SurfVox na Windows 8.1

[lokoskul22]

Witam serdecznie. Nie wiem kiedy (prawdopodobnie przez torrenty) złapałem wirus SurfVox. Przekierowuje on chroma do spreparowanego firefoxa którego nigdy nie instalowałem i nie da się go wykryć w systemie (nie ma go na liście programów, nie ma rejestrów, nie da się go wyszukać) i podmienia stronę startową. Zaszył się także na liście odwiedzanych stron w IE. Ponadto wydaje mi się że za jego sprawą blokowany jest dostęp do ustawień PC, nie da się włączyć windows defendera, menadżera windows i programu OTL, cały czas usiłuje ustawić firefoxa na domyślną przeglądarkę. Bardzo proszę o szybką pomoc ponieważ komputer jest mi potrzebny do pracy. Z góry dzięki

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[Rucek]

probowales zrobic logi OTL w trybie awaryjnym?

[picasso]

Rucek

 

Na Windows 8 domyślnie nie jest łatwo wejść do Trybu awaryjnego. OTL jest też słabo zgody z tą platformą, więc w tym przypadku możemy go ominąć.

 

 

lokoskul22

 

Możliwe, iż programów nie da się uruchomić ze względu na infekcję. Druga sprawa: Windows ma modyfikowany system aktywacji (KMSpico). I czy Firefox to wersja Modern UI czy klasyczna? Obecnie w logach brak wykrytego Firefoxa.

 

 

Działania wstępne pod kątem infekcji:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-721118335-2541393669-1043028165-1001\...\Run: [nvxasync] => C:\Users\Adrian\AppData\Roaming\nvxasync\nvxasync.exe [76678656 2014-09-29] ()
HKU\S-1-5-21-721118335-2541393669-1043028165-1001\...\Winlogon: [shell] C:\ProgramData\nvxasync\nvxasync.exe [76678656 2014-09-29] () 
C:\ProgramData\nvxasync
C:\Users\Adrian\AppData\Roaming\nvxasync
C:\Users\Adrian\AppData\Roaming\fpacked.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są widoczne zmiany.

 

 

.

[lokoskul22]

Dzięki. Pisze z innego komputera, ten wirus jest chyba zaawansowany ponieważ na IE blokuje dostęp do fixitpc a do innych stron nie blokuje. Zaraz spróbuje metody picasso i odpisze co sie dzieje.

[lokoskul22]

Fix zrobiony, poza defenderem wszystko działa, na pulpicie pojawiły się pliki (screen), na partycjach pojawiły się pliki recycle.bin i system voliume information.

 

Dodatkowe pytanie: od czasu infekcji używałem peandrive'a i przenosilem nim dane między komputerami. Czy to możliwe że jest zainfekowany ?

Extras.Txt

Fixlog.txt

FRST.txt

GMER.txt

OTL.Txt

[picasso]

Proszę stosuj funkcję Edytuj, gdy trzeba uzupełnić posta, a nikt jeszcze nie odpisał. Posty sklejam.

 

 

Dodatkowe pytanie: od czasu infekcji używałem peandrive'a i przenosilem nim dane między komputerami. Czy to możliwe że jest zainfekowany ?

Wątpię. To nie jest infekcja tego rodzaju.

 

 

poza defenderem wszystko działa, na pulpicie pojawiły się pliki (screen), na partycjach pojawiły się pliki recycle.bin i system voliume information.

Te pliki i foldery są w porządku. Były od początki instalacji Windows tylko ich nie widziałeś. Skan OTL przestawia w Opjach folderów "Pokaż ukryte foldery i pliki" + "Ukryj chronione pliki systemu operacyjnego". To ta pogrubiona opcja steruje widocznością wymieniach elementów.

- Pliki desktop.ini: odpowiadają za specjalną ikonę Pulpitu i polonizację nazwy (dlatego w eksploratorze widzisz "Pulpit" zamiast "Desktop"). Są dwa, gdyż Pulpit który widzisz to wirtualna przestrzeń składająca dwa foldery w widok ogólny: C:\Users\Twoje konto + C:\Users\Public

- System Volume Information: folder Przywracania systemu i operacji związanych z cieniowaniem woluminu.

- $Recycle.Bin: prawdziwy folder Kosza powielony na każdym dostępnym dysku. Na Pulpicie to tylko wirtualny skrót.

 

 

Infekcja pomyślnie usunięta. Widzę też, że chyba coś robiłeś na własną rękę w KMSpico, gdyż zniknął jednen z jego wpisów. Natomiast pytaniem jest co się pokazuje podczas próby uruchomienia Windows Defender. Dodaj też log z Farbar Service Scanner.

 

 

 

 

.

[lokoskul22]

KMSpico nie ruszałem nigdy, był on dołączony do pirackiej windy (wersja "activated"). Cała reszta w załącznikach. Napisze dla ciebie chyba psalm pochwalny bo sam bym sobie nie poradził

FSS.txt

[picasso]

Wg raportu Windows Defender nie istnieje w systemie (brak usługi i powiązanych plików). Czy w ogóle na dysku jest folder C:\Program Files\Windows Defender? Czy Windows Defender kiedykolwiek działał? Co to za Windows, jak silnie modyfikowany?

[lokoskul22]

Istotnie go nie ma - nie zauważyłem tego, jednak nie przeszkadza mi to zbytnio, pobiore  jakiegoś antywira. Czy zauważyłaś braki w jakiś usługach, funkcjach itp ? thx

[picasso]

Czy Twoja wypowiedź oznacza, iż nie było go od początku instalacji Windows? Jeśli ogólnie chodzi o ten piracki Windows, to nie jestem w stanie stwierdzić czy to jakiś kastrat silnie modyfikowany i co jeszcze jest w nim nie tak. Nie wiadomo też, czy ten kto robił płytę nie zaszył czegoś brzydkiego w nim. Takie nielegalne produkcje mogą mieć backdoory. Jest oczywistym co tu zalecam, tzn. wyposażenie się w oryginalny Windows. Forum nie może wspierać piratów.

 

 

 

 

.

[lokoskul22]

Doskonale to rozumiem, ale nie każdego stać na pudełko z windą. Dzięki za pomoc - komputer chodzi normalnie, na pewno polecę każdemu to forum. 

Do zamknięcia.

[picasso]

Doskonale to rozumiem, ale nie każdego stać na pudełko z windą.

Tu nie jest pewne czy to pełnosprawny i czysty Windows. Brak Windows Defender jest niejasny, nie wiadomo czy to kastracja w płycie, czy wynik innych czynników.

 

Na koniec jeszcze te kroki:

 

1. Usuń C:\Users\Adrian\Downloads\FRST. Zastosuj też DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.