mateszlaptop Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 Na laptopie zaczęły wgrywać mi się jakieś dziwne wirusowe programy, jakaś przeglądarka z logo niebieskiej kulki i żółtym paskiem jak w IE, strona startowa zmienia się na jakas dziwna i mam zablokowane opcje uruchamiania w IE po zmianie strony domyślnej, Nie moge dołaczy logów z Gmer'a poniewaz w trakcie skanowania pojawia mi sie komunikat, ze Gmer prestał działac a system szuka rozwiazania tego problemu, a program sie wylacza logi z frst shortcut http://wklej.org/hash/a1efe4f2d87/ frst http://wklej.org/hash/5933d1e4e5f/ additional http://wklej.org/id/1723210/ Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 Jest tu nadal dużo obiektów adware. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}Gw64; C:\Windows\System32\drivers\{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}Gw64.sys [48776 2015-05-25] (StdLib) R1 {848705a5-8a27-403e-9b59-732d0608bcbc}Gw64; C:\Windows\System32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}Gw64.sys [48776 2015-05-26] (StdLib) R1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X] S1 scfd_1_10_0_16; system32\drivers\scfd_1_10_0_16.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKU\S-1-5-21-3723337457-4154312555-470175651-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=dspp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} BHO-x32: No Name -> {b608cc98-54de-4775-96c9-097de398500c} -> No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.oursurfing.com/?type=sc&ts=1432568215&z=d7cb30d451e2f6f653cf379g7z0ceo1wcq9bfoeg0w&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX C:\ProgramData\IHProtectUpDate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CoupSeek C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\Users\Mateusz\AppData\Roaming\systweak C:\Users\Mateusz\SupTab C:\Users\Public\Documents\ShopperPro C:\Windows\System32\roboot64.exe C:\Windows\System32\drivers\{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}Gw64.sys C:\Windows\System32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}Gw64.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 CMD: type C:\Windows\system32\Drivers\etc\hp.bak Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v WinCheck /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CoupSeek /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTDownloader /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v crossbrowse.lnk /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jeszcze jakieś problemy. Odnośnik do komentarza
mateszlaptop Opublikowano 27 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2015 http://wklej.org/hash/a3d3a51a1c9/ log gmer przed fixem frst, uruchomiony w trybie awaryjnym frst nowy log http://wklej.org/id/1723282/ log z skana po fix http://wklej.org/id/1723287/ komputer uruchamia się szybciej, wygląda ze pracuje normalnie. Jade do pracy wiec wszelkich dodatkowych odpowiedzi udziele jutro kolo 13 Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 Wszystko zrobione. Teraz uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nic nie usuwaj) i dostarcz log z folderu C:\AdwCleaner. Odnośnik do komentarza
mateszlaptop Opublikowano 28 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2015 Pozostały jeszcze ślady infekcji log z adwcleaner http://wklej.org/hash/f5887948206/ troszkę się pospieszyłem i użyłem opcji usuń logi z usuwania http://wklej.org/id/1724032/ http://wklej.org/id/1724041/ te usunięte wpisy cały czas powracają i to jedyne pozycje wykryte prez program usunąłem też wszystkie punkty przywracania by nie doszło do nawrotu Odnośnik do komentarza
Rekomendowane odpowiedzi