Miszel03

Raporty mają być bez dat, tzn. nie z archiwalnego C:\FRST, a z miejsca, w którym FRST został uruchomiony. Brak dat jest potwierdzeniem dla mnie, że nie nowszych raportów. P.S: Jutro rozpocznie się proces aktualizacji forum, który może potrwać nawet kilka dni. Teoretycznie gdybyśmy się sprężyli to może dzisiaj by się udało jeszcze Ci pomóc. Powiedz co o tym sądzisz (nie zagwarantuje, że dzisiaj się uda doprowadzić system do ładu), jeśli sprawa jest priorytetowa (po tych raportach już widzę, że system jest zainfekowany) mogę odesłać do innego specjalisty.

MediFire niestety zablokował paczkę, a szkoda, bo plan był taki, by próbki z kwarantanny przesłać firmom zajmującym się tworzeniem oprogramowania zabezpieczającego. Nie będę już zajmował więcej czasu (jeśli paczka wciąż na dysku = skasować z ominięciem kosza). Pozdrowienia.

Wszystko pomyślnie wykonane. Infekcja usunięta. Miło mi, że mogłem pomóc. 1. Przez SHIFT + DELETE (omijanie kosza) skasuj szczątkowy plik malware C:\Program Files (x86)\Common Files\yiRiTEvCdquXO.exe Gdyby była możliwość miałbym prośbę: czy możesz spakować folder C:\FRST\Quarantine i wstawić go jako załącznik (lub na hosting, np. MediaFire)? 2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. W razie pytań pozostaje do dyspozycji.

Widoczna infekcja podszywająca się pod Microsoft i ładowana przez Harmonogram zadań oraz wykorzystująca wiersz poleceń. Dezynfekcja (zostanie również wyczyszczony kosz): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {56CE1001-9564-4184-B592-720736739B74} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {809FC168-22B2-4F86-83A1-5250CC3A23B6} - System32\Tasks\{A80FE8B4-ECB0-4F36-6D66-169CBF405EF3} => C:\WINDOWS\SysWOW64\etUopUqNyomu.exe [1601-01-03] (Microsoft Corporation) Task: {96BF1EFA-3FCB-48B0-B4D4-394F9E4E9D95} - System32\Tasks\{2A31C575-A808-A445-6127-08ECBF718AA3} => C:\Users\Paweł\AppData\Local\VjYoUCAysY.exe [1601-01-03] (Microsoft Corporation) C:\WINDOWS\SysWOW64\etUopUqNyomu.exe C:\Users\Paweł\AppData\Local\VjYoUCAysY.exe HKU\S-1-5-21-364653239-3699781212-3866580074-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc upewnij się, że program i baza danych jest aktualna). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty nie wykazują oznak infekcji. 1. Zrób całościowy skan za pomocą Malwarebytes AntiMalware i pokaż wyniki. 2. Obciążenie procesu SYSTEM może sugerować sterowniki. Nie jest tu wykluczony COMODO Antivirus i dobrze się upewnij, że nie ma nic do rzeczy. Tzn. wykonaj testową deinstalację. 3. Sprawdź czy problem występuje w stanie czystego rozruchu: KB331796.

Raporty uzupełnione, ale niepoprawnie. Brakuje loga Shortcut. Po za tym: Uruchomiony przez User (administrator) USER-KOMPUTER (31-07-2018 19:22:49) Są sprzed 3 dni co czyni je kompletnie nieaktualnymi. Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja: 21.07.2018 Najnowsza wersja jest z pierwszego sierpnia (KLIK).

Ibiza, sterownik malware został już odnaleziony (picasso zadała go do usunięcia w swoim poście). To on jest przyczyną tego przekierunkowania.

HKLM Group Policy restriction on software: C:\Program Files\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinRAR HKLM Group Policy restriction on software: C:\Program Files (x86)\CCleaner HKLM Group Policy restriction on software: C:\Program Files\CCleaner Czy powyższe polityki miały jakiś konkretny cel / uzasadnienie. używałeś ich do czegoś? Zostały skasowane. Wcześniej wspominałem o "drobnej diagnostyce grup polityk" - te zadania to standard systemów Windows 8 i nowszych, jeśli zostanie użyta funkcja Grup polityk, a służą one do odświeżania zasad. Nie ma się więc czym martwić. Przypuszczalnie były powiązane z przytoczonymi tu politykami. Miło mi, że mogłem pomóc. Jeśli nie masz więcej pytań przejdź do finalizacji: zastosuj DelFix oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Debugger ustawiony na svchost nie jest normalny, więc martwi mnie. To może być rezultat działania malware / adware, ale oczywiście nie wykluczone, że są jakieś wyjątki od reguły.

Proszę dostosować temat do zasad działu.

Infekcja pomyślnie usunięta. Te poniższe blokady typu Debbuger to Twoja modyfikacja? IFEO\psexec.exe: [Debugger] svchost.exe IFEO\psexesvc.exe: [Debugger] svchost.exe IFEO\wmic.exe: [Debugger] svchost.exe Pytam, bo coś je odtwarza. Usunę je jeszcze raz. Poprawki + drobna diagnostyka grup polityk: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk IFEO\psexec.exe: [Debugger] svchost.exe IFEO\psexesvc.exe: [Debugger] svchost.exe IFEO\wmic.exe: [Debugger] svchost.exe CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Przedstaw plik Fixlog i zrób nowy log FRST w celu oceny.

Plik Hosts został pomyślnie przywrócony. Proszę również zabezpieczyć system, przy wyborze sugeruję skorzystać z Lista darmowych i komercyjnych programów zabezpieczających. Z mojej strony to by było na tyle. Czy w czymś jeszcze mogę pomóc? Szkoda jednak, że nie odpowiedziałeś mi konkretnie na zadane pytanie.

System jest zainfekowany przez Trojan:Win32/Fuery.B!cl. Detekcja ta została zarejestrowana przez Windows Defender, ale raporty wciąż wskazują na to, że jest aktywna usługa Trojana (w lokalizacji C:\ProgramData\D1C36853). Przypuszczalnie została usunięta tylko biblioteka / moduł C:\ProgramData\D1C36853\D1C36832.dll bez usługi, która teraz próbując załadować skasowany komponent zwraca błąd. Przeprowadź następujące działania celem usunięcia infekcji (zostanie wyczyszczony również kosz): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\Users\awojtysiak\Desktop\Aktualizacja Fertigung.lnk C:\Users\awojtysiak\Desktop\Skrót do KSIĘGOWOŚĆ NIP, REGON, KRS.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Adobe Reader 7.0.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Brava! Reader.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Exact Globe 2003 Enterprise.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Fertigung 2005a.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Mozilla Firefox.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Reorganisation.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Skrót do kooperacja.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Skype.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\TimoCom TRUCK & CARGO.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\zlecenie transportowe.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox\Dropbox Website.URL ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku R2 D1C36853; C:\ProgramData\D1C36853\D1C36864.dll [2871824 2018-07-19] () [brak podpisu cyfrowego] Folder: C:\ProgramData\D1C36853 C:\ProgramData\D1C36853 S3 dbx; system32\DRIVERS\dbx.sys [X] HKLM Group Policy restriction on software: C:\Program Files\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinRAR HKLM Group Policy restriction on software: C:\Program Files (x86)\CCleaner HKLM Group Policy restriction on software: C:\Program Files\CCleaner IFEO\psexec.exe: [Debugger] svchost.exe IFEO\psexesvc.exe: [Debugger] svchost.exe IFEO\wmic.exe: [Debugger] svchost.exe Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. W razie pytań pozostaje do dyspozycji.

Faktyczne proces już nie był tak zasobożerny = czy to oznacza, że można normalnie użytkować system jak przed wystąpieniem problemu? Z tym, że nie wiadomo czy to rzeczywiście sama przeglądarka powodowała obciążenie, a być może doinstalowane rozszerzenie. Spróbuj zainstalować Mozilla FireFox i pozostawić ją w stanie surowym (tj. bez żadnych modyfikacji z Twojej strony). Powiedz czy owe obciążenie podczas przeglądania Internetu też ma miejsce. Wykonaj też i przedstaw raporty FRST, by wykluczyć infekcję i konflikty oprogramowania.

Raporty nie wykazują oznak infekcji, zresztą system został przeinstalowany, więc szczerze wątpię by cokolwiek było w systemie. Jest widoczna tylko jedna nieprawidłowość - brak pliku Hosts w domyślnym katalogu. Odtwórz go: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Komentując zaś treść reszty tematu: Co masz na myśli? Rucek już o to pytał - proszę o odpowiedź. Nie widzę niczego niepokojącego, ale powiedz skąd pomysł zamieszczania tych danych? Zastanawia Cię coś konkretnie tutaj?

Dziś obchodzimy 74 już rocznice wybuchu Powstania Warszawskiego. Pamiętajmy! SPOT Fundacja_PFN

Zbyt mało informacji o tym co robiłaś przed wystąpieniem problemu, by powiedzieć dlaczego tak się stało. Podam instrukcję przywrócenia: Start > Panel Sterowania > Zegar, język i region > Region i język > zakładka Klawiatury i języki > kliknij przycisk Zmień klawiatury > przejdź do zakładki Pasek języka > zaznacz Dokowany na pasku zadań > kliknij Zastosuj i OK. Zmiany powinny być widoczne od razu, sugeruję jednak uruchomić komputer ponownie by sprawdzić czy problem został rozwiązany. W razie pytań pozostaję do dyspozycji.

Zgłosił się kolejny użytkownik - Custom Search Engine Google. Jestem w trakcie analizy jego raportów, muszę dodatkowo wykonać tzw. analizę porównawczą i znaleźć punkt wspólny, by móc ustalić przyczynę.

Microsoft Security Essentials odnalazł zagrożenia w kwarantannie AdwCleaner. Nie ma się czym przejmować.

Proszę dostosować temat do zasad działu.

Kolejnym podejrzanym może być µTorrent - ma zintegrowane adware preaktywowane po określonym czasie. Odinstaluj go na próbę, ponów reset synchronizacji i reinstalacje. W zamian możesz zainstalować qBitTorrent.

Walczymy dalej. Naszym problemem jest to by wykryć co odtwarza tą wyszukiwarkę. Po ponownej analizie raportów wraz z picasso doszliśmy do tego, że największe podejrzenia budzi aktywny Tencent: Tencent Gaming Buddy (HKLM-x32\...\MobileGamePC) (Version: 1.0.0.1 - Tencent Technology Company) R2 QMEmulatorService; C:\Program Files\TxGameAssistant\AppMarket\QMEmulatorService.exe [342776 2018-05-24] (Tencent) R2 aow_drv; C:\Program Files\TxGameAssistant\UI\aow_drv_x64.sys [785456 2018-05-25] (Tencent) Tencent to marka nieciesząca się dobrą reputacją, bardzo często tu na forum zgłaszana przez użytkowników jako "złośliwe oprogramowanie ładowane do systemu metodą nachalnych reklam / instalatorów". Przeprowadź deinstalacje: Tencent Gaming Buddy, następnie zresetuj synchronizacje i przeinstaluj Google Chrome. Napisz czy to coś dało.

Ustawienia > Osoby > Synchronizacja > Ustaw opcje tak jak na załączonym zrzucie ekranu: ...następnie poniżej odnajdź zakładkę Zarządzaj synchronizowanymi danymi w Panelu Google i przejdź tam, zjedź na sam spód i kliknij Resetuj synchronizację. Ponownie przystąp do reinstalacji Google Chrome wg wcześniej podanej insturkcji. Napisz jak ma się sprawa po tej akcji. Zrób też nowy zestaw raportów FRST (wg opcji w tym temacie).

Jesteś pewny, że wcześniej zresetowałeś synchronizacje przyciskiem Resetuj synchronizacje?

Został tylko ten problem (reszta infekcji usunięta), więc podejdziemy do niego ogólnikowo - wymagana kompleksowa reinstalacja przeglądarki: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Po tej akcji sprawdź rezultat.

Zlecę usunięcie wszystkich używanych narzędzi i raportów na koniec. Poprawki (szczątki po oprogramowaniu zabezpieczającym i Opera / zmiany w Google Chrome): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku BootExecute: autocheck autochk * aswBoot.exe /M:13125c0594 /wow /dir:"C:\Program Files\AVAST Software\Avast" C:\ProgramData\AVAST Software C:\Program Files\Common Files\AVAST Software C:\ProgramData\McAfee C:\Program Files\Opera C:\Users\y\AppData\Roaming\Opera Software C:\Users\y\AppData\Local\Opera Software HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia CHR DefaultSearchURL: Default -> hxxps://defaultsearch.co/?q={searchTerms} CHR DefaultSearchKeyword: Default -> Default Search EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Powiedz jak wygląda sytuacja po tym zabiegu.