fafik Opublikowano 19 Lutego 2015 Zgłoś Udostępnij Opublikowano 19 Lutego 2015 Trudno jest mi powiedzieć co było robione na laptopie od czasu kiedy zaczęły wyskakiwać reklamy i strona (windows browser warning) z informacją: Twój laptop może być zainfekowany przez adware. Po liście instalowanych programów, wydaje mi się, że coś zostało pociągnięte przez torrenty i ---> witaminka. Ponad to, McAfee usunął Artemis!. System Windows 8.1 64bit Załączam pliki z FRST. GMER ma problem z procesem, który to nie może dostać dostępu do pliku... Pozdrawiam Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Widzę tu szczątki reklamiarzy (złapani via "downloadery" i pliki cracków/keygenów) oraz dziwne DNS z Tel Avivu: KLIK / KLIK. Tcpip\..\Interfaces\{0BF6663B-50CC-460D-B7A9-6339A7036649}: [NameServer] 31.168.228.244,82.166.96.242 Tcpip\..\Interfaces\{17F13EC2-AACA-4ED9-907F-6593758DE0BF}: [NameServer] 31.168.228.244,82.166.96.242 Tcpip\..\Interfaces\{928E919F-C534-416D-93A0-A1A42CC22927}: [NameServer] 31.168.228.244,82.166.96.242 Do przeprowadzenia następujące działania: 1. Ustaw DNS z poziomu Windows (dla każdego z połączeń z osobna): KLIK. Wybierz opcję "Uzyskaj automatycznie". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 fdNEIMqQ; C:\ProgramData\otYUcrPH\fdNEIMqQ.exe [2733552 2015-02-15] (Rational Thought Solutions) R2 YouTubeDownload_A3; C:\Program Files (x86)\YouTube-Downloader\A3\youtubeserv.exe [2971224 2015-02-12] (Microsoftware) S3 SmbDrv; \SystemRoot\System32\drivers\Smb_driver_AMDASF.sys [X] S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] Task: {95B5993B-6401-4D91-985A-ED5D912FD952} - System32\Tasks\Binkiland lodi => Wscript.exe "C:\ProgramData\{C6F22E31-9670-FFB7-27F6-8F35F7745CBB}\1.9.1.1\fiber.js" "433a2f50726f6772616d446174612f7b43364632324533312d393637302d464642372d323746362d3846333546373734354342427d2f312e392e312e312f6c6f64692e646c6c" "687474703a2f2f73616f2e62696e6b702e636f6d2f" "--IsErIk" Task: {9E1FD56F-1110-4A5E-A63C-0C55910D27FD} - System32\Tasks\UKNC => C:\Users\Adrian\AppData\Roaming\UKNC.exe [2015-02-15] (HQ CinemaV15.02) Task: {F2912BD5-71BC-4C91-8FE7-0558A0104A46} - System32\Tasks\{E56E06C7-4926-4545-8719-D0830C9D4D4D} => pcalua.exe -a C:\Users\Adrian\AppData\Roaming\omniboxes\UninstallManager.exe -c -ptid=obw Task: C:\Windows\Tasks\Binkiland lodi.job => C:\Windows\system32\wscript.exe Task: C:\Windows\Tasks\UKNC.job => C:\Users\Adrian\AppData\Roaming\UKNC.exe Startup: C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1AB14RN51.lnk HKLM-x32\...\Run: [gmsd_gb_141] => [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-3032066820-4217908898-2940429015-1002\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-3032066820-4217908898-2940429015-1002\...\Policies\Explorer: [NoControlPanel] 0 AppInit_DLLs-x32: c:/progra~3/{c6f22~1/191~1.1/lodi.dll => c:/progra~3/{c6f22~1/191~1.1/lodi.dll [964608 2015-02-06] () CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:55570;https=127.0.0.1:55570 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hppp&ts=1424024485&from=squadm&uid=ST1500LM006XHN-M151RAD_S35UJ9AFB08930" C:\*.tmp C:\811675a7-6b00-4d66-89e4-2c63231d3d77 C:\Program Files (x86)\CloudScout Parental Control C:\Program Files (x86)\YouTube-Downloader C:\ProgramData\{C6F22E31-9670-FFB7-27F6-8F35F7745CBB} C:\ProgramData\{ebe603e3-29b5-181e-ebe6-603e329b0f8c} C:\ProgramData\{f6627632-43e3-1824-f662-2763243ed8c9} C:\ProgramData\otYUcrPH C:\rei C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Adrian\AppData\Local\HealthAlert C:\Users\Adrian\AppData\Roaming\UKNC C:\Users\Adrian\AppData\Roaming\UKNC.exe C:\Users\Adrian\AppData\Roaming\34444335-1424112260-3738-3844-3863BB9D9E86 C:\Users\Adrian\AppData\Roaming\omniboxes C:\Users\Adrian\Downloads\*crack*.exe C:\Users\Adrian\Downloads\*Keygen*.exe C:\Users\Adrian\Downloads\PremierDownloadManagerWrapper.ch.PremierDownloadManager_ag.oaofmoegfbfnnfaeembaimddemfjbefc.ch.exe C:\Users\Adrian\Downloads\ReimageRepair*.exe C:\Users\Adrian\Downloads\Setup*.exe C:\Windows\system32\Drivers\Msft_Kernel_webTinst_01009.Wdf CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz raporty z folderu C:\AdwCleaner (nie uruchamiaj go ponownie, chodzi o poprzednie wyniki). Poza tym, wyciągnij z kwarantanny FRST C:\FRST\Quarantine plik C:\Windows\Tasks\Binkiland lodi.job, spakuj do ZIP i prześlij mi go via jakiś serwis hostingowy. Odnośnik do komentarza
fafik Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Witaj Picasso. Zagapiłem się i zrobiłem mały błąd na początku. Nie ustawiłem DNS, a kliknąłem odruchowo fix w FRST. Program nie wykonał całego przebiegu włącznie z restartem, bo się zawiesił (fixlog1). Ustawiłem DNS, ponownie wykonałem fix i restart (fixlog2). Załączam pliki z folderu AdwCleaner. Łącznie 6. Pliku, o który prosiłaś, po całym zabiegu nie znalazłem. Jest natomiast plik Binkiland lodi.job.xBad i ma tylko 1KB. Możliwe, że właściwy został usunięty. Zanim przystąpiłem do naprawy całości, plik był ale nie miałem do niego dostępu. AdwCleanerR1.txt AdwCleanerR2.txt AdwCleanerR3.txt AdwCleanerS1.txt AdwCleanerS2.txt Quarantine.txt Fixlog 2.txt Fixlog1.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2015 Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Program nie wykonał całego przebiegu włącznie z restartem, bo się zawiesił (fixlog1). Ustawiłem DNS, ponownie wykonałem fix i restart (fixlog2). Ustawienie DNS nie wiąże się z Fixem FRST bezpośrednio, a zostało to zadane jako krok numer jeden, gdyż w skrypcie FRST uwzględniłam czyszczenie bufora DNS, co wykonuje się zawsze już po korekcji DNS. FRST się zaciął na usuwaniu tego śmiecia Binkiland, ale dokończył roboty w kolejnym podejściu. Jest natomiast plik Binkiland lodi.job.xBad i ma tylko 1KB. Może nie wyraziłam się precyzyjnie, ścieżka "C:\Windows\Tasks\Binkiland lodi.job" była podana tylko po to, by odnaleźć ekwiwalent tego w kawarantannie FRST (buduje tam drzewo ścieżki). FRST w kwarantannie dokleja plikom sufiksy, by zapobiec omyłkowemu uruchomieniu. To właśnie o ten plik Binkiland lodi.job.xBad chodzi. Proszę dostarcz ten pliczek. 1. Jest nadal problem z DNS. Na początku były trzy rekordy, po Twoich akcjach ostały się dwa: Tcpip\..\Interfaces\{17F13EC2-AACA-4ED9-907F-6593758DE0BF}: [NameServer] 31.168.228.244,82.166.96.242 Tcpip\..\Interfaces\{928E919F-C534-416D-93A0-A1A42CC22927}: [NameServer] 31.168.228.244,82.166.96.242 Czy na pewno korektę DNS robiłeś dla wszystkich widocznych połączeń w folderze Połączeń sieciowych? Ile obiektów tam widzisz? 2. W Google Chrome kolejne korekty: - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres istartsurf.com, przestaw na "Otwórz stronę nowej karty" - Mam też pytanie czy na liście rozszerzeń widzisz LastPass, gdyż log FRST pokazuje to rozszerzenie bez nazwy (tzn. nazwa równa ID rozszerzenia: hdokiejnpimakedhajhdlcegeplioahd). Odnośnik do komentarza
fafik Opublikowano 21 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Witaj. Korekta DNS zrobiona. Poprzednio wykonałem ją tylko dla działającego połączenia. Teraz zrobiłem jeszcze dla dwóch pozostałych. Usunąłem adres w ustawieniach kart Chroma i wyrzuciłem też nowe rozszerzenie, widoczne jako hdokiejnpimakedhajhdlcegeplioahd. To rozszerzenie musiało się dociągnąć bo zanim założyłem pierwszego posta, usunąłem wszystkie "dodatki" do przeglądarki. Plik, o który prosiłaś KLIK Rozumiem, że mogę laptopa oddać właścicielowi... Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2015 Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Dzięki za plik, podrzuciłam już autorowi FRST. Natomiast teraz po akcjach zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). I podsumuj na czym stoimy, czy są jeszcze jakieś problemy? Odnośnik do komentarza
fafik Opublikowano 21 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Z tego co widzę to przeglądarka chodzi dość dobrze i bezproblemowo. Wcześniej wystarczyło wejść na cokolwiek, kliknąć link i robił się automatycznie problem. Duża poprawa. Do laptopa w każdej chwili mam dostęp więc jak tylko właściciel zauważy coś dziwnego, da mi znać. Właściciel chyba będzie najlepszym testerem FRST.txt Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2015 Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Nowy log potwierdza wykonanie ostatnich zadań. Jeszcze do wykonania: 1. Otwórz Notatnik i wklej wnim: ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:55570;https=127.0.0.1:55570 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: Reg delete "HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections" /v SavedLegacySettings /f Reg: Reg delete "HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections" /v DefaultConnectionSettings /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. Po jego pokazaniu: 2. Usuń pobrany FRST z C:\Users\Adrian\Desktop\Nowy folder (2). Następnie zastosuj DelFix. 3. Przeprowadź skanowanie za pomocą Hitman Pro i dostarcz wyniki. Odnośnik do komentarza
fafik Opublikowano 21 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Mam dwa pliki. Hitman Pro potrzebował restartu po pierwszym skanie (Scan 1). Po restarcie przeprowadził automatycznie kolejny skan (Scan 2). Log z drugiego jest czysty. Fixlog.txt Scan 1.txt Scan 2.txt Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2015 Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Hitman dopatrzył się jeszcze szczątków adware i ciastek - wg raportów usuwał (czy na pewno nic już nie wykrywa?). Na koniec wyczyść foldery Przywracania systemu: KLIK. To tyle. Odnośnik do komentarza
fafik Opublikowano 21 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Tak jak pisałem wcześniej, nic się nie dzieje. W zasadzie wcześniej i tak samo teraz, wchodziłem tylko na ogólne serwisy internetowe. Hitman znajduje tylko ciasteczka. Usunąłem punkty przywracania systemu. W związku z tym może oddam testerowi laptopa i zobaczymy po tygodniu. Najzabawniejsze jest to, że laptop ma dopiero 3 tygodnie z czego ja po kilku dniach naprawiałem problem z profilem użytkownika w windowsie Z drugiej strony cieszę się, że mam chociaż nikły ale jednak jest wpływ na rozwój FRST Pozdrowiam Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2015 Zgłoś Udostępnij Opublikowano 24 Lutego 2015 W związku z tym może oddam testerowi laptopa i zobaczymy po tygodniu. Najzabawniejsze jest to, że laptop ma dopiero 3 tygodnie System może zostać zabrudzony nawet w dzień instalacji Windows. Wystarczy, że użytkownik podejmie próbę skompletowania programów i odwiedzi jakiś portal. Więcej na ten temat, link dla "testera": KLIK. Z drugiej strony cieszę się, że mam chociaż nikły ale jednak jest wpływ na rozwój FRST Tak jest, dzięki. Plik był potrzebny, by rozwinąć argumenty wywoływane przez maszynę Wscript.exe. Poprawka już jest w FRST. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się