Infekcja URL:Mal

[slifrin]

Mam identyczny problem z takim samym przebiegiem postępowania jak Nemssi:
problemy/infekcja-url-mal-t33897.html

Tutaj są moje logi z OTL:

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Z góry dziękuje za odpowiedź.

[XMan]

Wrzuć dodatkowo logi z:
FRST --> bezpieczenstwo/korzystanie-z-frst-t28530.html

[slifrin]

Logi

FRST: Dostępne tylko dla zarejestrowanych użytkowników

Addition: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
U0 msahci; system32\drivers\msahci.sys
HKU\S-1-5-21-1706262349-437496173-2985603014-1001\...\CurrentVersion\Windows: [Load] C:\ProgramData\msdjferzn.exe <===== ATTENTION
HKU\S-1-5-21-1706262349-437496173-2985603014-1001\...\Policies\Explorer: []
AppInit_DLLs-x32: �ȗ獁呷ᐔ璾ᗏ䣾랠쿸�
=> "�ȗ獁呷ᐔ璾ᗏ䣾랠쿸�
" File Not Found
HKU\S-1-5-21-1706262349-437496173-2985603014-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Jerzy Kiedrowski\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.)
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-1706262349-437496173-2985603014-1001\...\Run: [Opos] => [X]
2014-10-21 15:19 - 2015-05-18 14:27 - 0000093 _____ () C:\Users\Jerzy Kiedrowski\AppData\Roaming\sp_data.sys
2014-10-21 15:19 - 2015-05-18 14:27 - 0556144 _____ () C:\Users\Jerzy Kiedrowski\AppData\Local\BTServer.log
2014-10-21 22:00 - 2014-10-28 18:56 - 0000173 _____ () C:\Users\Jerzy Kiedrowski\AppData\Local\msmathematics.qat.Jerzy Kiedrowski
2015-04-28 14:26 - 2015-05-14 09:24 - 0013030 _____ () C:\Users\Jerzy Kiedrowski\AppData\Local\PDOXUSRS.NET
2015-05-18 14:36 - 2015-05-18 14:37 - 0007606 _____ () C:\Users\Jerzy Kiedrowski\AppData\Local\resmon.resmoncfg
2014-10-27 20:25 - 2015-05-17 21:10 - 0000000 _____ () C:\Users\Jerzy Kiedrowski\AppData\Local\Temptable.xml
2014-10-25 16:35 - 2014-10-25 16:35 - 0000153 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bc
2015-03-03 19:58 - 2014-10-29 03:52 - 85368832 ___SH (Linoma Software) C:\ProgramData\msdjferzn.exe
2014-05-15 19:14 - 2012-09-07 13:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2014-05-15 19:14 - 2009-07-22 12:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2014-05-15 19:14 - 2012-09-07 13:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
Task: {01537DB6-F8EF-4CB2-8D8A-798F9CB15CCD} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe [2015-04-22] (Microsoft Corporation)
Task: {061914E0-7B4A-422B-B388-9EEF7AA12950} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1706262349-437496173-2985603014-1001Core => C:\Users\Jerzy Kiedrowski\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-11-24] (Facebook Inc.)
Task: {07EFF5FC-5A29-4CA4-ABEB-1575F1548626} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office 15\root\Office15\msoia.exe [2015-02-03] (Microsoft Corporation)
Task: {1B323F0B-7AFC-4FAE-A3D0-7CF461E2BD01} - System32\Tasks\ASUS Splendid ACMON => C:\Program Files (x86)\ASUS\Splendid\ACMON.exe [2014-04-02] (ASUS)
Task: {2BE740F6-3904-4ECD-8826-04570984E99A} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-04-22] (Google Inc.)
Task: {4050DBF9-A0E5-498B-9C51-06296B2DA6D8} - System32\Tasks\Opera scheduled Autoupdate 1429538560 => C:\Program Files (x86)\Opera\launcher.exe [2015-04-17] (Opera Software)
Task: {476CAB60-B9C0-4853-8776-7DFF8D12DE78} - System32\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-6 => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-6.exe <==== ATTENTION
Task: {4F57189C-FCAE-4192-B84E-43D49FEDD719} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-04-22] (Google Inc.)
Task: {5295D551-EC9D-4288-A36E-F59E91FA9CAA} - System32\Tasks\ASUS P4G => C:\Program Files\ASUS\P4G\BatteryLife.exe [2014-02-11] (ASUS)
Task: {5BAF7F12-5741-44F0-8192-492DCF9B5306} - System32\Tasks\ATK Package 36D18D69AFC3 => C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\SimAppExec.exe [2014-01-14] (ASUSTek Computer Inc.)
Task: {7C64CD57-F9D8-41DA-A869-152B15A5414D} - System32\Tasks\ASUS Smart Gesture Launcher => C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLauncher.exe [2014-03-31] (AsusTek)
Task: {8B266EF4-4568-46BF-B0F3-10413C856AE4} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1706262349-437496173-2985603014-1001UA => C:\Users\Jerzy Kiedrowski\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-11-24] (Facebook Inc.)
Task: {8B6803D1-81C1-469C-8AD4-9E0AF9034943} - System32\Tasks\ASUS Live Update2 => C:\Program Files (x86)\ASUS\ASUS Live Update\LiveUpdate.exe [2015-03-23] (ASUSTeK Computer Inc.)
Task: {97F999F3-3FD7-49CC-A52A-A35F734D74AA} - System32\Tasks\{3F3E0FD0-833E-480A-AE97-826937FEFCAF} => pcalua.exe -a "C:\ProgramData\Battle.net\Agent\Blizzard Uninstaller.exe" -c --lang=plPL --uid=hs_beta --displayname="Hearthstone"
Task: {9B111974-6439-4E20-9659-FECFB9A4B61D} - System32\Tasks\P4GIntlCtrl => C:\Program Files\ASUS\P4G\IntlDPST.exe [2014-02-11] ()
Task: {9EFE4A86-F00C-4014-89A9-25608252F420} - System32\Tasks\ASUS Live Update1 => C:\Program Files (x86)\ASUS\ASUS Live Update\LiveUpdate.exe [2015-03-23] (ASUSTeK Computer Inc.)
Task: {A5A6B4E7-5B4D-4E6E-8C62-F6FF08009E00} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\Windows\system32\MRT.exe [2015-05-13] (Microsoft Corporation)
Task: {A5A9008A-FFC6-400D-AC2A-BA2F4E94A13B} - System32\Tasks\Microsoft\Windows\Setup\gwx\launchtrayprocess => C:\Windows\system32\GWX\GWX.exe [2015-03-24] (Microsoft Corporation)
Task: {AD33DE6C-94D3-4EF9-8172-63D1FCF4836C} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-04-14] (Adobe Systems Incorporated)
Task: {B284E6FE-C926-4725-879A-43A485E504DE} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe [2014-11-13] (AVAST Software)
Task: {B409A652-7988-43D2-8439-1238B738314A} - System32\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-5 => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-5.exe <==== ATTENTION
Task: {BFE28C36-0FA1-49D1-AD02-E978CD16C4BE} - System32\Tasks\Microsoft\Windows\Setup\gwx\runappraiser => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation)
Task: {C014767D-F508-4D90-B508-D24B683872C7} - System32\Tasks\Update Checker => C:\Program Files (x86)\ASUS\ASUS Live Update\UpdateChecker.exe [2015-02-12] ()
Task: {C281D868-BEDD-41A3-9FF3-6AE20E84DC4A} - System32\Tasks\MATLAB R2014a Startup Accelerator => D:\Program Files\MATLAB\R2014a\bin\win64\MATLABStartupAccelerator.exe [2014-01-29] ()
Task: {C53660F9-63C5-451E-AFD0-357B7558E891} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxcontent => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation)
Task: {C6B54768-043B-47C4-A18D-B8B4F4A21D4F} - System32\Tasks\Microsoft\Office\Office Subscription Maintenance => C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\OLicenseHeartbeat.exe [2015-04-22] (Microsoft Corporation)
Task: {CD47FA43-80E4-45EC-8F1D-825614F9957B} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-09-26] (Piriform Ltd)
Task: {E30B3C95-0400-40FC-AC62-D72F5CB9735C} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office 15\root\Office15\msoia.exe [2015-02-03] (Microsoft Corporation)
Task: {E42E543F-879C-40E6-BADB-36669F2486A3} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfig => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation)
Task: {E9D8BBFD-6122-4CDB-BB0A-578D5536F333} - System32\Tasks\Microsoft\Office\Office Automatic Updates => C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe [2015-04-22] (Microsoft Corporation)
Task: {F8552E2A-8DF9-4561-B383-08F5641E468A} - System32\Tasks\ASUS USB Charger Plus => C:\Program Files (x86)\ASUS\USBChargerPlus\USBChargerPlus.exe [2014-03-27] (ASUSTek Computer Inc.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1706262349-437496173-2985603014-1001Core.job => C:\Users\Jerzy Kiedrowski\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1706262349-437496173-2985603014-1001UA.job => C:\Users\Jerzy Kiedrowski\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\MATLAB R2014a Startup Accelerator.job => D:\Program Files\MATLAB\R2014a\bin\win64\MATLABStartupAccelerator.exe
C:\Program Files (x86)\Internet Speed Checker
Emptytemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z FRST.

[slifrin]

Raport z Adw-cleaner-a
Dostępne tylko dla zarejestrowanych użytkowników

Raport z JRT
Dostępne tylko dla zarejestrowanych użytkowników

Logi z FRST
Dostępne tylko dla zarejestrowanych użytkowników

Chwilowo problem znikną za co ogromnie dziękuje . Jeszcze jak mógłbym poprosić na koniec o jakiś link albo informację na temat tego co zrobiłem (wiem że to trochę późno na naukę) bo niestety w tych kwestiach jestem kompletnym laikiem.

[djarta]

Sam się tego nie nauczysz, trzeba mieć wiele informacji na temat budowy systemów.

1. Otwórz notatnik i wklej:

Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

[slifrin]

Raport z DekFix: Dostępne tylko dla zarejestrowanych użytkowników

Raport z AntiMalware: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Usuń śmieci które wykrył Malwarebytes i jest OK

[slifrin]

Wszystko działa jak należy .Wielkie dzięki za pomoc i poświęcony czas.