picasso

Teraz poszło. Na wszelki wypadek zapuść sobie SystemLook ponownie. Dysk C załatwiony. W spisie widzialnych partycji jest też mini partycja serwisowa HP_TOOLS. Przeglądnij ją ręcznie czy nie ma tego rodzaju plików zawierających frazę "itqjnld". Znalezione skasuj przez SHIFT+DEL (omija Kosz). ==================== Drives ================================ Drive c: (Packard Bell) (Fixed) (Total:286.27 GB) (Free:97.64 GB) NTFS ==>[System with boot components (obtained from reading drive)] Drive f: (HP_TOOLS) (Removable) (Total:0.12 GB) (Free:0.01 GB) FAT

Coś mnie zaćmiło z komendą attrib, ona w podanej formie nie jest rekursywna, zapomniałam o przełączniku /s. Kolejny skrypt do FRST: CMD: attrib -h -s C:\*.itqjnld /s CMD: del /q /s C:\*.itqjnld Podaj wynikowy fixlog.txt.

Logi FRST są bezużyteczne, pochodzą z limitowanego konta Gość: Ran by Guest (ATTENTION: The logged in user is not administrator) on SOLSKIER-PC on 01-02-2015 12:38:13 Running from C:\Users\Guest\Downloads Loaded Profiles: Solskier & Sol & Guest (Available profiles: Solskier & Sol & Guest) Wyloguj się z tego konta całkowicie poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i zaloguj na właściwe konto o uprawnieniach administracyjnych. Z poziomu tego konta pobierz FRST ponownie i zrób trzy logi.

Fix dużo usunął, ale nie wszystko. Maska nie objęła plików mających rozszerzenie BMP po sufiksie szyfracyjnym oraz plików z atrybutem ukrytym bądź ukrytym systemowym. Poprawka: 1. Do Notatnika wklej: CMD: attrib -h -s C:\*.itqjnld CMD: del /q /s C:\*.itqjnld CMD: del /q /s "C:\Decrypt All Files itqjnld.bmp" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. 2. Ponów szukanie SystemLook. Nie powinien nic pokazać.

Przestarzały OTL nie jest brany pod uwagę. Proszę dostosuj się do zasad działu jakie logi są obowiązkowe (FRST + GMER): KLIK.

Na temat używania ComboFix: KLIK. Log już zostaw, by było wiadome co było mieszane. Proszę się dostosować do zasad działu i dostarczyć obowiązujące tu logi FRST i GMER: KLIK. A także opisać o co Ci w ogóle chodzi z "robalem", tzn. co się dzieje.

Porównaj z tym tematem: KLIK. Definiując Received: from ----> adres IP możesz wyszukać IP na Whois i zgłosić abuse na podany odnośnik e-mail. Poza tym, możesz obstawiać nie ten komputer co trzeba. Przyczyną może być zainfekowany komputer firmowy, w którym jest książka adresowa z adresem żony, a szkodnik na owym komputerze losuje dane adresowe i rozsyła spam na wszystkie adresy z książki. W raportach nie ma żadnych oznak infekcji, nie było jej również w żadnym z logów podanym na tamtym forum. Jedyne obiekty infekcji były wykrywane w dwóch Koszach klienta pocztowego. Nie liczę drobnych wpisów adware w Firefox i odczytu AdwCleaner, bo to kompletnie bez związku. PS. Nie analizowałam dokładnie tematu na dobrychprogramach, ale tam były dziwne instrukcje, ten kto podawał skrypty nie wygląda na zbyt obeznanego, ani w Windows, ani w obsłudze FRST. Na szybko uwagi:

Skoro nie widzisz tej pozycji, to być może już jej po prostu nie ma. Mogło się tak stać, jeśli coś robiłeś w zakresie instalacji Adobe np. uruchamiając instalator. Wątpię, by to było powiązane z adware, inny poziom modyfikacji. Jak rozumiem odinstalowałeś poniższe oprogramowanie, gdyż nic innego z listy Addition nie pasuje do tematu "touchpad". Finger Sensing Pad Driver (HKLM\...\{E86906FF-C63D-4EAF-ACE7-5F8D55FBEA9A}) (Version: 8.8.8.6 - Sentelic) Owszem, widzę różnicę między pierwszym a drugim głównym raportem FRST, tzn. w międzyczasie zniknął wpis startowy "fspuip". Nie wiadomo skąd ten zanik, ponieważ nic nie było usuwane z tego zakresu jawnie. Nie trzeba było deinstalować oprogramowania (sterownik "fspad_win764" był ciągle na miejscu), tylko należało przywrócić wpis startowy. HKLM\...\Run: [fspuip] => C:\Program Files\FSP\fspuip.exe [5803520 2012-09-07] (Sentelic Corporation) Jeli chodzi o link do pobierania softu, to w jaki sposób został wytypowany i z jakim modelem laptopa mamy tu do czynienia?

Co oznacza plik "fixit.txt"? Skrypty są jednorazowego użytku. Poprzedni skrypt nie ma zastosowania ani ponownie na tym samym stanie systemu, ani po użyciu Przywracania systemu, gdy system wygląda inaczej. W obecnej sytuacji inne instrukcje doczyszczania śmieci: 1. Odinstaluj stare wersje i zbędniki: Acrobat.com, Ad-Aware Browsing Protection, Ad-Aware Security Add-on, Adobe Shockwave Player 12.1, DriverMax 7, Gadu-Gadu 6.1. Jeśli chodzi o ten straszny Gadu-wtręt (wersja dziurawa jak rzeszoto, niebezpieczna, a obsługa Gadu umowna), to zainteresuj się nowoczesnym WTW: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 SBRE; No ImagePath S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] BootExecute: autocheck autochk * sdnclean64.exe HKLM\...\Run: [] => [X] HKU\S-1-5-21-564767970-4186023011-380315173-1000\...\Run: [CCleaner] => "C:\Program Files\CCleaner\CCleaner64.exe" /AUTO Task: {5384B913-52FC-4B56-8482-5B4F92AE9D34} - System32\Tasks\SvcDelay => C:\Windows\temp\SvcDelay.exe Task: {6DD3AC14-94AA-47B0-8763-EAE57D273563} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {88C6A8CA-71F3-4178-B80A-19893AB30BBB} - System32\Tasks\Express Files Updater => C:\Program Files (x86)\ExpressFiles\EFupdater.exe Task: {D56931E0-CFF4-4F9B-B864-6A271341731C} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => C:\PROGRA~2\AD-AWA~1\AdAwareLauncher.exe GroupPolicyUsers\S-1-5-21-564767970-4186023011-380315173-1000\User: Group Policy restriction detected HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141101 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141101 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-564767970-4186023011-380315173-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141101 SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File CHR HKLM-x32\...\Chrome\Extension: [oejkcgajlodefenbbjdnaiahmbnnoole] - C:\Program Files (x86)\adawaretb\chrome-newtab-search.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [Not Found] C:\Users\mirra\Downloads\*(*)-dp*.exe C:\Windows\system32\SET*.tmp CMD: for /d %f in (C:\Users\mirra\AppData\Local\{*}) do rd /s /q "%f" Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {DBD64135-7390-4F52-9069-56A8BCA4D47E} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {DBD64135-7390-4F52-9069-56A8BCA4D47E} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz fixlog.txt.

Jeśli chodzi o czyszczenie systemu, to skończyliśmy. Do zastosowania DelFix oraz czyszczenie folderów Przywracania systemu: KLIK. Jeśli chodzi o nowe wątki, to załóż temat w dziale Hardware dostarczając dane specjalistyczne pod tematykę sprzętową: KLIK. Zlinkuj też tam ten temat, by było wiadomo że poziom software został tu już załatwiony.

Można jeszcze powyłączać określone wpisy startowe oraz owszem wymienić antywirusa (np. Webroot SecureAnywhere Antivirus lub Panda Cloud Antivirus). Odpowiadam po długim czasie, więc muszę mieć nowe raporty FRST zrobione "z teraz".

Jeśli chodzi o listę zaszyfrowanych plików, to można wyrzucić pliki nieistotne będące składową instalacji programów. Niestety z ważnymi plikami użytkownika nic nie da się zrbić. 1. Ważne zaszyfrowane pliki skopiuj z C na jakiś odrębny nośnik. Akcja tylko na wszelki wypadek, bo nie ma żadnych szans na odszyfrowanie danych. 2. Usuń wszystkie pozostałe pliki. Otwórz Notatnik i wklej w nim: CMD: del /f /q /s C:\*.itqjnld Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Skrypt może się bardzo długo wykonywać. Przedstaw wynikowy fixlog.txt. 3. Po w/w operacji uruchom SystemLook na tych samych warunkach co poprzednio, by się upewnić, że brak już wyników.

Przejrzałam listę zaszyfrowanych plików. Pozbądź się określonych plików które nie są istotne (pliki tekstowe / dokumenty zainstalowanych programów). 1. Na początek na wszelki wypadek istotne pliki użytkownika, które zostały zaszyfrowane, przenieś z dysku C i pozostałych na osobny nośnik. Ale nie ma szans na dekrypcję. I nic więcej nie da się zrobić. 2. Otwórz Notatnik i wklej w nim: CMD: attrib -h -s C:\*.fafktzg /s CMD: del /q /s C:\*.fafktzg CMD: del /q /s "C:\Decrypt All Files fafktzg.bmp" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Skrypt robi rekursywne usuwanie wszelkich plików z sufiksem *.fafktzg, dlatego może się bardzo długo wykonywać. Pokaż fixlog.txt. 3. Po w/w operacji uruchom SystemLook na tych samych warunkach co poprzednio, by się upewnić czy coś jeszcze widzi na dysku C.

Proponuję więc testową deinstalację tego oprogramowania, by się przekonać czy wprowadzi to jakieś zmiany. PS. Fix FRST wykonany. Możesz skorzystać z DelFix.

MBAM wykrył nieco więcej, bo zapomniałam na śmierć, że usuwanie równoległe z obu kont na raz wymaga załadowania obu kont. Te drobne klucze rejestru doczyść za pomocą MBAM. Poza tym, wszystko wykonane.Jeszcze sprawdź czy widzi coś AdwCleaner w trybie Szukaj.

Bassyll, zasady działu na temat obowiązujących raportów: KLIK. OTL nie jest brany pod uwagę, należy dostarczyć FRST i GMER.

Zoozka, jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić wypowiedź, proszę stosuj funkcję Edytuj,, zamiast pisać post pod postem. Skleiłam powyższe odpowiedzi. Wracając do problemu: nie wiem do końca jakie elementy bierze pod uwagę ten test online, choć wydawało mi się, że test jest wykonywany pod kątem właśnie owego "Remote". Moim zdaniem po wyczyszczeniu DNS, upgradzie firmware oraz wykonaniu edycji w Remote Management + Local Management w połączeniu ze zmianą haseł na niestandardowe nie ma co więcej konfigurować i nie wiem dlaczego to nie jest skuteczne w Twoim przypadku. Jeśli nadal jest problem z wynikami testu oraz MBAM uporczywie zgłaszającym próby podmiany DNS, to nasuwa się: - Nowszy firmware może być "stary", tzn. i tak nie mieć zabezpieczenia. W takim przypadku można rozważać wymianę oprogramowania alternatywą w rodzaju DD-WRT lub OpenWrt. - Kontakt z producentem routera / dostawcą sieciowym w celu wyjaśnienia tego faktu. - Wymiana routera na bezpieczniejszy out-of-box model...

Wszystko pomyślnie usunięte, ale jesteśmy w połowie. Brontok tworzy w ogromnej ilości katalogów falsyfikaty w postaci plików EXE o nazwie jak katalog w którym siedzą, a przypadkowe uruchomienie takiego pliku zainfekuje ponownie system. Konieczny pełny skan za pomocą programu który wykrywa takie pliki. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Dopiero po wykonaniu powyższego działania zainstaluj Malwarebytes Anti-Malware. Zrób pełny skan (a nie ekspresowy) komputera. MBAM wykrywa obiekty Brontok pod nazwą kodową Trojan.Dropper. Jeśli program coś znajdzie, dostarcz raport.

Fix FRST w 99% wykonany, pomyliłeś się wklejając skrypt do Notatnika i obciąłeś pierwszą literkę, dlatego pierwsza linia nie została przetworzona. AdwCleaner widzi dużo śmieci. Kolejne zadania: 1. Uruchom AdwCleaner ponownie. Zastosuj Szukaj + Usuń. Następnie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\ocznik1986\Desktop\FRST-OlderVersion CMD: del /q C:\Users\ocznik1986\Downloads\MCPR.exe CMD: del /q C:\Users\ocznik1986\Downloads\MCPR_2.0.155.1.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Zadanie wykonane. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Kolejna porcja czynności: 1. Mówiłam poprzednio zadając czyszczenie Google Chrome: Nie wygląda na to, że zostało to wtedy wykonane, gdyż AdwCleaner notuje mnóstwo śmieciarskich wyszukiwarek. Tak więc wykonaj zadanie, do usunięcia są wyszukiwarki: AVG, Babylon, Delta, Softonic, Startsear, SweetIM. 2. Po w/w czynności uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po tym czyszczeniu: 3. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Administrator RemoveDirectory: C:\Users\Gość RemoveDirectory: C:\Users\Karolina\AppData\Local\Google\Chrome SxS Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

1. Uruchom AdwCleaner ponownie. Zastosuj Szukaj + Usuń. Następnie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

OK, kończymy: 1. Skasuj używane tu narzędzia z j:\INSTALKI\ANTYWIRUSY etc. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu (o ile coś powstało, początkowo brak punktów): KLIK. 3. O dodatkowym zabepieczeniu Malwarebytes Anti-Exploit już wspominałam.

1. Uruchom AdwCleaner ponownie. Zastosuj Szukaj + Usuń. Następnie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Na przyszłość uważaniej czytaj instrukcje, FRST miał utworzyć trzy raporty (trzecim jest Shortcut). To nie jest problem infekcji. Temat przenoszę do bardziej stosownego działu, na razie do działu Windows, gdyż prawdopodobnie problem jest na poziomie zainstalowanego software. 1. I to właśnie pakiet zabezpieczeń może tworzyć problem, tu jest nie tylko antywirus lecz także firewall. Rezyduje achaiczna wersja Trend Micro Titanium Internet Security z roku 2010. Rozpocznij od kompletnej deinstalacji tego programu. 2. Świeżo zainstalowany Windows, więc trzeba uzupełnić wszystkie aktualizacje z Windows Update. Obecnie nie zabezpieczony łysiutki Windows bez SP1, IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: FF) I jeszcze jedna uwaga: dziurawiec Java™ 6 Update 37 do eliminacji. Więcej: KLIK. 3. Dziennik zdarzeń sugeruje także, że należy aktualizować sterowniki sprzętowe i/lub BIOS: System errors: ============= Error: (01/29/2015 09:10:16 AM) (Source: ACPI) (EventID: 13) (User: ) Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera.