fafik Opublikowano 13 Grudnia 2014 Zgłoś Udostępnij Opublikowano 13 Grudnia 2014 Od kilku dni borykam się z przekierowaniami na inne strony w firefoxie i steamie. Strony, na które mnie przerzuca, to: h**p://www.buyitsmarter.co.uk/slp/ss-720p.htmlh**p://eu.winninganswers.net/askquerya.php?keyword=720p+gb+multi&xy=08e51ba82454d98a6034d0a610b25830&subid=91154&tt=15848&ts=1234_NXYUK_0_2h**p://www.buynow.tips/uk/index.phph**p://www.answersearch.net/h**p://www.simplechase.com/ h**p://www.benefitsandwork.co.uk/disability-living-allowance-dla Zauważyłem też, że ładowanie telefonu przez komputer, blokuje internet (kabel) w komputerze i wymagany jest restart routera. Wifi działa.Załączam logi z OTL i FRST ale bez logu z gmera. Gmer krzyczy, że nie może uzyskać dostępu... Wyłączenie programów działających w tle i nortona nic nie dało. Jedyna informacja, którą mam w gmerze to, przy dysku - unknown MBR i wątek ze scieszką do csrss.exe[716:740] z wartością fffff960008d4b90. Dysk, na którym jest system, to RaidR asusa (express PCIe) i nie wiem czy to w tym wypadku może powodować problem z gmerem. Posiadam Win 8.1 x64 EDIT: Zapomniałem dodać, że wczoraj i dziś robiłem pełny skan nortonem. Wczoraj norton wykrył i poddał kwarantannie dwa pliki: tmp32.exe (Downloader) i tmpa177.exe (Trojan.Gen). Dziś zaskoczył mnie, bo znalazł kolejne trzy, rozpoznane (zagrożenie wysokie) jako Suspicious.Cloud.9, z czego jeden plik (tmp3d0f.exe) został usunięty. Dołączam dwa, z dnia dzisiejszego, pliki tekstowe z historii nortona. EDIT2: Gmer w trybie awaryjnym windowsa zachowuje się podobnie jak wyżej. Dzięki za pomoc Extras.Txt OTL.Txt Addition.txt FRST.txt Shortcut.txt norton 1.txt norton 2.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2014 Zgłoś Udostępnij Opublikowano 13 Grudnia 2014 W systemie grasuje infekcja SathurBot ładowana metodą ShellIconOverlayIdentifiers. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () BootExecute: PDBoot.exeautocheck autochk * sdnclean64.exe S3 cthda; \SystemRoot\system32\drivers\cthda.sys [X] S3 cthdb; \SystemRoot\system32\DRIVERS\cthdb.sys [X] Task: {6BA89DCA-2163-4ACC-A09A-3FDC4E6ECF3B} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {8A4E7231-8C00-4158-A528-1D2303D6296C} - System32\Tasks\{78303051-A97D-46F8-A129-565C8D318CCE} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_15_0_0_246_Plugin.exe -c -maintain plugin Task: {A9A447EF-87CC-4839-891E-8A6617CCA163} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {C47A7B77-16DA-4993-BDFF-C6F803E13425} - System32\Tasks\{E05BB42C-77A2-4EC7-8E51-A988B525AED3} => pcalua.exe -a "C:\Temp\Logitech\Windows 8\unifying210.exe" -d "C:\Temp\Logitech\Windows 8" HKLM-x32\...\Run: [] => [X] FF NetworkProxy: "type", 0 FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\Temp C:\ProgramData\Microsoft\Secure C:\ProgramData\Spybot - Search & Destroy C:\Users\User-PC\Appdata\Local\ujmedia C:\Users\User-PC\Appdata\Local\ytpack C:\Windows\System32\Tasks\Safer-Networking Hosts: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SearchProtection /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTPack /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Ujmedia /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędnik Akamai NetSession Interface oraz starszą wersję Java 8 Update 5 (64-bit). 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
fafik Opublikowano 14 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Zrobione. Poniżej załączam pliki. Pozdrawiam EDIT: Czy mój RaidR (express PCIe) może być przyczyną problemów Gmera? Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2014 Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Czy mój RaidR (express PCIe) może być przyczyną problemów Gmera? Nie wiem, ale raczej sądzę, że jest to prędzej kwestia uruchomionych procesów (wyłączenie Nortona wcale nie wyłącza jego sterowników), aniżeli konfiguracji sprzętowej. Infekcja została storpedowana. Wszystko wykonane. Drobne poprawki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\User-PC\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\AdwCleaner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
fafik Opublikowano 15 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Wykonane. W logu widzę, że chyba jest ok. Oczywiście załączam plik. Gmer w trybie awaryjnym windowsa zachował się podobnie, tylko wartości były inne. Nortona raczej nie widziałem w trayu... A wracając jeszcze do Twojego wpisu... Usuneliśmy katalog z logami od adwcleanera. To nie było konieczne(?) Pytam z ciekawości, choć gdzieś wyczytałem, że nie jest zbytnio dopracowany... Na koniec zasadnicze pytanie: w jaki sposób mogłem to złapać? Pozdrawiam Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2014 Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 Fix wykonany. Na wszelki wypadek podaj jeszcze log z Farbar Service Scanner. Na koniec zasadnicze pytanie: w jaki sposób mogłem to złapać? Opisy infekcji: KLIK / KLIK "They are usually bundled with other third-party installers and keygens. They can also be downloaded from malicious or hacked websites, and through peer-to-peer file sharing applications." "The trojan is often included in the installation packages of programs downloaded from untrustworthy sources." Gmer w trybie awaryjnym windowsa zachował się podobnie, tylko wartości były inne. Nortona raczej nie widziałem w trayu... W trayu to tylko dostęp do GUI się pokazuje. Tu chodzi o sterowniki: 14 czynnych sterowników, "wyłączanie" Nortona nie powoduje, że ustają ich czynności. W Trybie awaryjnym Windows sterowniki powinny być stopowane. Ale mówisz, że był także problem w awaryjnym. Nie wiem o co chodzi. Z opisu też wynika, iż skan jednak przeszedł dość daleko, bo pokazało "Unknown MBR code". Nawiasem mówiąc, ten wynik występuje przy niestandardowych konfiguracjach OEM. A wracając jeszcze do Twojego wpisu... Usuneliśmy katalog z logami od adwcleanera. To nie było konieczne(?) Pytam z ciekawości, choć gdzieś wyczytałem, że nie jest zbytnio dopracowany... Przy finalizacji tematu zawsze usuwam z dysku ślady poprzednich skanerów. Tu na wszelki wypadek komenda "RemoveDirectory" (na okoliczność gdyby w folderze był jakiś zablokowany obiekt). Odnośnik do komentarza
fafik Opublikowano 16 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 I ponownie miałem zonka z podłączeniem telefonu. Przestały się ładować strony i forum. Mam nadzieję,że to był tylko przypadek, a reset routera był mało istotny. Po resecie nie działał link do scanera ze strony forum.Wcześniej miałem tylko błąd ładowania strony i problem z wejściem na jego stronę domową. Teraz już jest ok. Może to tylko przypadki. Załączam plik... Pozdrawiam FSS.txt Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Log z FSS jest w porządku. Na wszelki wypadek możesz podać nowy log FRST z opcji Scan (bez dodatkowych logów). Odnośnik do komentarza
fafik Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Załączam plik z FRST.Może tu tkwi problem...Nie jestem pewien czy tydzień temu dobrze się zaktualizował windows. Według historii aktualizacji jest wszystko ok ale...Po wymaganym restarcie, mimo że RaidR jest bardzo szybki, mogłem za wcześnie zamknąć system.Dzień później nic nie mogłem zrobić w windowsie. Nie włączał się żaden program, nie działały odnośniki w menu start do panelu sterowania. Na pulpit wyrzucało błędy typu: pamięć nie może być odczytana i oczywiście podane jakieś wartości.W msconfigu znalazłem dwie dodatkowe, wczesniej przeze mnie nie widziane, włączone możliwe po aktualizacji, rzeczy:serwer rejestru microsoft©internet exproler impexp ff exporterPo wyłączeniu tego, system zaczął działać jak wcześniej. Jedynym problemem były przekierowania stron, o których Tobie wiadomo. Obecnie tego w msconfigu nie widze, choć zostawiłem tylko wyłączone. Może Twój mały fix się tego pozbył. Po moich pierwszych skanach, poście i edycji logów zauważyłem, że event wali błędami, których wcześniej nie było (OTL-Extras). Zerknij, jeżeli możesz... Pozdrawiam EDIT: Jutro mam zamiar podłączać telefon do ładowania FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Żadnych nowości w raporcie FRST, więc czyszczenie systemu zostało zakończone. Usuń ręcznie K:\Temp\Wazne\FRST. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Może tu tkwi problem... Nie jestem pewien czy tydzień temu dobrze się zaktualizował windows. Według historii aktualizacji jest wszystko ok ale... Po wymaganym restarcie, mimo że RaidR jest bardzo szybki, mogłem za wcześnie zamknąć system. Dzień później nic nie mogłem zrobić w windowsie. Nie włączał się żaden program, nie działały odnośniki w menu start do panelu sterowania. Na pulpit wyrzucało błędy typu: pamięć nie może być odczytana i oczywiście podane jakieś wartości. W msconfigu znalazłem dwie dodatkowe, wczesniej przeze mnie nie widziane, włączone możliwe po aktualizacji, rzeczy: serwer rejestru microsoft© internet exproler impexp ff exporter Po wyłączeniu tego, system zaczął działać jak wcześniej. Jedynym problemem były przekierowania stron, o których Tobie wiadomo. Te wpisy to nie były "aktualizacje" tylko infekcje towarzyszące Sathurbot. "Serwer rejestru microsoft©" powinien był kierować na jakiś wpis używający regsvr32.exe do rejestracji modułów. W raporcie FRST podanym już na początku był następujący spis obiektów wyłączonych na poziomie Menedżera zadań Windows 8: ==================== MSCONFIG/TASK MANAGER disabled items ========= HKLM\...\StartupApproved\StartupFolder: => "ISCTSystray.lnk" HKLM\...\StartupApproved\StartupFolder: => "HP Digital Imaging Monitor.lnk" HKLM\...\StartupApproved\Run: => "Launch LCore" HKLM\...\StartupApproved\Run32: => "ROG HybriDisk" HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKLM\...\StartupApproved\Run32: => "UpdReg" HKLM\...\StartupApproved\Run32: => "iTunesHelper" HKLM\...\StartupApproved\Run32: => "HP Software Update" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\StartupFolder: => "Logitech . Rejestracja produktu.lnk" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\StartupFolder: => "Torpedo.lnk" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "SearchProtection" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "uTorrent" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "YTPack" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "Ujmedia" "YTPack" i "Ujmedia" (zresztą zgłaszane wcześniej w skanie Norton) to towarzystwo Sathurbot. Ten drugi odpowiada powiązaniom z regsvr32 - przykładowy temat to pokazujący: KLIK. Wyłączone wpisy infekcji już usuwałam w pierwszym skrypcie: C:\Users\User-PC\Appdata\Local\ujmedia C:\Users\User-PC\Appdata\Local\ytpack Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SearchProtection /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTPack /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Ujmedia /f Odnośnik do komentarza
fafik Opublikowano 19 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2014 Zrobione... Telefon normalnie się ładuje więc to mógł być zwykły przypadek. Dzięki Picasso... Pozdrawiam P.S. To już nie pierwsza Twoja pomoc. Widziałem możliwość wsparcia forum... Odnośnik do komentarza
Rekomendowane odpowiedzi