Forum.instalki.pl

Cześć, proszę o sprawdzenie logów, zawirusował mi się laptop i wyświetlają się reklamy jak i spowolnił się sporo. Skanowałem Malwarebytes i trochę się pousuwało jednak ciągle widnieje attrib.exe o riskware. Proszę o pomoc i pousuwanie podejrzanych wszystkich plików. Z góry dzięki

Shortcut.txt
http://hostuje.net/file.php?id=e50f8fb322ed4f384cb06f846ed9b7b7

Addition.txt
http://hostuje.net/file.php?id=5d0fa190f817dcba3db63ab30b92550c

FRST.txt
http://hostuje.net/file.php?id=588fb37d5910b0264f0dc72c32c470a6

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [ETXI-nT5vY.exe] => C:\Program Files\GoldWave\XMJHQZCCV3OIHSCC\ETXI-nT5vY.exe
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [2AGM.exe] => C:\Users\Jarecki\AppData\Local\Temp\BEXY20LUU4\2AGM.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [W02C.exe] => C:\Users\Jarecki\AppData\Local\Temp\2LK404OCB6\W02C.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [EJ9H.exe] => C:\Users\Jarecki\AppData\Local\Temp\4TY1NEV8ED\EJ9H.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [GOCF.exe] => C:\Users\Jarecki\AppData\Local\Temp\3Z60IIEGYL\GOCF.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [TLXX.exe] => C:\Users\Jarecki\AppData\Local\Temp\GWRJR5X05Q\TLXX.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [VZNW.exe] => C:\Users\Jarecki\AppData\Local\Temp\OVZ9JU7W0T\VZNW.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [00RY.exe] => C:\Users\Jarecki\AppData\Local\Temp\3JQIXKSNBH\00RY.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [RL53.exe] => C:\Users\Jarecki\AppData\Local\Temp\RL533I65YP\RL53.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [HDP3.exe] => C:\Users\Jarecki\AppData\Local\Temp\HDP3BS35W3\HDP3.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [Q9Q9.exe] => C:\Users\Jarecki\AppData\Local\Temp\VSIJK51TEJ\Q9Q9.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [Z9PZ.exe] => C:\Users\Jarecki\AppData\Local\Temp\2SOJR58OJ6\Z9PZ.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\RunOnce: [Application Restart #2] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1588568 2018-06-22] (Google Inc.)
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
RemoveDirectory: C:\Program Files\GoldWave\XMJHQZCCV3OIHSCC
FF Homepage: Mozilla\Firefox\Profiles\37wqittu.default -> file:///C:/ProgramData/Subairs/ff.HP
FF NewTab: Mozilla\Firefox\Profiles\37wqittu.default -> file:///C:/ProgramData/Subairs/ff.NT
Task: {0F73CB13-B4D1-46C3-91DB-8D85DF04293C} - System32\Tasks\NanoPackTask => C:\Program Files\Common Files\service_pack.bat [2018-07-21] () <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "Q9Q9.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "HDP3.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "RL53.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "00RY.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "VZNW.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "TLXX.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "GOCF.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "EJ9H.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "W02C.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "2AGM.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "ETXI-nT5vY.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "Z9PZ.exe"
RemoveDirectory: C:\Program Files\GoldWave\XMJHQZCCV3OIHSCC
RemoveDirectory: C:\Program Files (x86)\ggyoEsstymMAtvJtmyRGBLfBwYsaP
RemoveDirectory: C:\ProgramData\qddGHEDCBPKSMPVBAxHEpAQyEq
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

F.

Fixlog: http://hostuje.net/file.php?id=dca52038fc634eb882e8a549281396d9

Nowe FRST: http://hostuje.net/file.php?id=b6c1239dfb6fcee21d44f68b1d8161de
Nowe Addiction: http://hostuje.net/file.php?id=0c6575bc2838a9bf16ae6443c5813bbf
Nowe Shortcut: http://hostuje.net/file.php?id=0e5c90307a9881ed26fb17b195754558
Co chwile pojawia mi się takie powiadomienie z Malwarebytes: https://i.imgur.com/nnxgetq.png lub podobne.
A później dodaje do kwarantanny RISK WARE BIT COIN MINER jak usunę to i tak po jakimś czasie się pojawi.
Jak usunąć koparkę bitcoinów?

Z góry dzięki za pomoc

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKLM\...\Run: [JServicesManager] => C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.ex
RemoveDirectory: C:\Program Files\SystemNanoPacks
HKLM-x32\...\Run: [JServicesManager] => C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.ex
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
S3 NanoServicePackUpdate64; C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe [594432 2018-07-22] (SystemNanoPacks) [Brak podpisu cyfrowego]
C:\Users\Jarecki\Downloads\zszlpmtzze.txt
C:\Users\Jarecki\Downloads\xnhhuikxjnhpy.txt
C:\Users\Jarecki\Downloads\wrsjnjfkzmxubl.txt
C:\WINDOWS\System32\Tasks\NanoPackUpdate_6.0.1
RemoveDirectory: C:\ProgramData\SystemNanoPacks
Nano Service Pack (HKLM\...\{46100BDA-DC4C-4B20-BD54-33095057AEC5}) (Version: 6.0.1 - SystemNanoPacks) Hidden
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{46100BDA-DC4C-4B20-BD54-33095057AEC5}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{46100BDA-DC4C-4B20-BD54-33095057AEC5}
Task: {213DE322-1DD2-4808-9BCB-301F6DE8CDCF} - System32\Tasks\AppLoaderHelpers => C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe [2018-07-17] ()
Task: {2D51B051-B6CF-46FF-B2AF-B1E262F12AD0} - \NanoPackTask -> Brak pliku <==== UWAGA
Task: {69B3F87F-4BE7-4F9D-AC45-FA4A3CE0C575} - System32\Tasks\NanoPackUpdate_6.0.1 => C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe [2018-07-22] (SystemNanoPacks)
Task: {D1EFBF58-758A-4A06-BDAF-C5757741FF03} - System32\Tasks\AppLoaderPM => C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe [2018-07-17] ()
HKLM\...\StartupApproved\Run: => "JServicesManager"
HKLM\...\StartupApproved\Run32: => "JServicesManager"
FirewallRules: [{2F086439-1CA9-4F42-9449-74BAD2AADEA8}] => (Allow) C:\WINDOWS\system32\rundll32.exe
FirewallRules: [{171A8328-DE18-4284-89C7-80C84EAA2F39}] => (Allow) C:\Windows\System32\rundll32.exe
FirewallRules: [{37ECBF41-BA07-447B-8691-A14A422EA113}] => (Allow) C:\Windows\System32\rundll32.exe
HOSTS:
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRA.W).

F

Fixlog: http://hostuje.net/file.php?id=d1b5b02858d9aa47947885859d9d97e4

Nowe FRST http://hostuje.net/file.php?id=f866452c68788598c0b9abddc69e6852
Nowe Addiction http://hostuje.net/file.php?id=2e66660f99d04380b4344c7932597957
Nowe Shortcut http://hostuje.net/file.php?id=b3ed32528f8c5b50629a80fd4d26c843

Pomogło nie pojawia mi się powiadomienie o riskaware, przeskanowałem malwarebytes też nic nie wykazało, więc jest chyba w porządku
Proszę jeszcze o zerknęcie w logach czy wszystko ok.

Wielkie dzięki!

W nowych logach nie widzę niczego podejrzanego.
.

Forum.instalki.pl

Sprawdzenie logów FRST - virusy i reklamy

Sprawdzenie logów FRST - virusy i reklamy

Re: Sprawdzenie logów FRST - virusy i reklamy

Re: Sprawdzenie logów FRST - virusy i reklamy

Re: Sprawdzenie logów FRST - virusy i reklamy

Re: Sprawdzenie logów FRST - virusy i reklamy

Re: Sprawdzenie logów FRST - virusy i reklamy