Samoistne otwieranie niechcianych stron Google Chrome

[ZooMM]

Witam wszystkich!

Wczoraj podczas pobierania programów do edycji audio musiałem złapać jakiś syf. Wczoraj jeszcze wszystko było ok, ale dzisiaj po włączeniu komputera co jakiś czas w mojej domyślnej przeglądarce google chrome wyświetlają się strony z reklamami i cały komputer ogólnie zrobił się lekko "zamulony".
Używałem już programu ADWCleaner oraz pełen skan na windows defender ale nic nie pomogło,
pracuję na Windows 10.
Jestem całkowicie zielony w tym temacie i proszę o pomoc, pozdrawiam!


OTL.txt: http://www.wklejto.pl/722366


RSIT.txt: http://www.wklejto.pl/722373

[morderca]

Zrób logi z FRST > http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

Jeśli logi się zmieszczą całe, to rozbijaj je na części.
.

[ZooMM]

Podczas próby włączenia FRSTa dostaję komunikat:
"System Windows chronił ten komputer
Filtr SmartScreen usługi Windows Defender uniemożliwił uruchomienie nierozpoznanej aplikacji. Uruchomienie tej aplikacji może narazić komputer na zagrożenie."

[morderca]

Ściągnij i użyj FRST w Trybie Awaryjnym.
Tryb awaryjny Windows 10:

przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekran z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny



W logach widać, że infekcja nastąpiła 13 marca o godzinie 16:24.
Co i skąd wtedy ściągałeś z netu?

[ZooMM]

Ściągałem takie programy:
Antares Auto Tune v22.911.7 AU.VST4
Auto-Tune 8.1.1 Setup
Antares Auto-Tune v7.6.8 AU.VST3 macOS [HOOK][dada]
Cockos REAPER v5.35 Setup + Keygen
Wszystko z uTorrent.

FRST.txt: http://www.wklejto.pl/722642

Addition.txt: http://www.wklejto.pl/722643

Shortcut.txt: http://www.wklejto.pl/722644

[morderca]

Cytat:Wszystko z uTorrent.

Teraz wiesz, skąd masz te wszystkie infekcje.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:

Task: {0933F0D8-EA53-456B-B4BD-362B7B9BCF35} - System32\Tasks\tFhvygztNQVmokWetdU2 => rundll32 "C:\Program Files (x86)\bqzrWnnidGJDC\aoIizOp.dll",#1
Task: {193609F7-572F-4365-A516-952AF531F38C} - System32\Tasks\MHsfjoHBjBJoAwMyz2 => rundll32 "C:\Program Files (x86)\KfnsJXyRyJHoDyJWuMR\gyRxuwa.dll",#1
Task: {1C1064A1-1C28-450B-9FD3-163246E05DCC} - System32\Tasks\nwgunOXjCbxKL2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\DQtKumvopDKCWKVB\legCpWr.wsf"
Task: {877B5C32-91D4-48FD-ADF0-FB6380E3F59D} - System32\Tasks\QNMJEtYKScqTlLB2 => rundll32 "C:\Program Files (x86)\aeVSlgaHU\AifKVa.dll",#1
Task: {98841299-B415-4AD3-B361-FB7725906DD7} - System32\Tasks\JLSktnhopmhFxt => rundll32 "C:\Program Files (x86)\EhGTHpYbMZVU2\ZAviEfpKgVQaf.dll",#1
RemoveDirectory: C:\Program Files (x86)\aeVSlgaHU
RemoveDirectory: C:\Program Files (x86)\EhGTHpYbMZVU2
RemoveDirectory: C:\Program Files (x86)\bqzrWnnidGJDC
RemoveDirectory: C:\ProgramData\DQtKumvopDKCWKVB
RemoveDirectory: C:\Program Files (x86)\KfnsJXyRyJHoDyJWuMR
RemoveDirectory: C:\ProgramData\Voyasollam
RemoveDirectory: C:\Users\Tomek\AppData\Roaming\ujt5dzgmsjy
RemoveDirectory: C:\Users\Tomek\AppData\Roaming\yyamdasyx0t
RemoveDirectory: C:\Program Files (x86)\PdUEJHwTcIE
RemoveDirectory: C:\Program Files (x86)\InterLok
RemoveDirectory: C:\Program Files\FN4Q4K3AU7
RemoveDirectory: C:\Program Files (x86)\NDeBlRjARAUn
RemoveDirectory: C:\Program Files\A67YSJFGJI
RemoveDirectory: C:\Program Files (x86)\SmartData
RemoveDirectory: C:\Program Files (x86)\Frank
RemoveDirectory: C:\Users\Tomek\AppData\Local\AdvinstAnalytics
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\...\Run: [3877674] => C:\Users\Tomek\AppData\Roaming\ujt5dzgmsjy\gw5ykgz52d1.exe [859918 2019-03-13] ( ) [Brak podpisu cyfrowego]
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\...\Run: [9281220] => C:\Users\Tomek\AppData\Roaming\yyamdasyx0t\lb5ssndxryx.exe [859918 2019-03-13] ( ) [Brak podpisu cyfrowego]
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxldvM_sEGJZAe-C6UafLcg6L_siz4TqSaxfg-jMPLYscwP8eY4PBb3M48tQFqVtaFyR7vsRstzdo3XgJI6NNXle0WCWpu2qTkmd-NupdzEPI0C_8TCkEtsdhGyAVlRS3sKqp4Im0ofJvNVH8h3RBeN6mTJlwme8v48qwTNdqCQ,,&q={searchTerms}
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxldvM_sEGJZAe-C6UafLcg6L_siz4TqSaxfg-jMPLYscwP8eY4PBb3M48tQFqVtaFyR7vsRstzdo3XgFz8aqPE5MpCFcILakjGTnYBor_os5pCC_3jpKLSvJIH2tjBTJLa4gXOaXWREmJHq-mHEgvxdthvMTEPr2gscf6U5C5A,,
BHO: YoutubeAdBlock -> {33594515-D1AE-4483-BD6B-76A43DEACD5D} -> C:\Program Files (x86)\PdUEJHwTcIE\tP81cXe1.dll [2019-03-13] () [Brak podpisu cyfrowego]
AppInit_DLLs: C:\ProgramData\Voyasollam\Doning.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Voyasollam\Indigoity.dll => Brak pliku
BHO-x32: YoutubeAdBlock -> {33594515-D1AE-4483-BD6B-76A43DEACD5D} -> C:\Program Files (x86)\PdUEJHwTcIE\k9nObfmCp.dll [2019-03-13] () [Brak podpisu cyfrowego]
FF NewTab: Mozilla\Firefox\Profiles\chsr6629.default -> file:///C:/ProgramData/Voyasollams/ff.NT
FF Extension: (Brak nazwy) - C:\Program Files\Mozilla Firefox\browser\features\{91C54DC0-6B37-4DDB-A763-D5C4588C9A23}.xpi [2019-03-13] [Brak podpisu cyfrowego]
CHR DefaultSearchURL: Default -> hxxps://search.mysearch.com/web?q={searchTerms}&redirect=CYV
CHR DefaultSearchKeyword: Default -> Mysearch
CHR DefaultSuggestURL: Default -> hxxps://lss.sse-iacapps.com/lss/api?token=be3b0df7-25c9-39e3-86fb-ba89d85a0912&q={searchTerms}
OPR Extension: (Adblocker for Youtube™) - C:\Users\Tomek\AppData\Roaming\Opera Software\Opera Stable\Extensions\ccjimlclmlpjmabfimmbjnmeeocnicdb [2019-03-13]
2019-03-13 16:27 - 2019-03-13 16:27 - 007892480 _____ C:\Users\Tomek\AppData\Local\agent.dat
2019-03-13 16:27 - 2019-03-13 16:27 - 002035587 _____ C:\Users\Tomek\AppData\Local\Blacktax.tst
2019-03-13 16:27 - 2019-03-13 16:27 - 001632256 _____ (TODO: <Company name>) C:\Users\Tomek\AppData\Local\Blacktax.exe
2019-03-13 16:27 - 2019-03-13 16:27 - 000722944 _____ C:\Users\Tomek\AppData\Local\sha.db
2019-03-13 16:27 - 2019-03-13 16:27 - 000140800 _____ C:\Users\Tomek\AppData\Local\installer.dat
2019-03-13 16:27 - 2019-03-13 16:27 - 000126464 _____ C:\Users\Tomek\AppData\Local\noah.dat
2019-03-13 16:27 - 2019-03-13 16:27 - 000070896 _____ C:\Users\Tomek\AppData\Local\Config.xml
2019-03-13 16:27 - 2019-03-13 16:27 - 000005568 _____ C:\Users\Tomek\AppData\Local\md.xml
019-03-13 16:26 - 2019-03-13 16:26 - 000003356 _____ C:\WINDOWS\System32\Tasks\JLSktnhopmhFxt
2019-03-13 16:26 - 2019-03-13 16:26 - 000003044 _____ C:\WINDOWS\System32\Tasks\nwgunOXjCbxKL2
2019-03-13 16:26 - 2019-03-13 16:26 - 000003034 _____ C:\WINDOWS\System32\Tasks\MHsfjoHBjBJoAwMyz2
2019-03-13 16:26 - 2019-03-13 16:26 - 000003026 _____ C:\WINDOWS\System32\Tasks\tFhvygztNQVmokWetdU2
2019-03-13 16:26 - 2019-03-13 16:26 - 000003008 _____ C:\WINDOWS\System32\Tasks\QNMJEtYKScqTlLB2
 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
Task: {4A3976E5-E561-41E9-BB3F-2325A050E78A} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\...\Run: [Chromium] => c:\users\tomek\appdata\local\chromium\application\chrome.exe [4149760 2017-09-22] (The Chromium Authors) [Brak podpisu cyfrowego]
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
HOSTS:
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Zrób nowe logi FRST.
.

[ZooMM]

Jak na razie wszystko wróciło do normy.

fixlog.txt: http://www.wklejto.pl/722745

FRST.txt (1): http://www.wklejto.pl/722746

FRST.txt (2): http://www.wklejto.pl/722747

Addition.txt: http://www.wklejto.pl/722748

shortcut.txt: http://www.wklejto.pl/722749

[morderca]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:

CHR DefaultSearchURL: Default -> hxxps://search.mysearch.com/web?q={searchTerms}&redirect=CYV
CHR DefaultSearchKeyword: Default -> Mysearch
CHR DefaultSuggestURL: Default -> hxxps://lss.sse-iacapps.com/lss/api?token=be3b0df7-25c9-39e3-86fb-ba89d85a0912&q={searchTerms}
CHR Extension: (Adblocker for Youtube™) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\mabddghecjmmeacphpjcmjjchiamlegg [2019-03-13] [UpdateUrl:hxxps://clients88.google.com/service/update2/crx] <==== UWAGA
C:\Users\Tomek\AppData\Local\uninstall_temp.ico
C:\Users\Tomek\Downloads\3 utwory do których mo-na biega- — skrót .lnk
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Uaktualnij Javę, postępując wg https://www.fixitpc.pl/topic/5-dezynfekc...ent-179769
.

[ZooMM]

Zrobiłem wszystko według instrukcji i wygląda na to, że wszystko wróciło do normy, podesłać jeszcze logi?

[morderca]

Skoro wszystko jest OK, to nie widzę potrzeby dawania nowych logów.
.