Miszel03

Na tym systemie jest OK. Zastoju DelFix. Teraz czekam na raporty z pozostałych systemów, z którymi miał styczność pendrive. Tym zajmiemy się, na końcu.

Dostarcz raport, to kluczowe informację. W raportach nie widzę jednoznacznych oznak infekcji Sality, nie ma dodanych autoryzacji ipsec na zaporze. Na pierwszy rzut oka żadnych uszkodzeń oraz co najważniejsze brak charakterystycznej usługi amsist. Objaw faktyczne jest częstą oznaką tej infekcji, ale w tym przypadku szansę są minimalne. 1. Przejdź do trybu awaryjnego (kliknij klawisz F8 przed startem systemu) i z jego poziomu spróbuj uruchomić SalityKiller. Jeśli wykryje infekcję to je usuń. Skan powtarzaj do wyniku zero infekcji. Jeśli będzie problem, by uruchomić go nawet z poziomu trybu awaryjnego, to wykonasz płytę bootowalną z silnikiem marki Kaspersky i przeskanujesz cały system. Dla wyników Sality zastosuj leczenie, dla innych kwarantanne. 2. Przez panel sterowania odinstaluj: Adware / PUP / Wątpliwe aplikacje: DAEMON Tools Lite Packages, FLVPlayer4Free Free FLV Player 3.8.0.0. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2393945959-1952290844-586329851-1000\...\Policies\Explorer: [] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [ OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => -> Brak pliku ShellIconOverlayIdentifiers: [ OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => -> Brak pliku ShellIconOverlayIdentifiers: [ OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = SearchScopes: HKU\S-1-5-21-2393945959-1952290844-586329851-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF NewTab: Mozilla\Firefox\Profiles\kxs9t1k7.default -> hxxp://www.delta-homes.com/newtab/?type=nt&ts=1444302208&z=f5ded679e10e4d3b8f5017cg2z4z3z7c3e3odo8g1g&from=ient07031&uid=TOSHIBAXMK3265GSX_Z2CZCESDTXXZ2CZCESDT FF SelectedSearchEngine: Mozilla\Firefox\Profiles\kxs9t1k7.default -> delta-homes S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RIFT\RIFT.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RIFT\Uninstall RIFT.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electronic Arts\The Sims 3 AIO Edition\Language cs-CZ.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electronic Arts\The Sims 3 AIO Edition\Language en-US.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electronic Arts\The Sims 3 AIO Edition\The Sims 3 AIO Edition.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electronic Arts\The Sims 3 AIO Edition\The Sims 3 Launcher.lnk C:\Users\Admin\AppData\Roaming\Autodesk\Autodesk Robot Structural Analysis 2014\CfgUsr\defcfg.lnk C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{F2EBC68A-5A49-4530-AE9E-0E56BA02EA84}\PlayTasks\0\Play.lnk C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{AB0A214F-1ED3-4FAD-AA17-ADBD4ACC3E5A}\PlayTasks\0\Play.lnk C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{2D88CB06-DE45-48DB-BB4E-70BDD1CED343}\PlayTasks\0\Play.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NitroplusCHiRAL\sweet pool\sweet pool.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NitroplusCHiRAL\Lamento -BEYOND THE VOID- DVD\Lamento -BEYOND THE VOID- DVD.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter\Uninstall.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zastosuj AdwCleaner na początku z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 5. Zrób raport dot. weryfikacji stanów ważnych usług, do tego celu wykorzystaj narzędzie Farbar Service Scanner (FSS). 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

http://www.112.gov.pl/112/kiedy-nie-dzwonic-na-1/398,KIEDY-NIE-NALEZY-DZWONIC-NA-112.html Nie należy dzwonić na numer „112” kiedy zaistniała sytuacja nie jest niebezpieczna i nie stwarza zagrożenia dla zdrowia, życia lub mienia lub w innych sytuacjach, takich jak: zgłoszenie fikcyjnego zdarzenia lub tylko dla zabawy, w celu poinformowania, że nie potrzebujesz pomocy, w celu sprawdzenia czy numer „112” naprawdę działa, w celu ustalenia danych kontaktowych firmy lub osoby (telefon, faks, cennik usług, działalność itp.), w celu poinformowania o ograniczeniach i utrudnieniach w ruchu drogowym lub o złym stanie technicznym dróg, w celu uzyskania informacji o rozkładzie jazdy komunikacji miejskiej, kolejowej lub lotniczej, w celu uzyskania połączenia międzynarodowego, w celu wezwania taksówki, zamówienia kwiatów, dania z restauracji, baru, pizzeri, itp., w celu wyrażenia opinii na dany temat, wydarzenia lub na temat osoby publicznej, w celu uzyskania konsultacji i porady lekarskiej. Pogrubiany punkt powinien być bardziej rozpisany. Bo i owszem w przypadku typowych polskich dziur i korków dzwonić nie wolno, ale w przypadku większego uszkodzenia drogi typu pęknięć czy widocznych sporych przeszkód powinno móc powiadomić się służby ratownicze. To przecież stanowi realne zagrożenia, kierowca jedzie, nie zauważy i korozja. Nikt nie pamięta numeru do obsługi autostrady...

Spokojnie, postaram się odpowiedzieć dziś w nocy (mam sporo spraw na głowię, prywatnych, nie zależnych ode mnie). Posty łączę.

Wygląda to lepiej. Pendirva to również dysk zewnętrzny - prawdopodobnie jest zainfekowany. Komputery, do którego go podpinałeś poddaj kwarantannie* sam pendrive przyszykuj. Wynik z HitmanPro sugeruję, że to jakiś nowy wariant ataku, bo wcześniej infekcją był Spyware, natomiast teraz wygląda to na Ransomware. Czy jakieś dane zostały zaszyfrowane? 1. Wyniki z HitmanPro oprócz detekcji z programem FRST wszystkie daj do kasacji. Dostarcz raport z tej dezynfekcji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\ProgramData\tqf DeleteQuarantine: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy zestaw raportów FRST w celu oceny, dostarcz plik Fixlog. * - nie wysyłaj maili z załącznikami, nie podpinaj urządzeń z pamięcią zewnętrzną, nie wykonuj żadnych operacji związanych z pieniądzmi, nie wrzucaj żadnych plików. Nie loguj się w żadnych serwisach. Zrób raporty z tego komputera, do które podpinałeś pendriva.

Wszystkie zagrożenia wykryte przez Malwarebytes usuń (i potem jeszcze jeden skan w celu upewnienia, się, że nic już znajdują. Jak znajduję to daj wszystko do kasacji), dostarcz raport z tego działania oraz nowy zestaw raportów FRST. Jeśli chodzi o wynik z ESET to kliknij w podlinkowany wyraz Plik i daj z niego ścieżkę.

Raport zweryfikowany

Czyli prawdopodobnie była to reszta, usunę po niej klucz w rejestrze. Większość pomyślnie wykonana, zostaję tylko do zwalczenie infekcja, która ma najwyraźniej gdzieś swój punkt reinfekcji. Czy podpinałeś w ostatnim czasie jakieś dyski zewnętrzne pod ten komputer? 1. Zagrożenie wykryte przez Malwarebytes daj do kasacji, komentując je powiem, że to drobnostki od adware / PUP. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\Run: [paraffin-3] => C:\ProgramData\paraffin-39\paraffin-1.exe [715776 2017-03-03] () Startup: C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microamp-21.lnk [2017-03-03] C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microamp-21.lnk ShortcutTarget: microamp-21.lnk -> C:\Users\Renia\AppData\Roaming\microamp-85\microamp-63.exe () RemoveDirectory: C:\ProgramData\paraffin-39 RemoveDirectory: C:\Users\Renia\AppData\Roaming\microamp-85 C:\Users\Renia\Desktop\ZATRUDNIENIE\REKRUTACJA\Umowy z placówkami\UMOWA NR 01 badania — skrót.lnk Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{3CAD43DF-E80A-459E-A5C3-C38C278C101D} /f CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Renia\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Poproszę o kolejny skan, tym razem narzędziem HitmanPro. Jak wyżej - jeśli coś wykryje, to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Problemy zażegnane, więc kończymy. Narzędzia używane podczas diagnostyki możesz skasować - KLIK.

Log z ComboFix zbędny i kompletnie niepotrzebnie wykonany. Zanim następnym razem go użyjesz poczytaj: KLIK. Zostałeś zainfekowany aktualną metodą fałszywych wiadomości kurierskich. Złośliwe oprogramowanie (z mojej wiedzy) aktualnie ma zdolność do pozyskiwania haseł, więc na koniec dezynfekcji prewencyjna zmiana wszystkich haseł w serwisach obowiązkowe. Ponad to widzę trochę adware w systemie, które również należy wyplewić. P.S: Tym razem MSE spisał się (mówię o tym, że przynajmniej powiadomił), lecz jego wykrywalność pozostawia wiele do życzenia. Przejrzyj zewnętrzne oprogramowania zabezpieczające - KLIK, najlepiej wybierz któryś z nich. Polecam darmowe rozwiązanie od Avast. 1. Przez panel sterowania odinstaluj: Adware / PUP: SafeFinder. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\Run: [alkene-3] => C:\ProgramData\alkene-8\alkene-5.exe [704512 2017-03-03] () HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\RunOnce: [fieldbus-5] => C:\Users\Renia\AppData\Roaming\fieldbus-27\fieldbus-33.exe [685056 2017-03-03] () C:\ProgramData\alkene-8 C:\Users\Renia\AppData\Roaming\fieldbus-27 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3464695867-941898725-524424986-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOJQK2RMTSLe26fWBfg77wOFPJSnkc01mX-3yTZpVl7LDyr0TQqov0GWbQEyLhj3d8QbcuLckVJvbRFQcV9olnM1f80u1kU1WdLk2HyPTWhp3DMGR8KqnCvwnvacojhk3I4GacrfUvSurRag8bRLozImt89PFyF&q={searchTerms} SearchScopes: HKU\S-1-5-21-3464695867-941898725-524424986-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOJQK2RMTSLe26fWBfg77wOFPJSnkc01mX-3yTZpVl7LDyr0TQqov0GWbQEyLhj3d8QbcuLckVJvbRFQcV9olnM1f80u1kU1WdLk2HyPTWhp3DMGR8KqnCvwnvacojhk3I4GacrfUvSurRag8bRLozImt89PFyF&q={searchTerms} CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms} CHR DefaultSearchKeyword: Default -> SafeFinder S3 catchme; \??\C:\ComboFix\catchme.sys [X] 2016-06-21 08:07 - 2016-06-21 08:07 - 6867968 _____ () C:\Users\Renia\AppData\Roaming\agent.dat 2016-06-21 08:07 - 2016-06-21 08:07 - 0067968 _____ () C:\Users\Renia\AppData\Roaming\Config.xml 2016-06-21 08:07 - 2016-06-21 08:07 - 0014448 _____ () C:\Users\Renia\AppData\Roaming\InstallationConfiguration.xml 2016-06-21 08:07 - 2016-06-21 08:07 - 0128512 _____ () C:\Users\Renia\AppData\Roaming\Installer.dat 2016-06-21 08:07 - 2016-06-21 08:07 - 0018432 _____ () C:\Users\Renia\AppData\Roaming\Main.dat 2016-06-21 08:07 - 2016-06-21 08:07 - 0005568 _____ () C:\Users\Renia\AppData\Roaming\md.xml 2016-06-21 08:07 - 2016-06-21 08:07 - 0126464 _____ () C:\Users\Renia\AppData\Roaming\noah.dat 2016-06-21 08:08 - 2016-06-21 08:08 - 0032038 _____ () C:\Users\Renia\AppData\Roaming\uninstall_temp.ico 2016-06-21 08:07 - 2016-06-21 08:07 - 1759964 _____ () C:\Users\Renia\AppData\Roaming\Villanix.tst Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {30D9BF8B-8C43-42B7-BD72-93EB917AD051} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {F2B6FDE4-4E8B-46F3-B72F-1992C8DD7357} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku C:\Users\Renia\Desktop\ZATRUDNIENIE\REKRUTACJA\Umowy z placówkami\UMOWA NR 01 badania — skrót.lnk C:\Users\Renia\Desktop\BIEŻĄCE\PROJEKT PFRON\ośw pracownika projekt.lnk C:\Users\Renia\Desktop\BIEŻĄCE\PROJEKT PFRON\ośw. użytkownika Personel.lnk C:\Users\Renia\Desktop\BIEŻĄCE\PRACOWNICZE\Zakresy obowiązków\OPIEKUN BRWINÓW.lnk C:\Users\Renia\Desktop\BIEŻĄCE\PRACOWNICZE\Umowy zlecenia\Szymański A\Umowa zlec A.Szymański.lnk C:\Users\Renia\Desktop\BIEŻĄCE\NAPISY\napis zatrudnienie zus zgłoszenia — skrót.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Renia\AppData\Local\Mozilla C:\Users\Renia\AppData\Roaming\Mozilla C:\Users\Renia\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zastosuj narzędzie AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 4. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Przecież picasso napisała, że to nie problem. Tu chodzi o to, że to detekcja części cracka, a takie właśnie części są często błędnie interpretowane przez oprogramowania AV przez rozbieżność sum kontrolnych. Pliku nie usuwaj. Kończymy. Narzędzia diagnostyczno / dezynfekcyjne możesz już skasować - KLIK.

Poproszę o raport, może być screen ekranu. Prosiłem tylko o skan, a nie o skan i dezynfekcję. Już trudno, niech będzie. Klucz w rejestrze uniemożliwa Ci zobaczenie tego programu, więc go usuwam (wcześniej nie zauważyłem i przez to musimy powtarzać część zadań). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Traffic Exchange (x32 Version: 2.1.0 - Microleaves) Hidden ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4" S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] RemoveDirectory: C:\Program Files (x86)\UCBrowser EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj: Traffic Exchange. 3. Upewnij się, że AdwCleaner (jest nowa aktualizacja, więc pobierz od nowa) już niczego nie wykrywa. Tym razem od razu możesz podjąć akcję dezynfekcji. 4. Powtórz pkt. 3 z mojego poprzedniego posta. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Narzędzia diagnostyczno / dezynfekcyjne możesz skasować - KLIK. Pozdrawiam

Ad. 1 To możne być wina systemu, przypomnę, że to niewspierany już system przez Microsoft. Ad. 2 Dostarcz raport z tego działania. Raporty nie wykazują oznak infekcji. W spoilerze zadaję zadania poboczne, czysto kosmetyczne (+ kasacji szczątek po adware i innych programach). Temat przenoszę do działu Windows XP.

Posty łączę. Używaj opcji Edytuj dołączonej do każdego posta. Te polityki i szczątki, były już raczej martwe, bo nie odnaleziono ich. Na bazie tego raportu mogę powiedzieć tylko, że problem nie jest spowodowany infekcją. Temat przenoszę do działu Windows 8.

Dostarcz raporty z tych działań. W systemie widoczny kolosalny bałagan spowodowany nowoczesnymi infekcjami adware. Najwyższy czas uprzątnąć to wypisko. P.S: Na przyszłość nie zaznaczaj opcji "MD5 List", bo jest ona mi zbędną. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: Adware / PUP: SafeFinder, Traffic Exchange.Następnie spróbuj alternatywą metodą odinstalować (uruchamiając pliki o nazwie zbliżonej do uninstall.exe) z poziomu niżej wymienionych folderów. C:\Program Files (x86)\UCBrowser C:\Program Files\żěŃą C:\Program Files (x86)\QForlLgs0EYm Updater 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0F85B90E-DF19-4B9B-A8D5-66FE28C58AFD} - System32\Tasks\QForlLgs0EYm => qforllgs0eym.exe Task: {1993EA93-792D-4088-99F2-5C4BF6BC9C78} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-28] (UCWeb Inc) Task: {9ECB4862-7499-44C0-9165-941F13E2135A} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-02-28] (UC Web Inc.) Task: {CA96C101-3522-4CCD-8A76-1B80B333B395} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-28] (UCWeb Inc) Task: {E6B89740-96EF-42E0-9B63-82B777361269} - System32\Tasks\58R656h8568i777 => Rundll32.exe "C:\ProgramData\58R656h8568i777\58R656h8568i777.dll",RhiBTBgLj Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe RemoveDirectory: C:\Program Files (x86)\UCBrowser RemoveDirectory: C:\Users\Daniel\AppData\Local\UCBrowser C:\ProgramData\58R656h8568i777 WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\Windows\system32\drivers:x64 [1496610] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1221154] FirewallRules: [{526A456C-3720-4FD6-A9E9-FF80FE7AE33F}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe HKLM\...\Providers\0hvzx1eq: C:\Program Files (x86)\Butspplikule System\local64spl.dll C:\Program Files (x86)\Butspplikule System ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-02-28] () RemoveDirectory: C:\Program Files\żěŃą GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4075855626-25370417-906772903-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4075855626-25370417-906772903-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości R2 QForlLgs0EYm Updater; C:\Program Files (x86)\QForlLgs0EYm Updater\QForlLgs0EYm Updater.exe [313344 2017-02-22] () [brak podpisu cyfrowego] C:\Program Files (x86)\QForlLgs0EYm Updater R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) S3 catchme; \??\C:\ComboFix\catchme.sys [X] 2017-02-28 13:51 - 2017-02-28 13:51 - 0054272 _____ () C:\Users\Daniel\AppData\Roaming\ApplicationHosting.dat 2017-02-28 13:51 - 2017-02-28 13:51 - 0072787 _____ () C:\Users\Daniel\AppData\Roaming\Dento-Home.tst 2017-02-28 13:51 - 2017-02-28 13:51 - 0126464 _____ () C:\Users\Daniel\AppData\Roaming\lobby.dat 2017-02-28 13:51 - 2017-02-28 13:51 - 1892491 _____ () C:\Users\Daniel\AppData\Roaming\Sandax.tst CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Daniel\AppData\Local CMD: dir /a C:\Users\Daniel\AppData\LocalLow CMD: dir /a C:\Users\Daniel\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ze względu na modyfikacje adware, trzeba kompleksowo wymienić profile w przeglądarce Google Chrome, w tym celu wykonaj poniższą instrukcję. Otwórz przeglądarkę Google Chrome, następnie przejdź do Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj nową osobę, zaloguj się na nią, okno poprzedniej osoby zamknij > wejdź ponownie do opcji i skasuj wszystkie poprzednie Osoby. 4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty nie wykazują oznak infekcji systemu. W spoilerze zadaję zadania do wykonania, poboczne, czystko kosmetyczne. P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 8 nie są wystarczające. Przejrzyj - KLIK.

Zastosuj się do zasad działu. Dostarcz raporty systemowe z narzędzi FRST oraz GMER. Dodatkowo dostarcz jeszcze raporty z działań: "Skanowałem to już antywirusami COMODO, McAfee, AdwCleanerem usuwałem, Trojan Remover".

Cześć, przygotuj nowy zestaw raportów FRST oraz GMER. Te pierwsze są już nieaktualne.

Dostarcz z tego raporty. W najgorszym wypadku* system jest w tragicznym stanie - infekcja ZeroAcces, czyli rootkitem uszkadzający wiele usług systemowy (w tym zabezpieczenia), zdolnym do innych szkodliwych działań. Do tego dochodzą elementy adware i wątpliwej reputacji program SpyHunter, które zlecam usuwania (a właściwie tylko jego szczątek). Jeśli chodzi o SpyHuntera to wybór należy do Ciebie nie musisz wykonywać pkt. 2. * - to nie pewne, być może to już tylko szczątki (+ botnet tego ścierwa został usunięty przy współpracji wielu narodów). 1. Przeskanuj system za pomocą Kaspersky TDSSKiller. Jeśli coś wykryje, a nie będzie to wynik ZeroAccess (jeśli będzie to zastosuj opcję Cure) to niczego nie usuwaj, a dostarcz raport. Ewentualnie jak wykryje ZeroAccess i inne elementy to dla ZeroAccess Cure, a dla pozostałych Skip. Skanowanie (w przypadku wykrycia ZeroAcces) powtarzasz do wyniku zero infekcji od ZeroAccess. 2. Zastosuj SpyHunterCleaner. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] fastprox.dll HKU\S-1-5-21-3587024460-2444414877-1879827049-1001\...409d6c4515e9\InprocServer32: [Default-shell32] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-3587024460-2444414877-1879827049-1001 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku S1 A2DDA; \??\D:\7. PROGRAMY\EMISOFTEMERGENCYKIT\RUN\a2ddax64.sys [X] S3 cpuz139; \??\C:\Users\Jars\AppData\Local\Temp\cpuz139\cpuz139_x64.sys [X] S3 SNP2UVC; system32\DRIVERS\snp2uvc.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] 2016-02-27 21:14 - 2016-02-27 21:14 - 8003072 _____ () C:\Users\Jars\AppData\Roaming\agent.dat 2016-02-27 21:13 - 2016-02-27 21:13 - 0127488 _____ () C:\Users\Jars\AppData\Roaming\Installer.dat 2016-02-27 21:14 - 2016-02-27 21:14 - 0018432 _____ () C:\Users\Jars\AppData\Roaming\Main.dat C:\$Recycle.Bin\S-1-5-18\$48e920f525f21bbe3db48ed747a14b87 C:\ProgramData\8zlbodzj2.ctrl C:\ProgramData\8zlbodzj2.pff C:\ProgramData\Aw1n2dA.dat C:\ProgramData\dzoqod.pad C:\ProgramData\dzoqod.reg C:\ProgramData\dzwbmj.bat C:\ProgramData\dzwbmj.pad C:\ProgramData\dzwbmj.reg C:\ProgramData\io2b.pad C:\ProgramData\io2b.reg C:\ProgramData\llfabnwll.ctrl C:\ProgramData\llfabnwll.pff C:\ProgramData\nomftc.pad C:\ProgramData\ocof43.pad C:\ProgramData\odbfre8z8z.ctrl C:\ProgramData\odbfre8z8z.pff ShortcutWithArgument: C:\Users\Jars\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% AlternateDataStreams: C:\ProgramData\Temp:1CE11B51 [163] AlternateDataStreams: C:\ProgramData\Temp:3AE22B1A [280] AlternateDataStreams: C:\ProgramData\Temp:41099CE9 [138] AlternateDataStreams: C:\ProgramData\Temp:52DBE86F [141] ExportKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE ExportKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv ExportKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc ExportKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend ExportKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób raport z narzędzia Farbar Service Scaner (FSS). Dostarcz go. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raporcie brak oznak infekcji, lecz widać sporo nałożonych polis na pulpit - to może być problemem. 1. Przygotuj dokument tekstowy z poniższa zawartością, zapisz go jako Fixlist i z poziomu środowiska WinRe za pomocą pendriva (obok narzędzie FRST) wykonaj go w FRST (KLIK). HKLM\...\Policies\Explorer: [NoActiveDesktop] 1 [0 2017-01-09] () HKLM\...\Policies\Explorer: [NoViewOnDrive] 0 HKLM\...\Policies\Explorer: [DisableLocalMachineRun] 0 HKLM\...\Policies\Explorer: [DisableLocalMachineRunOnce] 0 HKLM\...\Policies\Explorer: [DisableCurrentUserRun] 0 HKLM\...\Policies\Explorer: [DisableCurrentUserRunOnce] 0 HKLM\...\Policies\Explorer: [NoViewContextMenu] 0 HKLM\...\Policies\Explorer: [NoShellSearchButton] 0 HKLM\...\Policies\Explorer: [NoFind] 0 HKLM\...\Policies\Explorer: [NoFile] 0 HKLM\...\Policies\Explorer: [HideClock] 0 HKLM\...\Policies\Explorer: [NoTrayContextMenu] 0 HKLM\...\Policies\Explorer: [NoTrayItemsDisplay] 0 HKLM\...\Policies\Explorer: [NoSetFolders] 0 HKLM\...\Policies\Explorer: [NoDevMgrUpdate] 0 HKLM\...\Policies\Explorer: [NoSetTaskbar] 0 HKLM\...\Policies\Explorer: [NoDeletePrinter] 0 HKLM\...\Policies\Explorer: [NoDFSTab] 0 HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0 HKLM\...\Policies\Explorer: [NoLogoff] 0 HKLM\...\Policies\Explorer: [NoWindowsUpdate] 0 HKLM\...\Policies\Explorer: [NoEncryptOnMove] 0 HKLM\...\Policies\Explorer: [NoRunasInstallPrompt] 0 HKLM\...\Policies\Explorer: [NoResolveSearch] 0 HKLM\...\Policies\Explorer: [NoSaveSettings] 0 HKLM\...\Policies\Explorer: [NoHardwareTab] 0 HKLM\...\Policies\Explorer: [NoStartMenuSubFolders] 0 HKLM\...\Policies\Explorer: [NoDesktop] 0 GroupPolicy: Ograniczenia - Windows Defender S4 SBAMSvc; "C:\Program Files (x86)\iS3\STOPzilla AntiVirus\SBAMSvc.exe" [X] S0 SR; Brak ImagePath S2 srservice; Brak ImagePath S0 xLtxBxWq; System32\drivers\xLtxBxWq.sys [X] C:\ProgramData\SMRResults501.dat Czekaj cierpliwie na zakończenie procesu naprawy, po naprawie powstanie Fixlog - dostarcz go. 2. Sprawdź stan systemu, ale uruchamiając go z poziomu normalnego środowiska. 3. Jeśli system uruchomi się zrób zestaw raportów FRST z jego poziomu i przedstaw je.

W sytuacji kiedy Twój temat czeka tak długo należy go zgłosić - KLIK. Zrób nowy zestaw raportów FRST oraz GMER. Pamiętaj, aby użyć najnowszej wersji narzędzia (KLIK / KLIK).

Raport zweryfikowany

Polecamy się na przyszłość (ale to nie ma być zachęta do beztroskiego korzystania z systemu i internetu ) Jeśli chodzi o cache wtyczek to mój błąd. W wersji 56 zredukowano tą możliwość. Program AdwCleaner niczego nie wykrywa, raporty wyglądają w porządku, problem ustąpił = będziemy kończyć. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

W raportach brak oznak infekcji. Jednak widoczna jest instalacja Ace Stream Media - a to dość wątpliwa aplikacja. Jeśli z niej nie korzystasz to ją odinstaluj, jeśli korzystasz zostaw. Temat przenoszę do działu Sieci.