lookaka Opublikowano 2 Grudnia 2014 Zgłoś Udostępnij Opublikowano 2 Grudnia 2014 Dobry dzień, Po zalogowaniu w systemie biały ekran. Użytkownik zeznaje, że były komunikaty "policyjne". Na szczęście administrator działa. Z góry dziękuję za zerknięcie w logi. Pozdrawiam Łukasz Shortcut.txt Addition.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2014 Zgłoś Udostępnij Opublikowano 2 Grudnia 2014 Logi z Administratora są bezużyteczne - inny kontekst konta i brak pokazanych wpisów charakterystycznych dla danego konta. Wymagane logi ze zdefektowanego konta Artur. Przenieś FRST ze ścieżki zależnej od konta do uniwersalnej wprost na C:\. Zastartuj do Trybu awaryjnego z Wierszem polecenia, zaloguj się na konto Artur, w linii komend wpisz C:\FRST.exe i ENTER. Dostarcz nowe logi FRST (włącznie z Addition, ale bez Shortcut). Odnośnik do komentarza
lookaka Opublikowano 3 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Załączam... Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2014 Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Tak, na koncie Artur siedzi infekcja, która w opisie udaje "Avirę". Operacje dla tego konta: 1. W Notatniku przygotuj plik o treści: HKU\S-1-5-21-1645522239-1454471165-839522115-1003\...\Winlogon: [shell] C:\Documents and Settings\Artur\Dane aplikacji\Other.res [173056 2010-12-09] (Avira Operations GmbH & Co. KG) S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X] S4 InCDFs; system32\drivers\InCDFs.sys [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-21-1645522239-1454471165-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope value is missing. DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path AlternateDataStreams: C:\3590F75ABA9E485486C100C1A9D4FF06ZZ...ZZZ.ZZ..ZZZ:1 AlternateDataStreams: C:\3590F75ABA9E485486C100C1A9D4FF06ZZ..ZZ.ZZZ..Z.ZZ:1 C:\Documents and Settings\Artur\Dane aplikacji\Other.res C:\Documents and Settings\Artur\Dane aplikacji\ArcaBit C:\Documents and Settings\Artur\Dane aplikacji\ArcaMicroScan C:\Documents and Settings\Artur\Dane aplikacji\AutoUpdate C:\Documents and Settings\Artur\Dane aplikacji\Igyz C:\Documents and Settings\Artur\Dane aplikacji\Kamerzysta C:\Documents and Settings\Artur\Dane aplikacji\Okope C:\Documents and Settings\Artur\Dane aplikacji\Opfyol C:\Program Files\Mozilla Firefox C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Z poziomu Trybu normalnego odinstaluj stare dziurawe wersje (jedna z przyczyn infekcji) Adobe Flash Player 10 Plugin, Adobe Flash Player 12, Java 6 Update 31 oraz sponsorowany zbędnik McAfee Security Scan Plus. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
lookaka Opublikowano 3 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Od razu lepiej... W załączeniu logi. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Wszystko zrobione. 1. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll No File CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Pokaż wynikowy fixlog.txt. 2. Na wszelki wypadek zrób pełny skan za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeśli coś zostanie wykryte, dostarcz raport, w przeciwnym wypadku jest on zbędny. Odnośnik do komentarza
lookaka Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Dobry wieczór... W załączeniu logi - fixlog oraz "cosie" w logu mbam. Fixlog.txt mbam.txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2014 Zgłoś Udostępnij Opublikowano 5 Grudnia 2014 Fix zrobiony. Te wszystkie wyniki pokazane w MBAM (szczątki adware) do usunięcia za pomocą programu - czy wykonane to zostało? Na zakończenie: 1. Usuń ręcznie folder C:\Documents and Settings\Artur\Pulpit\frst. Następnie zastosuj DelFix. 2. Sugeruję instalację Malwarebytes Anti-Exploit (dostępna darmowa wersja), by ograniczyć podobne zjawiska infekcyjne. Odnośnik do komentarza
lookaka Opublikowano 5 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2014 Tak - to co znalazł MBAM usunąłem za jego pomocą. DelFix zrobiony (log). Malwarebytes Anti-Exploit zainstalowany. Dziękuję - tak ...i owak Pozdrawiam DelFix.txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2014 Zgłoś Udostępnij Opublikowano 5 Grudnia 2014 Możesz skasować plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi