Wirus Yontoo

[sirtepek]

Szacuneczek.
Prawdopodobnie mój komputer złapał wirusa yontoo podczas pobierania filmów oraz robaka który zaraża pendrive ( z folderów tworzą się skróty). Podczas skanowania pendrivy, z których korzystałem na PC znajdowały się w USB. ( czy telefon też muszę podłączyć? na telefonie nie widać skrótów). Norton co chwilę wyświetla komunikat z wirusem yonto. Malwarebytes Anti-Malware wyświetliło około 150 podejrzeń, które zostały dodane do kwarantanny ( zamieszczam log z Malware).
Również laptop złapał wirusa Yontoo, logi umieszczę w nowym temacie.
Proszę o przejrzenie logów.
Dziękuję z góry.

LOGi:
Dostępne tylko dla zarejestrowanych użytkowników raport z malware
Dostępne tylko dla zarejestrowanych użytkowników FRST
Dostępne tylko dla zarejestrowanych użytkowników Addition
Dostępne tylko dla zarejestrowanych użytkowników Shortcut
Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników Extras
Dostępne tylko dla zarejestrowanych użytkowników GMER

[djarta]

Wygląda na to, że Malwarebytes załatwił prawie wszystko, zostało tylko czyszczenia kosmetyczne + sprawdzenie tych pendrivow.

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S2 trntv; C:\Users\Lukasz\AppData\Roaming\TornTV.com\TornTVSvc.exe [X]
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - No Path
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1700030685-1572870504-1533824989-1000\...\Winlogon: [Shell] explorer.exe, <==== ATTENTION
2014-12-23 16:52 - 2014-12-23 16:52 - 00000000 ____D () C:\Users\Lukasz\AppData\Roaming\TornTV.com
2014-12-21 16:35 - 2014-12-21 16:35 - 00000544 _____ () C:\Users\UpdatusUser\Desktop\SopCast.lnk
2014-12-21 16:35 - 2014-12-21 16:35 - 00000000 ____D () C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SopCast
2014-12-21 16:35 - 2014-12-21 16:35 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1700030685-1572870504-1533824989-1000Core.job => C:\Users\Lukasz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1700030685-1572870504-1533824989-1000UA.job => C:\Users\Lukasz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: {006D0528-D3F0-4DE8-AC66-15F522B5B7EA} - System32\Tasks\Norton Internet Security\Norton Error Processor => D:\Norton IS 2014 PL\Engine\21.6.0.32\SymErr.exe [2014-01-30] (Symantec Corporation)
Task: {023DE645-5D0C-4899-8D58-9EFC4F7DB140} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1700030685-1572870504-1533824989-1000Core => C:\Users\Lukasz\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-09-29] (Facebook Inc.)
Task: {12A30097-C677-4502-BF19-0E5C4FABB12F} - System32\Tasks\MCZIMF => Rundll32.exe "C:\Windows\system32\NOISEJ.dll",Gzfjnqx
Task: {288E3CA7-A076-4250-B0E8-58F51A7A61E2} - System32\Tasks\{3871636C-BBC4-438F-93B4-422546EAB9C7} => msiexec.exe /package "D:\STEROWNIKI Do WIN7 i mojego PC\AIO_CDB_NonNet_Full_Win_WW_130_141\drivers\dot4\wrapper\cioum32.msi"
Task: {371771ED-1709-4ADD-8B83-BBD527DDC4CD} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2014-12-21] (Adobe Systems Incorporated)
Task: {3AA7B540-F03C-4F0A-84A1-CAB8C88AEAD0} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc
Task: {49944751-830C-47A5-AD8D-EA0C3BC1205E} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2012-08-07] (Google Inc.)
Task: {4C95170D-55AC-45D1-8298-E47350B7B95C} - System32\Tasks\{666D6001-0130-4C1E-A7DA-0FE6ED556DED} => D:\Ashampoo Burning Studio 10\burningstudio10.exe
Task: {5169D9C2-8DA7-4803-A01B-5F117BF45C4F} - System32\Tasks\{FF89E6E2-E844-4785-BC9F-0C6F07FFFE52} => msiexec.exe /package "D:\STEROWNIKI Do WIN7 i mojego PC\AIO_CDB_NonNet_Full_Win_WW_130_141\drivers\dot4\wrapper\cioum32.msi"
Task: {537A393D-CE14-414A-9B0F-469F7153A881} - System32\Tasks\{17EAAB9F-C6CD-48E2-94EA-64083D091DC2} => Firefox.exe Dostępne tylko dla zarejestrowanych użytkowników
Task: {73897E49-DFEF-41FC-9304-A270E5768D3F} - System32\Tasks\{2AC3B840-9D0C-40C8-B61F-863D7A5ACE80} => D:\Ashampoo Burning Studio 10\burningstudio10.exe
Task: {7AC28AE9-A25D-4783-968C-1A15961A600D} - System32\Tasks\{A05360B4-192E-44FF-84DD-3A2AE1A891F4} => Chrome.exe Dostępne tylko dla zarejestrowanych użytkowników
Task: {7B50CE89-AA94-4CF7-B46D-34E280040BB2} - System32\Tasks\{85B88B8A-DE2F-4310-B12F-302D596A81E5} => Firefox.exe Dostępne tylko dla zarejestrowanych użytkowników
Task: {8034D61E-F3BD-47E3-B48D-98758C177448} - System32\Tasks\e-pity2013_styczen => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe [2014-02-21] (e-file sp. z o.o.)
Task: {8524E6EC-72E2-4697-8CD4-22A3F8141137} - System32\Tasks\{31F3DD05-7055-4583-B4CE-013D5ACDC7A8} => Firefox.exe Dostępne tylko dla zarejestrowanych użytkowników
Task: {88860655-91E9-407B-9278-C8C7EFA43598} - System32\Tasks\Norton WSC Integration => D:\Norton IS 2014 PL\Engine\21.6.0.32\WSCStub.exe [2014-09-21] (Symantec Corporation)
Task: {9B5F4881-3D88-48C9-A160-7B60AAEC2A13} - System32\Tasks\{9DF35000-5552-4E6A-B5C0-2B9FFD7AE6C3} => pcalua.exe -a C:\NVIDIA\nForceWin7VistaInt\15.53\setup.exe -d C:\NVIDIA\nForceWin7VistaInt\15.53
Task: {AF328452-B21D-462E-AD9E-4842F2C52E39} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1700030685-1572870504-1533824989-1000UA => C:\Users\Lukasz\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-09-29] (Facebook Inc.)
Task: {B708C657-3D51-481C-BEC1-28AAC99E7AAC} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files\Ask.com\UpdateTask.exe <==== ATTENTION
Task: {BC508406-E757-4BFB-9E27-949686DB9AE3} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files\e-file\e-pity2012\signxml.exe
Task: {BDCBEA14-EA34-48D4-BC5E-A2FED1EF5002} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2012-08-07] (Google Inc.)
Task: {C530A32B-8EB0-46CF-AC89-F83DEA865400} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => D:\Norton IS 2014 PL\Engine\21.6.0.32\SymErr.exe [2014-01-30] (Symantec Corporation)
Task: {C64C2799-B976-424C-B2C2-CBA183879B82} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe [2014-02-21] (e-file sp. z o.o.)
Task: {CC83C4EE-127F-47D9-8BF7-09EF270A707D} - System32\Tasks\JetCleanLoginCheckUpdate => D:\JetClean\AutoUpdate.exe [2013-05-14] (BlueSprig)
Task: {E9FA7045-5F4A-436A-8A48-3C9009F2836E} - System32\Tasks\{3B0321FC-43B4-47A1-9164-0CBF84F72154} => msiexec.exe /package "D:\STEROWNIKI Do WIN7 i mojego PC\AIO_CDB_NonNet_Full_Win_WW_130_141\drivers\dot4\wrapper\cioum32.msi"
Task: {F11E307F-60A7-46FB-9E0F-9F5FD8453D20} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-06-24] (Piriform Ltd)
Task: {F82CC8FB-A3E7-4032-85E0-D8D10232D7CA} - System32\Tasks\{D6876A64-E59F-4FA1-9CC9-C9F7C4607C62} => pcalua.exe -a "D:\STEROWNIKI Do WIN7 i mojego PC\15.53_nforce_win7_32bit_international_whql.exe" -d "D:\STEROWNIKI Do WIN7 i mojego PC"
Task: {F9504F06-7181-458B-93FC-DFD6EE942C2A} - System32\Tasks\e-pity2012_styczen => C:\Program Files\e-file\e-pity2012\signxml.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany.
Dołącz fixlog.txt który będzie po restarcie.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z FRST.

[sirtepek]

Czy jeśli wykasuje Malware Antybytes to wirus wróci ? Nie wiem czy mogę mieć 2 programy o podobnym działaniu (Malware i Norton).
Przesyłam logi:
Dostępne tylko dla zarejestrowanych użytkowników Adw cleaner
Dostępne tylko dla zarejestrowanych użytkowników fixlog
Dostępne tylko dla zarejestrowanych użytkowników JRT
Dostępne tylko dla zarejestrowanych użytkowników FRST
Dostępne tylko dla zarejestrowanych użytkowników Addition
Dostępne tylko dla zarejestrowanych użytkowników Shortcut

[djarta]

MBAM używaj tylko w wersji FREE, bez ochrony rzeczywistej, jedynie skanera na żądanie.

Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

[sirtepek]

Wykonałem kroki kończące temat.
Logi:
Dostępne tylko dla zarejestrowanych użytkowników delfix
Dostępne tylko dla zarejestrowanych użytkowników Malware rapoty

Serdecznie dziękuję za pomoc.
Pozdrawiam !

[djarta]

Jest czysto.