wermar2 Opublikowano 25 Lipca 2015 Zgłoś Udostępnij Opublikowano 25 Lipca 2015 Cześć! Dostałem do ogarnięcia komputer swojego ojca. Jak zwykle "samo się zainstalowało", "wykonało akcję", efektem jest ciągnąca się infekcja adwarem które podmienia stronę startową w firefoxie na "delta-homes.com". Dodatkowo doszła modyfikacja skrótów programów na pasku startu dopisująca coś do lini komend(nie ja usuwałem, nie wiem co tam było). Próbowałem bawić się w usuwanie samodzielnie, ale nie nie widzę nic więcej podejrzanego. System Windows 8.1 x64 Załączam log z FRST. GMER ma problem z działaniem. W trybie zwykłym uruchamia się, wyrzuca błąd o braku dostępu do pliku(C:\Windows\system32\config\system), a następnie crashuje. W trybie awaryjnym uruchamia się, wyrzuca ten sam błąd braku dostępu do procesu, a następnie pracuje normalnie. Problem jest taki iż po zakończniu skanowania(zarówno quick jak i całego C:) wyrzuca błąd dostępu do pliku(C:\Widnows\system32\config\system) i w logu tylko dwa wpisy, które załączyłem do posta. Proszę o pomoc w usunięciu tego ustrojstwa. Addition.txt Shortcut.txt FRST.txt gmer.txt Odnośnik do komentarza
jessica Opublikowano 25 Lipca 2015 Zgłoś Udostępnij Opublikowano 25 Lipca 2015 Otwórz Notatnik i wklej w nim: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1437596676&z=b9b0287124e86d86721e7b8g7z4cbm6wbt0q3qdmdc&from=wpm07163&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKGHKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1437596676&z=b9b0287124e86d86721e7b8g7z4cbm6wbt0q3qdmdc&from=wpm07163&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKGHKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1427558249&from=corna&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKG&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1427558249&from=corna&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKG&q={searchTerms}HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1437596676&z=b9b0287124e86d86721e7b8g7z4cbm6wbt0q3qdmdc&from=wpm07163&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKGHKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1437596676&z=b9b0287124e86d86721e7b8g7z4cbm6wbt0q3qdmdc&from=wpm07163&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKGHKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1427558249&from=corna&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKG&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1427558249&from=corna&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKG&q={searchTerms}HKU\S-1-5-21-2944422745-3718675205-452331776-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1432142983&z=fc72101f810b6b59645a5c0gbzcc2o2gbzao2t8b6c&from=wpm05203&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKG&q={searchTerms}HKU\S-1-5-21-2944422745-3718675205-452331776-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1437596676&z=b9b0287124e86d86721e7b8g7z4cbm6wbt0q3qdmdc&from=wpm07163&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKGHKU\S-1-5-21-2944422745-3718675205-452331776-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1437596676&z=b9b0287124e86d86721e7b8g7z4cbm6wbt0q3qdmdc&from=wpm07163&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKGHKU\S-1-5-21-2944422745-3718675205-452331776-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1432142983&z=fc72101f810b6b59645a5c0gbzcc2o2gbzao2t8b6c&from=wpm05203&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKG&q={searchTerms}SearchScopes: HKU\S-1-5-21-2944422745-3718675205-452331776-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-2944422745-3718675205-452331776-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-2944422745-3718675205-452331776-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-2944422745-3718675205-452331776-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-2944422745-3718675205-452331776-1001 -> {E64653FC-F85D-4A9C-A59F-86E1F459A462} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-2944422745-3718675205-452331776-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll No FileBHO-x32: Digital More -> {c0b1016f-b7e5-46f0-b415-6bf9e55ab00d} -> C:\Program Files (x86)\Digital More\Extensions\c0b1016f-b7e5-46f0-b415-6bf9e55ab00d.dll No FileReg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /fStartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1432142983&z=fc72101f810b6b59645a5c0gbzcc2o2gbzao2t8b6c&from=wpm05203&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKGFF NewTab: hxxp://www.delta-homes.com/newtab/?type=nt&ts=1437596676&z=b9b0287124e86d86721e7b8g7z4cbm6wbt0q3qdmdc&from=wpm07163&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKGFF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Tadeusz\AppData\Roaming\Mozilla\Firefox\Profiles\u5kmhxcs.default\extensions\searchengine@gmail.comFF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Tadeusz\AppData\Roaming\Mozilla\Firefox\Profiles\u5kmhxcs.default\extensions\fftoolbar2014@etech.comFF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Tadeusz\AppData\Roaming\Mozilla\Firefox\Profiles\u5kmhxcs.default\extensions\quick_searchff@gmail.comFF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Tadeusz\AppData\Roaming\Mozilla\Firefox\Profiles\u5kmhxcs.default\extensions\sweetsearch@gmail.comFF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Tadeusz\AppData\Roaming\Mozilla\Firefox\Profiles\2ilf0w8d.default-1433091564006\extensions\default_newtabff@gmail.comFF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Tadeusz\AppData\Roaming\Mozilla\Firefox\Profiles\2ilf0w8d.default-1433091564006\extensions\defsearchp@gmail.comStartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?type=sc&ts=1437596676&z=b9b0287124e86d86721e7b8g7z4cbm6wbt0q3qdmdc&from=wpm07163&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKGStartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe http://www.delta-homes.com/?type=sc&ts=1437596676&z=b9b0287124e86d86721e7b8g7z4cbm6wbt0q3qdmdc&from=wpm07163&uid=ST500LT012-1DG142_S3PHZZKGXXXXS3PHZZKGR2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [429568 2015-07-22] (DTools LIMITED) [File not signed] <==== ATTENTIONC:\ProgramData\WindowsMangerProtectEmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix.Powstanie plik fixlog.txt.Daj ten log. Zrób nowe logi FRST. jessi Odnośnik do komentarza
wermar2 Opublikowano 27 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2015 Dzięki! W załączniku wszystkie cztery pliki. PS: Prośba na przyszłość: jeśli byś mogła, to używaj znaczników , bo wewnątrz nich linki nie są skracane przez przeglądarkę . Addition.txtShortcut.txtFRST.txtFixlog.txt Odnośnik do komentarza
jessica Opublikowano 28 Lipca 2015 Zgłoś Udostępnij Opublikowano 28 Lipca 2015 Sądząc po nowych logach, to powinno już byc OK. Drobna kosmetyka: Otwórz Notatnik i wklej w nim: S3 PCDSRVC{3B54B31B-D06B6431-06020200}_0; \??\c:\program files\dell\supportassist\pcdsrvc_x64.pkms [X]SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix. Masz zainstalowany program "Picexa" - http://usunwirusa.pl/reklamy-picexa/ jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się