Skocz do zawartości

Miszel03

Moderatorzy
  • Postów

    2 329
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez Miszel03

  1. System nie jest jeszcze w poprawnym stanie. Widać instalacje adware oraz ślady po armagedonie spowodowanym przez infekcje integrujące w przeglądarki. Ponad to adresy bieżące listowane w logu Addition wskazują na zagraniczne adresy, pierwszy z nich jest izraelski (KLIK), a drugi z nich holenderski (KLIK). Przechodzimy do działań. 1. Deinstalacje. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: Online Application. Sugeruję odinstalować Spybot - Search & Destroy, ze względu na to, że program jest nierozwijany i przestarzały. 2. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/ HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "2MCZnON8Tl6x.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "37KOQqAQae.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "j1LkzafQH4R.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "J8GpEik.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "JgMe7NUxOu.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "KjDd9jT.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "nQbN74y1.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "RzjZbsik36Eujx.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "tNdFcO3pJU3t.exe" Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) GroupPolicy: Ograniczenia - Chrome Tcpip\..\Interfaces\{7d787c6e-aec5-4e13-a5a6-38648d1c18ef}: [NameServer] 82.163.142.8,95.211.158.136 CHR HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pnfdifjinnoooocgmbdioahcpaplhbhb] - C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Console RAR manual.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Console RAR manual.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj ​wszystkie nieznane i niepotrzebne Ci rozszerzenie Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Wyczyść przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
  2. Mi wczytuję się poprawnie, wszędzie, bo z ciekawości sprawdziłem teraz. To coś nie tak z Operą jest. Rekomenduje używać Google Chrome.
  3. Na urządzeniu mobilnym łączysz się przez WI-FI czy poprzez Internet od operatora? Jeśli przez WI-Fi to ustaw na routerze DNS Googla: 8.8.8.8 i 8.8.8.4 i sprawdź efekty.
  4. Popraw link do forum. Certyfikat jest ważny tylko dla adresu z www, który jest zdefiniowany jako główny URL forum. Wpisujesz bez www, więc ze względów bezpieczeństwa przeglądarka odcina Ci dostęp. Automatyczne przekierowanie adresu ma być zrobione w dalszym terminie.
  5. W takim razie wszystko pomyślnie wykonane. Problem z Internetem nie leży po stronie infekcji. Temat przenoszę do działu Sieci. Narzędzia używane podczas diagnostyki możesz usunąć za pomocą DelFix.
  6. Raport muszą zostać dostarczone z miejsca, w którym zostały wygenerowane (bez dat), a nie z archiwalnego C:\FRST. Czyli przykładowo: jeśli FRST był uruchomiony na pulpicie, to tam też znajdują się raporty właściwe.
  7. Teraz jest w porządku. W raportach brak oznak infekcji. Wdrążam skan antywirusowy oraz kosmetykę systemową (usunięcia pustych wpisów, usług, podejrzanych polityk). Pomijam tylko kasowanie pustych wpisów LNK, bo jest ich strasznie dużo. Niemniej jednak to prawdopodobnie nie przyniesie rezultatów, więc temat pewnie wyląduję w dziale Sieci. 1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1 CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 NvStreamNetworkSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe" [X] S2 NvStreamSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe" [X] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, więc robisz tylko kompleks aktualizacji). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST, już bez Addition i Shortcut. Dostarcz plik Fixlog.
  8. System jest kolosalnie zainfekowany przez infekcje adware. Fałszywa przeglądarką podszywająca się pod Google Chrome, zarażone skróty LNK, instalacje fałszywego oprogramowania zabezpieczającego i wiele, wiele więcej. Temat jest w ogóle założony w złym dziale, ale spokojnie już mnie moderator inny uprzedził Uporządkuję go jakiś inny moderator bo ja nie mam dostępu do tego dział forum. P.S: Log GMER niepotrzebny, nie wymagamy już go od kilku tygodni ze względu na spadek infekcji rootkit oraz liczne problemy z obsługą programu. 1. Uruchom funkcję przywracania systemu, ale nie próbuj przywracać systemu, czyli: Start > Komputer > PPM > Właściwości > Z panelu bocznego wejdź do Ochrona Systemu > Zaznacz dysk C:\ > Konfiguruj > Przywróć ustawienia systemu oraz poprzednie wersje plików. 2. Deinstalacje. Oprogramowanie adware / PUP: Booking.com version 1.1.0.5019, WarThunder. Fałszywe oprogramowanie zabezpieczające: YAC(Yet Another Cleaner!). Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1769923494-3148577438-2251075067-1001\...\ChromeHTML: -> "C:\Program Files (x86)\Bossship\Application\chrome.exe" "%1" C:\Users\katar\AppData\Roaming\Bossship C:\Users\katar\AppData\Local\Bossship C:\Program Files (x86)\Bossship ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {7D38FC5C-4813-430F-8EA4-AF1BD541B69A} - System32\Tasks\LogNata for CD Pro => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\LogNata for CD Pro\LogNata for CD Pro.dll",agYbwmRYhHpt C:\Program Files\LogNata for CD Pro ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mylucky123.com/?type=sc&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> C:\Users\katar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1769923494-3148577438-2251075067-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Edge HomeButtonPage: HKU\S-1-5-21-1769923494-3148577438-2251075067-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1476194320&z=bf18d9362f2dddcd94bc326gdz8m9q2gctbzac4g5b&from=che0812&uid=HGSTXHTS545050A7E680_TM8514GL30DZGP30DZGPX FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\katar\AppData\Roaming\Mozilla\Firefox\Profiles\88tmelis.default\extensions\arthurj8283@gmail.com => nie znaleziono CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx HKU\S-1-5-21-1769923494-3148577438-2251075067-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bossship\Application\chrome.exe CHR StartupUrls: Default -> "hxxp://www.nicesearches.com?type=hp&ts=1475909305&from=fb081008&uid=hgstxhts545050a7e680_tm8514gl30dzgp30dzgpx&z=21080f64cde7f3e86bc3b7cg0zam2w2t7ebt9c6e5o" CHR NewTab: Default -> Not-active:"chrome-extension://hoephahehngknjmiphndipnckhhdkjho/stubby.html", Not-active:"chrome-extension://eaefeocpbhmeliomnhdbolpidpcdkjdc/stubby.html", Not-active:"chrome-extension://bkgkclakjomadncofjgnekkfhkalpkpo/stubby.html", Not-active:"chrome-extension://fcfenmboojpjinhpgggodefccipikbpd/newTab.html", Active:"chrome-extension://mallpejgeafdahhflmliiahjdpgbegpk/stubby.html", Not-active:"chrome-extension://ojfkehjclaeiedfhhbjndggmjgiaieef/redirect.html" C:\Users\katar\Desktop\Star Stable.lnk DeleteKey: HKCU\Software\Bossship DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bossship CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\katar\AppData\Local CMD: dir /a C:\Users\katar\AppData\LocalLow CMD: dir /a C:\Users\katar\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zostaną usunięte wszystkie skróty fałszywych przeglądarek. Odtwórz w wybranych miejscach skróty do prawdziwego Google Chrome. Uruchom przeglądarkę i wyczyść ją z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje. Ustaw przeglądarkę jako domyślną. 5. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 6. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bossship Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
  9. Temat założony w złym dziale. Tutaj odbywa się leczenie zarażonych systemów przez Malware. Przenoszę do działu Software.
  10. W raportach brak oznak infekcji, drobną kosmetykę systemową pomijam, bo w tej sytuacji jest ona bez znaczenia. UWAGA: Przywracanie systemu jest wyłączone Sprawdź usługę "winmgmt" lub napraw WMI. Poproszę o raport z Farbar Service Scanner (FSS).
  11. Pomimo tego ja i tak poproszę o nowe raporty FRST w celu weryfikacji.
  12. Walczyli za wolność, za nasze dobre imię i to wystarczy. Pokazali, że umiemy walczyć i się zjednoczyć w momencie kiedy zło tamtych czasów mordowało, prześladowało i bestialsko straszyła rodaków. To mylne stwierdzenie, to historia naszego narodu, nie polityka. Historia to element, o którym nie wolno zapominać. Z szacunku do Powstania Warszawskiego zamknę ten temat, bo z pewnością takie dyskusję niczemu nie służą.
  13. No nie do końca. Przeglądarka Mozilla FireFox nadal ma podpięty zarażony skrót, po za tym w Harmonogramie zadań widoczne są elementy adware. Czyszczeniu podlegać będzie również Hosts, ze względu na dziwną zawartość (w spoilerze masz jego wygląd, więc jeśli coś jest Ci znane to proszę poinformuj). Czyli pewnie w systemie śmietnik, bo czyszczenie systemu z infekcji adware powinno wyglądać całkiem inaczej, czyli deinstalacje > reset narażonych programów > sprzątanie ewentualnych resztek. Pomimo, że często takie programy są skuteczne to jednak nie przeprowadzają procedury deinstalacji. Zaczynamy: 1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3141487286-2629412538-1062352617-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-A5BB2A426CC8}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers05: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {31D64CBF-0944-413D-8685-3AC5DC87E291} - System32\Tasks\SecureBitra => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\SecureBitra\SecureBitra.dll",wsOweCoVC C:\Program Files\SecureBitra ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktopbr.com/ AlternateDataStreams: C:\ProgramData\Temp:1CE11B51 [152] ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> Brak pliku SearchScopes: HKU\S-1-5-21-3141487286-2629412538-1062352617-1001 -> DefaultScope {8000B9FA-381F-432A-89F9-07E013582389} URL = SearchScopes: HKU\S-1-5-21-3141487286-2629412538-1062352617-1001 -> {8000B9FA-381F-432A-89F9-07E013582389} URL = CHR HKU\S-1-5-21-3141487286-2629412538-1062352617-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [aeppgfljjlhcnnbddcccndljodpdkpdh] - CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Dom\AppData\Local CMD: dir /a C:\Users\Dom\AppData\LocalLow CMD: dir /a C:\Users\Dom\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Uruchom AdwCleaner z opcji Szukaj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner. 4. Zrób nowy zestaw raportów: FRST, Addition oraz Shortcut..
  14. Raporty już nieaktualne, bo byłem nieobecny przez tydzień. Nadrabiam zaległości. Proszę o nowy zestaw raportów FRST (użyj najnowszej wersji).
  15. Raporty już nieaktualne, bo byłem nieobecny przez tydzień. Nadrabiam zaległości. Proszę o nowy zestaw raportów FRST (użyj najnowszej wersji).
  16. Przepraszam, ale ze względu na sezon ogórkowy moderatorzy mają ograniczony dostęp do urządzenia z internetem. Tak, temat założony nie we właściwym dziale (tu odbywa się leczenie systemów z infekcji). Temat przenoszę do działu Windows 7.
  17. W raportach brak oznak infekcji, czy znajomy mógłby podać jakąkolwiek argumentację, która poparła by jego podejrzenia? Po za tym brakuję trzeciego, obowiązkowego raportu Shortcut generowanego przez FRST - dostarcz go. Dlaczego w raporcie FRST jest raport Addition, a w raporcie Addition jest raport FRST? Przyklejałeś raporty czy to błąd Farbar'a?
  18. OK, temat zamykam. Skasuj narzędzia które były używane za pomocą DelFix.
  19. Raporty również nie wykazują oznak infekcji. Temat przenoszę do działu Windows 7 * gdzie będzie rozwiązywany problem z Windows Update. W spoilerze umieszczam skrypt poboczny, usuwający puste elementy oraz resztki po programach etc. * - wezmę ten temat pomimo, że jest on po za wątkiem walki z malware. Odradzam takich operacji na własną rękę. Pokaż mi w jakim stanie ten klucz jest, w tym celu: Uruchom SystemLook i do okna wklej: :reg HKLM\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\Version /s Kliknij w Look, momentalnie pojawi się okienko z raportem, - dostarcz go. W jaki sposób odbyła się ponowna rejestracja bibliotek dla Windows Update? Za pomocą Fix WU Utility? Skoro automat od Microsoft zawiódł (o tym dowodzi błąd na końcu procesu) wykonamy to wszystko, ale ręcznie (to pomoże, nie bawimy się w diagnostykę). Wejdź do naszego autorskiego wątku o Problematyce Windows Update i w sekcji Reset komponentów Windows Update rozwiń spoiler Ręczne wykonanie i wykonaj instrukcję dla trybu Nieagresywnego.
  20. Rozumiem, że nie chcesz, abym system został sprawdzony pod kątem infekcji, więc temat przenoszę do działu Sieci.
  21. Jak wyżej, ja nie widzę niczego co mogłoby mieć związek z infekcją.
  22. Oprócz autorskich paczek malware na forum SG raczej trudno będzie takowe znaleźć. Na łamach forum SG jest fajny wątek ze stronami, które mają bazę szkodliwych linków, plików - KLIK.
  23. Daj jeszcze raz raporty FRST, choć wg mnie system nie jest zainfekowany.
×
×
  • Dodaj nową pozycję...