begwarn Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Witam serdecznie i proszę o pomoc, niedawno postanowiłem zaktualizować swój system i defragmentować dysk, wszystko skończyło się niby w porządku, dopóki nie postanowiłem odpalić Windows Defendera, który został zablokowany. Nagle zobaczyłem, że coś jest nie tak. Próbowałem instalować Avire, która wymusiła restart systemu i wtedy zaczęły się problemy: 1. System blokuje mi możliwość instalacji jakiegokolwiek antywirusa. 2. Blokuje mi dostęp do Windows Defendera i centrum akcji. 3. Po restarcie komputera po próbie instalacji antywirusa system zaprzestał zapamiętywać ustawienia: - system aero zawsze wraca do takiej samej postaci po restarcie komputera - nie zapamiętuje ustawień folderów (kafelki, lista itp) - zmieniają się ustawienia systemowe w myszce Byłbym wdzięczny o jakąkolwiek pomoc, bo jestem bezradny Załączam pliki: (niestety przy skanowaniu przez GMER nie mogłem wykonać pełnego skanowania, gdyż nie mogłem zaznaczyć wszystkich wymaganych pól: http://i.imgur.com/l56YuhI.png) Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Są tu ślady pobytu trojana, który nałożył Debugger na określone wykonalne. Przypuszczalnie załatwił Cię jakiś crack. Prócz tego są też różne szczątki adware oraz ślady skanera-naciągacza SpyHunter. Wstępne akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: IFEO\AvastSvc.exe: [Debugger] nqij.exe IFEO\AvastUI.exe: [Debugger] nqij.exe IFEO\avcenter.exe: [Debugger] nqij.exe IFEO\avconfig.exe: [Debugger] nqij.exe IFEO\avgcsrvx.exe: [Debugger] nqij.exe IFEO\avgidsagent.exe: [Debugger] nqij.exe IFEO\avgnt.exe: [Debugger] nqij.exe IFEO\avgrsx.exe: [Debugger] nqij.exe IFEO\avguard.exe: [Debugger] nqij.exe IFEO\avgui.exe: [Debugger] nqij.exe IFEO\avgwdsvc.exe: [Debugger] nqij.exe IFEO\avp.exe: [Debugger] nqij.exe IFEO\avscan.exe: [Debugger] nqij.exe IFEO\bdagent.exe: [Debugger] nqij.exe IFEO\blindman.exe: [Debugger] nqij.exe IFEO\ccuac.exe: [Debugger] nqij.exe IFEO\ComboFix.exe: [Debugger] nqij.exe IFEO\egui.exe: [Debugger] nqij.exe IFEO\hijackthis.exe: [Debugger] nqij.exe IFEO\instup.exe: [Debugger] nqij.exe IFEO\keyscrambler.exe: [Debugger] nqij.exe IFEO\mbam.exe: [Debugger] nqij.exe IFEO\mbamgui.exe: [Debugger] nqij.exe IFEO\mbampt.exe: [Debugger] nqij.exe IFEO\mbamscheduler.exe: [Debugger] nqij.exe IFEO\mbamservice.exe: [Debugger] nqij.exe IFEO\MpCmdRun.exe: [Debugger] nqij.exe IFEO\MSASCui.exe: [Debugger] nqij.exe IFEO\MsMpEng.exe: [Debugger] nqij.exe IFEO\msseces.exe: [Debugger] nqij.exe IFEO\rstrui.exe: [Debugger] nqij.exe IFEO\SDFiles.exe: [Debugger] nqij.exe IFEO\SDMain.exe: [Debugger] nqij.exe IFEO\SDWinSec.exe: [Debugger] nqij.exe IFEO\spybotsd.exe: [Debugger] nqij.exe IFEO\wireshark.exe: [Debugger] nqij.exe IFEO\zlclient.exe: [Debugger] nqij.exe R1 epp64; C:\Windows\System32\DRIVERS\epp64.sys [135800 2015-06-27] (Emsisoft GmbH) R1 wfd_1_10_0_19; C:\Windows\System32\drivers\wfd_1_10_0_19.sys [61312 2015-06-16] (WN) S3 a2acc; \??\C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2accx64.sys [X] S1 A2DDA; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2ddax64.sys [X] R4 avkmgr; system32\DRIVERS\avkmgr.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKU\S-1-5-21-1757415873-2226878437-4207686015-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) Task: {5D288311-75A5-4CA0-A690-741AA54BDF97} - System32\Tasks\{7E847E08-4FD9-4375-A492-55F57461E518} => D:\Program Files (x86)\MoorHunt v2\Downloads\Avira Antivirus Pro 2015 v15.0.8.624 + Key {B@tman}\avira_antivirus_pro_en.exe [2015-06-28] () Task: {A9734061-A714-46D4-9567-6AFCA2615FCA} - System32\Tasks\{C6BFAE3A-EAEC-4D8D-A37A-47D512557448} => C:\Program Files (x86)\Avira\Launcher\Avira.Systray.exe Task: {FAFF8431-0CE4-47B0-B2E7-AA7086FA04AE} - System32\Tasks\{97944C17-D5D3-4BE2-8766-BFE90143C68F} => pcalua.exe -a C:\Users\DOM\Downloads\Adobe-Reader-XI(21590).exe -d C:\Users\DOM\Downloads Task: C:\Windows\Tasks\Bidaily Synchronize Task[pr].job => c:\programdata\{aa3718a5-d4cd-158f-aa37-718a5d4c6297}\7487853054165429165s.exe Task: C:\Windows\Tasks\ChoreoCraze.job => c:\programdata\{c94eb933-dd64-1a4f-c94e-eb933dd6e4cf}\cd1f.exe Task: C:\Windows\Tasks\GrubLookup.job => c:\programdata\{662f4ebd-52d1-2350-662f-f4ebd52d3af5}\5475575285673585716b.exe Task: C:\Windows\Tasks\Software Removal Tool logs upload retry.job => C:\Users\DOM\Downloads\software_removal_tool.exe Task: C:\Windows\Tasks\Update Service GoForFiles.job => C:\Program Files (x86)\GoForFilesUpdater\GoForFilesUpdater.exehttp:/www.fansfile.biz Task: C:\Windows\Tasks\UpgradeEagle.job => c:\programdata\{549f8cbd-26c2-a9b5-549f-f8cbd26c32f4}\2340391689006959689b.exe ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShortcutWithArgument: C:\Users\DOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1430894263&from=wpm05063&uid=WDCXWD7500BPVT-80HXZT1_WD-WX61A61S1274S1274 CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\STF380E.tmp C:\Program Files (x86)\Avira C:\Program Files (x86)\Bible Search C:\Program Files (x86)\Bing Translate To English C:\Program Files (x86)\Emsisoft Anti-Malware C:\Program Files (x86)\FREE MP3 Search C:\ProgramData\rebootpending.txt C:\ProgramData\wmzddnmb.cix C:\ProgramData\18345815274576146064 C:\ProgramData\Avira C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Half-Life 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\Users\Default\AppData\Local\updater.log C:\Users\DOM\AppData\Local\Avg2015 C:\Users\DOM\AppData\Local\MFAData C:\Users\DOM\AppData\Roaming\appdataFr*.bin C:\Users\DOM\AppData\Roaming\msconfig.ini C:\Users\DOM\AppData\Roaming\EurekaLog C:\Users\DOM\AppData\Roaming\Microsoft\Windows\Start Menu\LuckyTab C:\Users\DOM\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word304515483737279668\Nowy%20Dokument%20programu%20Microsoft%20Word.docx.lnk C:\Users\DOM\Desktop\PROGRAMY\Driver Checker.lnk C:\Users\DOM\Downloads\software_removal_tool.exe C:\Windows\Zone.Identifier C:\Windows\pss\6128973456579644962s.lnk.Startup C:\Windows\pss\Carb the [Filtr wulgaryzmów] Up by Harley Johnstone.lnk.Startup C:\Windows\system32\Hibiki.dll C:\Windows\system32\log C:\Windows\system32\Drivers\buceecol.sys C:\Windows\system32\Drivers\epp64.sys C:\Windows\system32\Drivers\wfd_1_10_0_19.sys C:\Windows\system32\%LocalAppData% C:\Windows\SysWOW64\avgnt.log Folder: D:\Program Files (x86)\MoorHunt v2\Downloads\Avira Antivirus Pro 2015 v15.0.8.624 + Key {B@tman} Folder: C:\Users\DOM\AppData\Local\Google\Chrome Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{F6C44C71-2CFE-8176-3A4D-CBD0DCE5AEFA} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^DOM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^6128973456579644962s.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^DOM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Carb the [Filtr wulgaryzmów] Up by Harley Johnstone.lnk" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\DOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Odpowiedz też na następujące pytania: - Czy po w/w usuwaniu w GMER nadal są nieaktywne pola? - Czy Google Chrome jest sprawne? - jest zainstalowane, ale FRST w ogóle nie wykrywa profilu na dysku.... Odnośnik do komentarza
begwarn Opublikowano 29 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Zrobione.1. Po usuwaniu w GMER pola są aktywne 2. Tak Chrome jest sprawny i go używam w tym momencie. Dodam również, wydajność komputera znacząco spadła. Dołączam logi: Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Kilka uwag: - GMER był zablokowany prawdopodobnie przez sterownik buceecol.sys, gdyż po usunięciu pliku ujawniła się już pusta usługa go ładująca (uprzednio całkowicie niewidoczna). - Google Chrome jest obecnie już poprawnie skanowane przez FRST, więc nie wiem o co chodziło z poprzednim wynikiem. - W logu nowe śmieci widać, tzn. liczne preferencje adware w Firefox. Poprzednio profil Firefox również nie był wykrywany. Poprawki: 1. Otwórz Notatnik i wklej w nim: S1 buceecol; \??\C:\Windows\system32\drivers\buceecol.sys [X] HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp C:\Users\DOM\AppData\Local\Temp.dat C:\Users\DOM\AppData\Local\updater.log C:\Users\DOM\AppData\Roaming\DOM.exe D:\Program Files (x86)\MoorHunt v2\Downloads\Avira Antivirus Pro 2015 v15.0.8.624 + Key {B@tman} Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut), GMER oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Wypowiedz się czy na pewno po przeprowadzonym tu usuwaniu nadal widoczny spadek wydajności. Odnośnik do komentarza
begwarn Opublikowano 29 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Jest problem z wyczyszczeniem adware, bo na moim komputerze nie posiadam Firefoxa.Po ostatnich zabiegach poprawiło się. Google Chrome muszę włączać przez ppm -> uruchom jako administrator, inaczej brak odpowiedzi.Nie działa również przeźroczystość w kompozycji aero. Fixlog.txt FRST.txt FSS.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 30 Czerwca 2015 Zgłoś Udostępnij Opublikowano 30 Czerwca 2015 Jest problem z wyczyszczeniem adware, bo na moim komputerze nie posiadam Firefoxa. Rzeczywiście, Firefox nie figurował na liście zainstalowanych. Zmyliło mnie to raptowne ujawnienie się profilu FF, którego w pierwszym logu nie było. Komponenty Firefox zostaną usunięte ręcznie w skrypcie FRST. Google Chrome muszę włączać przez ppm -> uruchom jako administrator, inaczej brak odpowiedzi. Rozumiem, że to wystąpiło dopiero po infekcji? Może infekcja zmieniła uprawnienia którejś ze ścieżek dostępu. Będę to sprawdzać w poniższym skrypcie. Z którego skrótu uruchamiasz Google Chrome - jeden z poniższych z Pulpitu, czy z innego miejsca? C:\Users\DOM\Desktop\chrome — skrót.lnk C:\Users\Public\Desktop\Google Chrome.lnk Nie działa również przeźroczystość w kompozycji aero. Jakie są ustawienia w: Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Wydajność > Ustawienia? Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\Users\DOM\AppData\Local\Mozilla C:\Users\DOM\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f ListPermissions: C:\Program Files (x86)\Google ListPermissions: C:\Program Files (x86)\Google\Chrome ListPermissions: C:\Program Files (x86)\Google\Chrome\Application ListPermissions: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe ListPermissions: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome ListPermissions: C:\Users\DOM\AppData\Local\Google ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome\User Data ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome\User Data\Default ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk ListPermissions: C:\Users\DOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk ListPermissions: C:\Users\DOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk ListPermissions: C:\Users\DOM\Desktop\chrome — skrót.lnk ListPermissions: C:\Users\Public\Desktop\Google Chrome.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Odnośnik do komentarza
begwarn Opublikowano 30 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 30 Czerwca 2015 Nie, google chrome przestal dzialac prawidlowo dopiero po czyszczeniu. Uruchamiam go przez: C:\Users\DOM\Desktop\chrome — skrót.lnk Zmienily sie rowniez znaki specjalne i wracaja do takiej samej postaci po kazdym restarcie (np. L+ALT=ø), podobnie jest z ustawieniami myszki i touchpada. Nie dziala rowniez kombinacja przycisku specjalnego Fn w laptopie. Ustawienia efektów wizualnych: http://i.imgur.com/AY41n8S.png (wszystkie zaptaszkowane) Edit: Po 5 restartach laptopa przeźroczystość wrociła do normy. Ale po każdym restarcie laptop wlacza sie jakby to byl jego pierwszy raz, tj aplikacje takie jak np. napiprojekt wlaczaja komunikat o "pierwszym uruchomieniu", ustawienia i ikony po odswiezeniu ekranu same sie ustawiaja wzdluz siatki po lewej stronie. Nie działa też funkcja uruchom. Fixlog: Fixlog.txt Odnośnik do komentarza
begwarn Opublikowano 2 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2015 Mógłbym prosić o dalsze instrukcje? Odnośnik do komentarza
Rekomendowane odpowiedzi