Viokdojvaf; C:\Users\BandzioR\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe [170496 2016-08-11] () [Brak podpisu cyfrowego]
S2 Bokvunnu; "C:\Users\BandzioR\AppData\Roaming\GowvePitpagf\Lurzem.exe" -cms [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 USBPNPA; system32\drivers\CM10864.sys [X]
C:\Windows\system32\seir
C:\Windows\system32\miu
2016-09-11 03:50 - 2016-09-11 03:50 - 00000000 ____D C:\Windows\system32\tip
2016-09-11 03:46 - 2016-09-11 03:46 - 00000000 ____D C:\Windows\system32\liw
2016-09-11 02:48 - 2016-09-11 02:48 - 00000000 ____D C:\Users\BandzioR\AppData\LocalLow00822DE0
2016-09-11 02:48 - 2016-09-11 02:48 - 00000000 ____D C:\Users\BandzioR\AppData\LocalLow0000000000418628
2016-09-11 02:41 - 2016-09-11 02:42 - 00001567 _____ C:\Users\BandzioR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2016-09-11 02:41 - 2016-09-11 02:42 - 00001520 _____ C:\Users\BandzioR\Desktop\UC浏览器.lnk
2016-09-11 02:40 - 2016-09-11 02:40 - 00000000 ____D C:\Users\BandzioR\AppData\LocalLow0049E788
2016-09-11 02:40 - 2016-09-11 02:40 - 00000000 ____D C:\Users\BandzioR\AppData\LocalLow004723E0
2016-09-11 02:40 - 2016-09-11 02:40 - 00000000 ____D C:\Users\BandzioR\AppData\LocalLow000000000040B6F8
2016-09-11 02:40 - 2016-09-11 02:40 - 00000000 ____D C:\Users\BandzioR\AppData\LocalLow00000000003AB228
2016-09-11 02:37 - 2016-09-11 02:37 - 00000000 ____D C:\Windows\system32\khru
2016-09-11 02:37 - 2016-09-11 02:37 - 00000000 ____D C:\Windows\system32\aiju
2016-09-11 02:30 - 2016-09-11 02:30 - 00000000 ____D C:\ProgramData\{0B48F409-136A-4bc1-B952-4D9CCDEFAD6B}.tmp
2016-09-11 02:29 - 2016-09-11 02:29 - 00000000 ____D C:\Users\BandzioR\AppData\Local\UCBrowser
2016-09-11 02:27 - 2016-09-11 02:35 - 00000000 ____D C:\Users\BandzioR\AppData\Local\Tempfolder
2016-09-11 02:27 - 2016-09-11 02:27 - 00000000 ____D C:\Users\Public\Thunder Network
2016-09-11 02:27 - 2016-09-11 02:27 - 00000000 ____D C:\Users\BandzioR\AppData\Roaming\Hemkajdoa
2016-09-11 02:27 - 2016-09-11 02:27 - 00000000 ____D C:\Users\BandzioR\AppData\LocalLow\Company
2016-09-11 02:27 - 2016-09-11 02:27 - 00000000 ____D C:\ProgramData\Thunder Network
2016-09-11 02:23 - 2016-09-11 02:23 - 00008936 _____ C:\Windows\System32\Tasks\Joropygrosak Debuger
2016-09-11 02:23 - 2016-09-11 02:23 - 00000046 _____ C:\Windows\Joberphlusisp
2016-09-11 02:21 - 2016-09-11 03:06 - 00000000 ____D C:\Program Files (x86)\Anerdusygolution
2016-09-11 02:21 - 2016-09-11 02:22 - 00000000 ____D C:\Users\BandzioR\AppData\Local\Stemogeputs
HOSTS:
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: Unicode
>>Zapisz
Plik umieść w folderze C:\Users\BandzioR\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Użyj RepairDNS > http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172749
Link zapasowy > http://www.mediafire.com/download/yedejtr7p4q36zm/RepairDNS.zip
Daj z tego raport.

3) Zrób nowe logi FRST.
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".
.

Autor postu otrzymał pochwałę

[BandzioR.MT]

Wszystkie punkty wykonane jedynie przy RepairDNS cały system złapał lekką zwieche ale poszło dalej bez problemu logi poniżej.

[ordynat]

=======[ Verify new Dynamic Link Library (DLL) (32/64Bits) ]
FOUND: C:\Windows\System32\dnsapi.dll [357888] =>Disinfected
FOUND: C:\Windows\SysWOW64\dnsapi.dll [270336] =>Hijacker.DNS.Hosts

Plik nie naprawiony.

Otwórz Notatnik i wklej w nim:

Replace: C:\Windows\winsxs\wow64_microsoft-windows-dns-client_31bf3856ad364e35_6.1.7601.21673_none_4aa4e997e6a8ddc0\dnsapi.dll C:\Windows\SysWOW64\dnsapi.dll
Task: {015DCE3C-4F7E-4B95-BB45-777999D41A68} - System32\Tasks\{4F62B21A-B09C-4389-B7EC-21226924B8AE} => pcalua.exe -a "C:\Users\BandzioR\Desktop\Skróty\Nowy folderdd\SAMP MODY\IMG Editor\Alci's IMG Editor 1.5.exe" -d "C:\Users\BandzioR\Desktop\Skróty\Nowy folderdd\SAMP MODY\IMG Editor"
Task: {174B7BA6-85B6-4186-9D91-0FDB36E98AE8} - System32\Tasks\{7EAE4293-AA82-4314-B044-42FD4A82F579} => pcalua.exe -a "D:\Program Files (x86)\Lovett Software\Mouse-as-yoke 2004\Setup 2004.exe" -d "D:\Program Files (x86)\Lovett Software\Mouse-as-yoke 2004"
C:\Users\BandzioR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MX Skype Recorder\MX Skype Recorder.lnk
C:\Users\BandzioR\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
RemoveDirectory: C:\Program Files (x86)\UCBrowser
C:\Users\BandzioR\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox (Safe Mode).lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://navsmart.info
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://navsmart.info
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: Unicode
>>Zapisz
Plik umieść w folderze C:\Users\BandzioR\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Zrób nowe logi FRST.
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".
.

Autor postu otrzymał pochwałę

[BandzioR.MT]

A więc kolejna porcja logów, na oko system działa już stabilnie wszystko powróciło do normy. W procesach również nie widzę tych czterech które tam siedziały.

[ordynat]

Tak, możemy kończyć:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

RepairDNS - usuń ręcznie.
.

Autor postu otrzymał pochwałę

[BandzioR.MT]

Zrobione dzięki za szybką pomoc

[cherrycat]

]Ordynat wow ! mam prośbę, czy mógłbyś i mi pomóc ? mam ten sam problem, niestety .


Dodaję logi z tych programów co Bandzior

[ordynat]

załóż swój własny temat.
Podstawa:
wszystko-o-logach-aktualizacja-01-04-2016-vt117887.html

Tworzenie własnego tematu:

Gdy mamy problem z komputerem tworzymy swój własny temat, nie dopisujemy się do tematów innych osób.
Każdy problem = inne rozwiązanie = nowy temat...