SqL84 Opublikowano 27 Września 2015 Zgłoś Udostępnij Opublikowano 27 Września 2015 Witam Zwracam się z uprzejmą prośbą o przeanalizowanie logów FRST i GMER. Od tygodnia zmagam się najprawdopodobniej z DealPly. Początkowo zaobserwowałem znaczny spadek wydajności. Po zainstalowaniu G Data otrzymuję komunikaty: Kontrola zawartości HTTP Adres: i.stegjs.info/steg/javascript.js?channel=pcformatpl0815 Junkware (PUP): Script.Adware.DealPly.G (Skaner Status: Odmowa dostępu. Niestety G Data nie usuwa tego adware, Anti-Malware niczego nie znajduje, AdwCleaner początkowo znajdywał DealPly, który mimo kasowania wracał. Żeby dojść do ładu zrobiłem format. Problem wrócił momentalnie po zainstalowaniu chrome (G Data zwraca komunikaty o DealPly). W chrom wyłączyłem synchronizację, skasowałem apki z chrome://apps oraz wtyczki chrome://extensions. Czyli po formacie system czysty, a mimo to G Data kwiczy o błędach AdwCleaner 5 nic nie zwraca juz, więc zainstalowałem AdwCleaner w wersji 3, w zakładce chrome wskazuje na C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Default\Preferences zmieniłem nazwę tego pliku, utworzyłem nowy plik o tej samej nazwie i zdaje się pół dnia był spokój, niestety komunikaty G Data wróciły. Proszę o przeanalizowanie logów FRST i GMER ps. przez wcześniejszą synchronizację siedzi mi coś na drugim kompie. Użyłem AdwCleaner. Dokopałem się w chrome do ustawień domyślnych wyszukiwarek - jako default był ustawiony google, ale znalazły się tam wpisy o TROVI oraz SweetPage - skasowałem. Niestety laptop jest w stanie ciężkim, po wi-fi net leeeedwo chodzi. Widzę przy otwieraniu stron, że łączy się "po drodze" z dziwnymi stronami np. ad.dubleclick.net i inne - trwa to wieki. Logi z komputera stacjonarnego FRST.txt Addition.txt Shortcut.txt gmer.txt Logi z lapka FRST_lapek.txt Addition_lapek.txt Shortcut_lapek.txt GMER_lapek.txt Odnośnik do komentarza
Nevan Opublikowano 29 Września 2015 Zgłoś Udostępnij Opublikowano 29 Września 2015 Wygląda na to, że mamy do czynienia z infekcją routera. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: Komputer: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AutoConfigURL: [s-1-5-21-4186264908-892325800-295169171-1001] => http://127.0.0.1:8445/okf.pac HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4186264908-892325800-295169171-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia FirewallRules: [{F0A4B247-983B-4271-AD30-919A18D592F4}] => (Allow) C:\Users\Pawe HKU\S-1-5-21-4186264908-892325800-295169171-1001\Software\Classes\.exe: exefile => HKU\S-1-5-21-4186264908-892325800-295169171-1001\Software\Classes\exefile: CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Laptop: 1. Przez Panel sterowania odinstaluj: HaoZip; Java DB 10.3.1.4; Java SE Development Kit 6 Update 35 (64-bit); Java SE Development Kit 6 Update 7. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: IE trusted site: HKU\S-1-5-21-123836412-2427045690-4114815500-2297\...\tzmo.torun -> hxxps://pap4.tzmo.torun ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => Brak pliku ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => Brak pliku ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => Brak pliku ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-123836412-2427045690-4114815500-2297\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-123836412-2427045690-4114815500-2297 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Endpoint Security\Mozilla Thunderbird FF Extension: ESET Endpoint Security Extension - C:\Program Files\ESET\ESET Endpoint Security\Mozilla Thunderbird [2014-12-29] FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Endpoint Security\Mozilla Thunderbird FF Extension: Brak nazwy - C:\Users\pawel.dziopa\AppData\Roaming\Mozilla\Firefox\Profiles\5ga9r8wh.default\extensions\{d8d31aa1-b2d5-1cd9-ec71-867d38c2945c} [nie znaleziono] FF Extension: Brak nazwy - C:\Users\pawel.dziopa\AppData\Roaming\Mozilla\Firefox\Profiles\5ga9r8wh.default\extensions\quick_searchff@gmail.com [nie znaleziono] FF Extension: Brak nazwy - C:\Users\pawel.dziopa\AppData\Roaming\Mozilla\Firefox\Profiles\5ga9r8wh.default\extensions\sweetsearch@gmail.com [nie znaleziono] S3 catchme; \??\C:\ComboFix\catchme.sys [X] CustomCLSID: HKU\S-1-5-21-123836412-2427045690-4114815500-2297_Classes\CLSID\{51E7F170-5955-638A-ED52-B9FD401B18CE}\InprocServer32 -> Brak ścieżki do pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rankerizer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit\Java Mission Control.lnk C:\Users\dserwis\Links\SkyDrive.lnk C:\Users\dserwis\Desktop\Rankerizer.lnk C:\Users\dserwis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft SkyDrive.lnk C:\Users\dserwis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intel AppUp® center.lnk C:\Users\pawel.dziopa\Desktop\KATALOGI\17-10-2014\Lenovo Fingerprint Manager.lnk C:\Users\pawel.dziopa\Desktop\Allegro Armani\Nvu.lnk C:\Users\pawel.dziopa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ALLPlayer.Radio.lnk C:\Users\pawel.dziopa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ALLPlayer.VOD.lnk C:\Users\pawel.dziopa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ChomikBox.lnk C:\Users\pawel.dziopa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo App Shop.lnk C:\Users\pawel.dziopa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\NapiProjekt.lnk C:\Users\pawel.dziopa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Napisy24.pl.lnk C:\Users\pawel.dziopa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\S.T.A.L.K.E.R. - Lost Alpha.lnk C:\Users\pawel.dziopa\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\x\Desktop\Nvu.lnk C:\Users\x\Desktop\Rankerizer.lnk C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intel AppUp® center.lnk CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition. Dołącz też plik fixlog.txt. Odnośnik do komentarza
SqL84 Opublikowano 29 Września 2015 Autor Zgłoś Udostępnij Opublikowano 29 Września 2015 Nevan, dziękuję za wsparcie, miałem różne infekcje ale tym razem nie ogarniam, dlatego bardzo się cieszę z Twojej pomocy. Zanim odpisałeś na laptopie zdążyłem puścić combofixa, ale po kolei. Komputer: zrobiłem jak napisałeś, niestety G Data dalej krzyczy to samo. Zamieszczam logi Fixlog.txt FRST.txt Laptop: Poranny log combofixa ComboFix_laptop.txt Mimo użycia combo, zastosowałem się do instrukcji i uruchomiłem fixlist na FRST Fixlog_laptop.txt FRST_laptop.txt Co do routera, akurat miałem zamiar obecny wymienić na coś nowszego xDSL. Ten obecny router zresetowałem, zrobiłem update firmware, ustawiłem DNS i nowe hasło. Net na komputerze działa ok, ale na laptopie jest tragedia, wi-fi czy kabel, jest fatalnie. Co ciekawe w prac problem znika, internet śmiga, ale tam jest jakaś sieć wewnętrzna, vpn. Dziwi mnie jego praca w domu, ma przebłyski a później znowu zwalnia wczytywanie stron. Odnośnik do komentarza
Rucek Opublikowano 30 Września 2015 Zgłoś Udostępnij Opublikowano 30 Września 2015 Co do używania Combofixa to tutaj masz info, dlaczego lepiej nie używać: https://www.fixitpc.pl/topic/7-dezynfekcja-narz%C4%99dzie-combofix/?p=34 Odnośnik do komentarza
SqL84 Opublikowano 2 Października 2015 Autor Zgłoś Udostępnij Opublikowano 2 Października 2015 Dziś sformatuję komputer stacjonarny. Początkowo nie zainstaluję chrome. Po formacie prześlę logi. Odnośnik do komentarza
SqL84 Opublikowano 2 Października 2015 Autor Zgłoś Udostępnij Opublikowano 2 Października 2015 Stacjonarny sformatowany FRST.txt boję się zainstalować chrome. Czy to "coś" siedzi w chrome na serwerze i po zainstalowaniu znowu to złapię ? Laptop sformatuję w przyszłym tygodniu... Odnośnik do komentarza
Nevan Opublikowano 2 Października 2015 Zgłoś Udostępnij Opublikowano 2 Października 2015 (edytowane) Log ze stacjonarki czysty. Czy to "coś" siedzi w chrome na serwerze i po zainstalowaniu znowu to złapię Nie ma szans, żeby coś takiego się działo, a jeżeli nawet to pewnie więcej osób by to odczuło. Prędzej podejrzewałbym G-Data o pewnego rodzaju nadwrażliwość. Co do laptopa, odinstaluj testowo ESET Endpoint Security i sprawdź czy problem z siecią nadal występuje. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi