Infekcja z wiadomości Email OTL

[bartek19933]

Witam, chyba złapałem jakąś infekcję z wiadomości email, proszę o szybką pomoc..

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:processes
killallprocesses

:OTL
O4 - HKCU..\Run: [MsDtc] C:\Users\L\AppData\Roaming\MsDtc\dwmc.exe ( )

:Files
C:\Users\L\AppData\Roaming\MsDtc
C:\ProgramData\flashax10.exe

:Commands
[emptyflash]
[purity]
[emptyjava]
[CLEARALLRESTOREPOINTS]
[emptytemp]

Klik w Wykonaj Skrypt. Zatwierdź restart komputera.

2. Wykonaj i wklej logi z FRST =>> bezpieczenstwo/korzystanie-z-frst-t28530.html

[bartek19933]

Czy musze obawiać się o hasła? Hasło do maila zmieniłem.

[djarta]

Nie obawiaj się.

[bartek19933]

Dzięki.

Logi:
FRST: Dostępne tylko dla zarejestrowanych użytkowników
Addition.txt : Dostępne tylko dla zarejestrowanych użytkowników
Shortcut.txt : Dostępne tylko dla zarejestrowanych użytkowników

Czy antywirusy chronią przed takimi atakami? Niestety nie mam antywirusa u siebie. Jaki mógłbyś polecić antywirus? Najlepiej jakby dało się go używać na dwóch lub trzech komputerach jednocześnie.

[djarta]

Przecież masz antywirusa:
HKLM-x32\...\Run: [mcui_exe] => C:\Program Files\McAfee.com\Agent\mcagent.exe [1675160 2012-03-21] (McAfee, Inc.)

[bartek19933]

Ale jakiś stary i nieaktualiowany.

[djarta]

W takim razie idzie do deinstalacji.

1. Odinstaluj: Update for PriceFountain

2. Mcafee odinstaluj przy pomocy Dostępne tylko dla zarejestrowanych użytkowników.

3. Otwórz notatnik i wklej:

CloseProcesses:
S3 clwvd; system32\DRIVERS\clwvd.sys [X]
S1 NetworkX; \SystemRoot\system32\ckldrv.sys [X]
S2 Crypkey License; crypserv.exe [X]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - Dostępne tylko dla zarejestrowanych użytkowników
CHR DefaultSearchURL: Default -> Dostępne tylko dla zarejestrowanych użytkowników.\u003Chtml>
HKLM\...\Policies\Explorer: [NoControlPanel] 0
Task: {04B28D12-7DBE-4E52-A1DC-4FD3DC4177E5} - System32\Tasks\{0CC58CD9-FD26-4D46-B7B5-D27DC288EC97} => C:\Users\L\Downloads\Symulator Jazdy Samochodem 2006 PL\PrawoJazdy3d.exe
Task: {100C3D70-4976-4E1B-90AA-68B1C54BD28D} - System32\Tasks\Adobe Flash Player Updater => C:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-04-15] (Adobe Systems Incorporated)
Task: {39DE3F21-88EC-4E17-A675-9CEC604F25A9} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-10-18] (Google Inc.)
Task: {4B865783-7AA7-4236-BCCD-2CB3F0A120B1} - System32\Tasks\{8A94AE2E-C87A-483E-981C-B0C71DA3C77B} => C:\Users\L\Downloads\Symulator Jazdy Samochodem 2006 PL\PrawoJazdy3d.exe
Task: {588FEB37-299D-4DF4-AABF-296F96C7B917} - System32\Tasks\{474C90E4-9416-42E1-9710-90E8DA9CBA92} => pcalua.exe -a C:\Users\L\AppData\Local\PriceFountain\uninst.exe -c /uninstall
Task: {6042F9A9-F5BE-4104-9D22-641D63865C49} - System32\Tasks\{155034DA-928E-4EA5-A5F8-67A8D20B8317} => E:\TMUF\TmUnitedForeverSetup.exe
Task: {6AC5ACC3-EC1D-499B-A5AB-A996146E4963} - System32\Tasks\{EFCBABC3-EEDE-487C-BE77-E6BE9DCE91F1} => E:\TMUF\TmUnitedForeverSetup.exe
Task: {792F798D-CB0B-402F-B9F5-B7EBC7725813} - System32\Tasks\{C9D02C87-A73E-4256-AC5F-DBF015143B7C} => E:\TMUF\TmUnitedForeverSetup.exe
Task: {8143E24F-3D96-41E2-A496-99CDF2CA6F15} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe
Task: {90B3D8E9-1A52-461D-9C49-746CE5EEB1E8} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2014-12-19] (Adobe Systems Incorporated)
Task: {9AEFF0F1-42C4-4EAE-B6F3-4C10A48B3F3C} - System32\Tasks\{EBB20F77-F730-40E4-A348-6FA483A189B3} => pcalua.exe -a C:\Users\L\Downloads\irfanview_lang_polski.exe -d C:\Users\L\Downloads
Task: {ADB508BF-4F84-4225-896A-B2C68EE08571} - System32\Tasks\Opera scheduled Autoupdate 1427386733 => C:\Program Files (x86)\Opera\launcher.exe [2015-04-17] (Opera Software)
Task: {BA2FEEAF-352C-4991-9A86-18F6B581A489} - System32\Tasks\{7F36EDC8-81B9-493C-8099-B25EFD5BF11C} => E:\TMUF\TmUnitedForeverSetup.exe
Task: {BF02CDB1-546B-42C2-968D-AC85142DC9C9} - System32\Tasks\{EC8B038F-AC7D-40E0-8BCA-B4B7B1B70F63} => C:\Program Files (x86)\EA GAMES\Need for Speed Underground 2\uniws.exe [2006-01-28] ()
Task: {FC4D2A62-83BB-417C-8BDC-CE6D1E8A2509} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-10-18] (Google Inc.)
Task: C:\windows\Tasks\Adobe Flash Player Updater.job => C:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Emptytemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

4. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

5. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

6. Wykonaj i wklej nowe logi z FRST. Nie zapomnij zahaczykować Addiotion.txt.

[bartek19933]

ADW-CLEANER: Dostępne tylko dla zarejestrowanych użytkowników
JRT: Dostępne tylko dla zarejestrowanych użytkowników
FRST: Dostępne tylko dla zarejestrowanych użytkowników
Addition.txt : Dostępne tylko dla zarejestrowanych użytkowników
Shortcut.txt : Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
C:\Users\Public\AlexaNSISPlugin.3540.dll
S3 McAWFwk; c:\PROGRA~1\mcafee\msc\mcawfwk.exe [X]
c:\PROGRA~1\mcafee
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.)
C:\Program Files\McAfee Security Scan
CHR DefaultSearchURL: Default -> Dostępne tylko dla zarejestrowanych użytkowników.\u003Chtml>
Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - No File
BHO-x32: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee
FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore
C:\Program Files (x86)\Common Files\McAfee
BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll [2014-04-09] (McAfee, Inc.)
URLSearchHook: HKU\S-1-5-21-829075671-3179460725-43800015-1001 - (No Name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No File
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2013-11-19]
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.8.150\SSScheduler.exe (McAfee, Inc.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

[bartek19933]

DelFix: Dostępne tylko dla zarejestrowanych użytkowników
Malwarebytes: Dostępne tylko dla zarejestrowanych użytkowników , Dostępne tylko dla zarejestrowanych użytkowników
Takie coś znalazło w tym ostatnim programie: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

To 3 instalki które zawierają własnie narzędzia które instalują Adware.

Poza tym - czysto.

[bartek19933]

Mogę logować się na swoje internetowe konto bankowe bez obawy, że ktoś mi wykradnie dane? Od chwili odebrania maila nie wchodziłem nigdzie poza forami internetowymi (z przeglądarki Opera, poprzedni Chrome nie chciał się włączyć po odebraniu nieszczęsnego emaila).

[djarta]

Tak, możesz się bezpiecznie logować

[bartek19933]

Dzięki wielkie, jesteś mega .

A wracając do tematu antywirusa: Jakiego mógłbyś polecić? Może być płatny, bo to byłoby na firmę. Może coś dodatkowo do antywirusa? Nie znam się za bardzo na tym .