Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Szalejące ściny

Xantt

Przez Xantt
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Tu może mulić z dwóch powodów:

 

- Przeinwestowane oprogramowanie zabezpieczające, czysta zgroza: zainstalowane i czynne równolegle AVG 2014 + Norton Internet Security.

- Infekcja. Mamy co czyścić, w systemie są keyloggery Tibia (nabyte z lewych instalacji botów / changerów etc. do Tibia), jeden z keyloggerów czynny:

 

==================== Processes (Whitelisted) ===================
 

(Oracle Corporation) E:\Windows\System32\javaw.exe
 

==================== Registry (Whitelisted) ==================
 

HKCU\...\Run: [spoolsv32] - "E:\Windows\system32\javaw.exe" -jar "E:\Users\Konrad\AppData\Roaming\Win32\spoolsv32.jar"

 

Jest też adware, załatwiłeś się portalowymi "Asystentami pobierania", widać pobrane pliki tych śmieci a nie poprawne instalatory:

 

2013-12-11 15:15 - 2013-12-11 15:15 - 00401720 _____ (Softonic ) E:\Users\Konrad\Downloads\SoftonicDownloader_dla_jetclean.exe

2013-11-30 17:51 - 2013-11-30 17:52 - 00685248 _____ E:\Users\Konrad\Downloads\3nity-CD-DVD-BURNER(39358).exe

2013-11-12 15:25 - 2013-11-12 15:25 - 00685248 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(2).exe

2013-11-12 15:18 - 2013-11-12 15:18 - 00684184 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe.part

2013-11-12 15:18 - 2013-11-12 15:18 - 00683920 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe.part

2013-11-12 15:18 - 2013-11-12 15:18 - 00000000 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe

2013-11-12 15:18 - 2013-11-12 15:18 - 00000000 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe

 

Do czytania na potem o portalach i jak uniknąć tych syfów: KLIK.

 

 

Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

(Oracle Corporation) E:\Windows\System32\javaw.exe
HKCU\...\Run: [spoolsv32] - "E:\Windows\system32\javaw.exe" -jar "E:\Users\Konrad\AppData\Roaming\Win32\spoolsv32.jar"
Winlogon\Notify\LogonInit: logonInit.dll [X]
Task: {39D73616-7CCF-4219-BD4F-87C919A30E88} - System32\Tasks\Go for FilesUpdate => E:\Program Files\GoforFiles\GFFUpdater.exe
Task: {4A3F21DF-448B-441F-B902-2414FDF7A4EA} - System32\Tasks\{BE50B698-2E44-4BA5-8D69-56C1143058B4} => C:\Program Files\Magebot\magebotv55.exe
Task: {82D56E82-CD75-489E-9816-DD37393CEFFD} - System32\Tasks\FoxTab => E:\Users\Konrad\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () 
Task: {CE14E623-520A-427B-B0D2-263388392142} - System32\Tasks\{E3AFC343-5EB2-479D-ACA2-D62F3B07AF6D} => E:\Users\Konrad\Desktop\ElfBot NG 8.6\loader.exe
Task: {FCBAFE06-C22E-4918-AAD3-F29729521E4E} - System32\Tasks\{7336CF3B-19BA-4477-9D82-C272181EB54A} => E:\Users\Konrad\Desktop\ElfBot NG 8.6\loader.exe
Task: E:\Windows\Tasks\FoxTab.job => E:\Users\Konrad\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE 
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=hp_ss&mntrid=f0c0bc5ff40b78e3&affid=119357&tt=150913_ctrl&tsp=5008
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/custom?domains=entretieneteds.to.md&q=&sitesearch=&client=pub-3439752189615153
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=F0C0BC5FF40B78E3&affID=119357&tt=150913_ctrl&tsp=5008
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=F0C0BC5FF40B78E3&affID=119357&tt=150913_ctrl&tsp=5008
S3 GGSAFERDriver; \??\C:\Garena Plus\Room\safedrv.sys [x]
S2 LMIInfo; \??\E:\Program Files\LogMeIn\x86\RaInfo.sys [x]
S4 LMIRfsClientNP; No ImagePath
E:\Users\Konrad\AppData\Roaming\AVG2013
E:\Users\Konrad\AppData\Roaming\Babylon
E:\Users\Konrad\AppData\Roaming\GoforFiles
E:\Users\Konrad\AppData\Roaming\H57srg30yihaJNCdfUfQTIddSQoDqO
E:\Users\Konrad\AppData\Roaming\MSDrvCfg
E:\Users\Konrad\AppData\Roaming\OpenCandy
E:\Users\Konrad\AppData\Roaming\Ospux
E:\Users\Konrad\AppData\Roaming\Ozin
E:\Users\Konrad\AppData\Roaming\Splashtop
E:\Users\Konrad\AppData\Roaming\Thinstall
E:\Users\Konrad\AppData\Roaming\Win32
E:\Users\Konrad\Downloads\ipchanger(3).exe
E:\Users\Konrad\Downloads\3nity-CD-DVD-BURNER(39358).exe
E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe
E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe
E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(2).exe
E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe.part
E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe.part
E:\Users\Konrad\Downloads\SoftonicDownloader_dla_jetclean.exe
E:\Users\Konrad\Documents\Mobogenie
E:\Users\Konrad\AppData\Local\Mobogenie
E:\Users\Konrad\AppData\Local\cache
E:\Users\Konrad\daemonprocess.txt
E:\Program Files\Mobogenie
E:\Program Files\mozilla firefox\searchplugins\babylon.xml
E:\Program Files\mozilla firefox\plugins\npwachk.dll
E:\ProgramData\McAfee

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj: adware Foxtab, Qtrax Player oraz wszystkie boty / dodatki do Tibia i nadwyżkę antywirusów.

 

3. Wyczyść przeglądarki z adware:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia trzeba będzie potem przeinstalować.

- Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (zaznacz, by powstał ponownie plik Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Czy po wykonaniu działań jest jakaś zmiana w pracy systemu? I jeszcze poprawki na szczątki:

 

1. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.

 

2. Otwórz Notatnik i wklej w nim:

 

Task: {2D0C9B8D-3B6E-4B66-8951-8C4F6887D7D9} - System32\Tasks\Norton Identity Safe\Norton Error Processor => E:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe
Task: {FECAA87A-5E95-42B9-B6A3-E91D4D3F5E29} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => E:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe
SearchScopes: HKLM - DefaultScope value is missing.
Toolbar: HKCU - No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File
E:\ProgramData\Norton
E:\ProgramData\Uniblue
E:\Users\Konrad\AppData\Local\OtLand
E:\Users\Konrad\Documents\Norton AntiVirus.lnk
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystko wykonane. Przejdź do wykończeń:

 

1. Ponownie uruchom TFC - Temp Cleaner.

 

2. Przez SHIFT+DEL skasuj foldery:

 

C:\FRST

E:\Users\Konrad\Desktop\Stare dane programu Firefox

E:\Users\Konrad\Downloads\FRST-OlderVersion

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. W związku z obecnością loggerów Tibia pozmieniaj prewencyjnie hasła w grach i innych serwisach.

 

5. Do aktualizacji cały Windows, pakiet Office, Silverlight i Adobe Reader: KLIK. Stan obecny:

 

Microsoft Windows 7 Ultimate (X86) OS Language: Polish

Internet Explorer Version 8
 

==================== Installed Programs ======================
 

Adobe Reader XI (11.0.03) (Version: 11.0.03)

Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014)

Microsoft Silverlight (Version: 5.1.20513.0)

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...