Bako Opublikowano 12 Grudnia 2014 Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 Jak w temacie mam problem z tym cholerstwem. Malwarebytes nie dał rady. Z kliknięciem lub otwarciem strony w nowym oknie przenosi mnie na stronę adfoc.us Nie znalazłem podobnego tematu założyłem więc nowy. Załączam logi mam nadzieje, że te wystarczą.Extras.Txt OTL.Txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2014 Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 Jest zainfekowany router. Pierwszy adres jest szkodliwy: KLIK. Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8 Dodatkowo, w systemie jest grubsza usterka, tzn. uszkodzenie jednej z baz Usług kryptograficznych - masowy odczyt [File not signed] usług i sterowników. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {746C72F3-2176-481A-8154-B2AF245CD7E5} - System32\Tasks\{D34A98BF-BA88-48F7-A375-278F9FD3E4C4} => pcalua.exe -a C:\Users\Bakoma\chomikbox\ero\Patricia\Patricia.exe -d C:\Users\Bakoma\chomikbox\ero\Patricia Task: {818B788E-0326-4781-840D-EE043A8FF409} - System32\Tasks\{E2034237-061F-4EC1-ACAB-F600B145FC8B} => pcalua.exe -a "C:\Users\Bakoma\chomikbox\ero\Sativa\VirtualFem v3.0.2b (Vista & 7).exe" -d C:\Users\Bakoma\chomikbox\ero\Sativa Task: {91F1E87D-E1A4-4D3C-9C4F-4EBBEFF86407} - System32\Tasks\{49365A3B-6144-4919-9B46-8C93F52DBF42} => C:\Program Files\Origin Games\The Sims 2 Ultimate Collection\Fun with Pets\SP9\TSBin\Sims2EP9.exe Task: {AFD08FF5-31A1-43F3-B749-41BBD30A600A} - System32\Tasks\{CDBE3CB2-77CC-4703-B5CA-96ADE8C1FE2F} => pcalua.exe -a J:\GDFTHR_inst.exe -d J:\ CHR HKLM\...\Chrome\Extension: [acaoakiamfeidcmgooclgeleejkbaecf] - C:\Program Files\WinToFlash Suggestor\WinToFlashSuggestor.crx [Not Found] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKLM -> DefaultScope value is missing. FF Plugin: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) C:\Program Files\Mozilla Firefox C:\Users\Bakoma\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Bakoma\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Bakoma\AppData\Roaming\Mozilla\Firefox C:\Windows\msdownld.tmp Folder: C:\Program Files (x86) Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player ActiveX Packages" /f CMD: ipconfig /flushdns cmd: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz pole Shortcut, bo zapomniałeś ten log podać). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Bako Opublikowano 12 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 Wygląda na to, że wszystko okej. Był jeden problemik przy pierwszej próbie zrobienia Fixa system sie wysypał i zrestartował. Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2014 Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 Log nie pokazuje żadnych zmian: 1. Router nadal zainfekowany: Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8 Co Ty właściwie robiłeś? To nie jest infekcja w Windows tylko w routerze i tu nie pomogą żadne skrypty / skany / fixy w Windows, musisz wyczyścić router i go zabezpieczyć wg podanych wcześniej kroków. Wszystko z poprzedniego pierwszego punktu nadal aktualne. 2. Nadal jest masowe [File not signed]. Jeśli to stan po użyciu narzędzia Fix-it, upewnij się, że nie masz zainstalowanej felernej łaty KB3004394: KLIK. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj, ponów reset narzędziem Fix It 50202. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Odnośnik do komentarza
Bako Opublikowano 12 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 Zmieniłem ustawienia w routerze. Wykasowałem łatkę. Zrobiłem Fixa. FRST.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2014 Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 Wszystko zrobione, w nowym raporcie czysto oraz usterka braku podpisów cyfrowych jest rozwiązana. Pytania: - Na pewno zabezpieczyłeś router - czy podany test zwraca stosowny komunikat: KLIK? - Czy wiesz skąd tu się znalazł folder C:\Program Files (x86) z mnóstwem podfolderów relatywnych do gier? To folder 64-bitowego Windows, a Ty posiadasz system 32-bit, więc folder kompletnie nie działa i jest do usunięcia. Kolejne czynności: 1. Odinstaluj stare wersje: ESET NOD32 Antivirus (tragicznie stara wersja - komponenty z lat 2007/2008!), HiJackThis, Java 7 Update 45, Java 8 Update 20, Java SE Development Kit 8. Nie potrzebujesz też Adobe Flash Player 15 Plugin (to wtyczka dla Firefox i Opera). Od razu też zaktualizuj Adobe Flash dla IE oraz Thunderbird KLIK. 2. Jeden ze skrótów Internet Explorer jest uszkodzony (utrata specjalnego atrybutu): Shortcut: C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Doczyszczenie martwych skrótów. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android SDK Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVS4YOU C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Illusion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1-click run C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AVS4YOU C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Portable Programs C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SmartTweak Software CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Podsumuj jak działa system. Odnośnik do komentarza
Bako Opublikowano 13 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2014 Tak stosowny komunikat jest. Folder jest potrzebny drugi dysk drugi system. Odinstalowałem, dopisałem, doczyściłem. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2014 Zgłoś Udostępnij Opublikowano 13 Grudnia 2014 Prawie wszystko wykonane, za wyjątkiem aktualizacji wtyczki Adobe Flash dla IE oraz Thunderbird. Stan obecny: ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated) Adobe Flash Player 16 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated) Mozilla Thunderbird 24.6.0 (x86 pl) (HKLM\...\Mozilla Thunderbird 24.6.0 (x86 pl)) (Version: 24.6.0 - Mozilla) Wtyczka "NPAPI" jest dla Firefox i produktów Mozilla pochodnych (np. OpenFM). Wtyczka "ActiveX" dla Internet Explorer. Odinstaluj wersję ActiveX i zainstaluj najnowszą z tego linka: KLIK. Folder jest potrzebny drugi dysk drugi system. Ten folder jest bardzo ubogi, to jakiś kastrat. Drugi system powinien mieć własny folder X:\Program files (x86). Czy na pewno ten folder na C jest używany? Odnośnik do komentarza
Bako Opublikowano 14 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Tak na pewno jest używany. Dobra wszystko w końcu wykonałem na 100 %. Dziękuje Bardzo za tak fachową pomoc Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2014 Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Na zakończenie usuń pobrany FRST z C:\Users\Bakoma\Downloads\Nowy folder i zastosuj DelFix. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się