PodpalaczTv Opublikowano 10 Października 2015 Zgłoś Udostępnij Opublikowano 10 Października 2015 Witam mam problem z prawdopodobnie wirusem nie wiem co to może być dokładnie. A więc od 3 dni temu pojawił się 1 plik którego avast skanował nic w nim nie znalazł ale ja postanowiłem to sprawdzić plik nazywał się ad.exe po usunięciu go za jakiś czas pojawił się kill.exe po usunięciu znowu się pojawił jakiś plik. W tedy usunąłem wlanconnect razem z tymi plikami to też nie pomogło. Postanowiłem (miałem zamiar od dłuższego czasu) zainstalować od nowa system mój system to Windows 10 64 bit użyłem narzędzia będącego już w system i przywrócenie do ustawień fabrycznych po przywróceniu miałem małe perypetie związane z tym że po instalacji avasta i uruchomieniu ponownie komputera windows ulegał uszkodzeniu i już nie dało się go włączyć więc 2 raz przywróciłem ustawienia fabryczne i zainstalowałem Panda Internet Sectury 2016 (jestem pewien że to była avast nie będę opisywał dlaczego bo to są już inne perypetie) pliku nie było zainstalowałem swoje niezbędne programy (google chrome 2 gry notepad ++ skype lasstpass java i hp sterowniki) i nagle znowu pojawił się wlanconnect i znowu wytworzył ad.exe Panda od razu go usunął. Wszystkie logi są w załączniku oprócz GMER który usilnie nie chce działać pomimo braku jakiego kolwiek programu emulującego (system jest czysty nowy ma może 2 h nic wielkiego nie było instalowane) screen z błędu w programie w załączniku. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Nevan Opublikowano 10 Października 2015 Zgłoś Udostępnij Opublikowano 10 Października 2015 Wygląda na to, że skrypt wlanconnect nadal siedzi na swoim miejscu, ale nie widać, żeby coś go aktywywowało. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=sy&ts=1433878867&z=8d32fbb11f17dcae24980d5g0zdc1ccb0m8b2baq5w&from=ima&uid=TOSHIBAXMQ01ABD100_X39QT335TXXX39QT335T 2015-10-10 07:35 - 2015-10-10 07:35 - 04885572 _____ C:\Users\podpa\AppData\Roaming\wlanconnect.vbs Folder: C:\Users\podpa\AppData\LocalLow\Giant Army C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\Users\[nazwa użytkownika]\AppData\Local\Mozilla C:\Users\[nazwa użytkownika]\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
PodpalaczTv Opublikowano 10 Października 2015 Autor Zgłoś Udostępnij Opublikowano 10 Października 2015 Tyle co widze wlanconnect zniknął FRST.txt Fixlog.txt Odnośnik do komentarza
Nevan Opublikowano 10 Października 2015 Zgłoś Udostępnij Opublikowano 10 Października 2015 W logu nadal siedzi mystartsearch jako strona domyślna Chrome, pomimo tego, że został usunięty... Uruchom FRST, w polu Szukaj wpisz *mystart*;*my start* i kliknij Szukaj plików. Po zakończonym szukaniu powstanie plik Search.txt. Zmień jego nazwę na Search1.txt i uruchom ponownie szukanie z tą samą frazą, lecz tym razem kliknij Szukaj w rejestrze. Przedstaw oba pliki - Search.txt i Search1.txt. Odnośnik do komentarza
PodpalaczTv Opublikowano 10 Października 2015 Autor Zgłoś Udostępnij Opublikowano 10 Października 2015 ważne pytanie wirus wrócił on robi? jak nic strasznego to mi się nie chce go usuwać cały czas Dobra bierzmy się za to żeby to usunąć wlanconnect wrócił wszystko jest w załączniku Search.txt Search.txt Odnośnik do komentarza
Nevan Opublikowano 10 Października 2015 Zgłoś Udostępnij Opublikowano 10 Października 2015 Uparte ustrojstwo... Pokaż nowe logi FRST (FRST.txt i Addition.txt). Odnośnik do komentarza
PodpalaczTv Opublikowano 10 Października 2015 Autor Zgłoś Udostępnij Opublikowano 10 Października 2015 Proszę FRST.txt Addition.txt Odnośnik do komentarza
Nevan Opublikowano 10 Października 2015 Zgłoś Udostępnij Opublikowano 10 Października 2015 Faktycznie, problem wrócił. 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-10] ShortcutTarget: wlanconnect.lnk -> C:\Users\podpa\AppData\Roaming\wlanconnect.vbs () CMD: WHERE /r "C:\Users\podpa\AppData\Roaming" *wlan* /t Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom Google Chrome i wejdź w Ustawienia > karta Ustawienia > sekcja Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mystartsearch.com. Odnośnik do komentarza
PodpalaczTv Opublikowano 10 Października 2015 Autor Zgłoś Udostępnij Opublikowano 10 Października 2015 Nie miałęm adresu mystartsearch.com tylko pusta karta Wlanconnect nie zniknął i wytworzył whatch.exe Fixlog.txt Odnośnik do komentarza
Nevan Opublikowano 10 Października 2015 Zgłoś Udostępnij Opublikowano 10 Października 2015 Spróbujemy z innego poziomu. Wejdź w Tryb awaryjny i z jego poziomu wykonaj poniższą instrukcję. Otwórz Notatnik i wklej w nim: C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk C:\Users\podpa\AppData\Roaming\wlanconnect.vbs 2015-10-10 19:33 - 2015-10-10 19:33 - 00017408 ____N (whatch) C:\Users\podpa\AppData\Roaming\whatch.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Wejdź spowrotem do normalnego trybu i sprawdź czy plik znów wrócił. Odnośnik do komentarza
PodpalaczTv Opublikowano 10 Października 2015 Autor Zgłoś Udostępnij Opublikowano 10 Października 2015 Plik zniknął. Daje jeszcze first.txt (tak jakby co) Fixlog.txt FRST.txt Odnośnik do komentarza
Nevan Opublikowano 10 Października 2015 Zgłoś Udostępnij Opublikowano 10 Października 2015 Usuń wszystkie pobrane i uruchamiane ostatnio rzeczy, które mają związek z "crackowaniem", czy niedomyślnymi "launcherami / modami gier" i innymi tego typu rzeczami. To najprawdopodobniej przez nie infekcja wraca(ła). Wejdź ponownie w Google Chrome i wejdź w Ustawienia > karta Ustawienia > sekcja Wygląd i zaznacz "Pokaż przycisk strony startowej" > Zmień. Zrób zrzut ekranu z tego miejsca i pokaż go. Odnośnik do komentarza
PodpalaczTv Opublikowano 10 Października 2015 Autor Zgłoś Udostępnij Opublikowano 10 Października 2015 Komputer jest w 100 czysty od jakich kolwiek takich programów jak już mówiłem reinstalowałem system jest jakiś 15 programów typu winrar czy catalysy (takie najbardziej potrzebne) Odnośnik do komentarza
picasso Opublikowano 11 Października 2015 Zgłoś Udostępnij Opublikowano 11 Października 2015 PodpalaczTv, w sekcji "Pokaż przycisk strony startowej" proszę kliknij w Zmień i wymaż stamtąd adres mystartsearch.com. Masz owszem ustawione na "Nową kartę", ale to w tym drugim oknie zobaczysz, że jest więcej zapisane i jest tam adres zarchiwizowany. Komputer jest w 100 czysty od jakich kolwiek takich programów jak już mówiłem reinstalowałem system jest jakiś 15 programów typu winrar czy catalysy (takie najbardziej potrzebne) Twój spis aplikacji zainstalowanych znany już od pierwszego raportu FRST - w Addition widać wszystko z obrazka. Nie do końca o to nam tu chodziło. Był tu pobierany conajmniej jeden plik, który wg szukania na Google jest linkowany na serwisach hostingowych, więc zero gwarancji że jest to czysta sprawa: 2015-10-09 22:39 - 2015-01-03 14:31 - 01166142 _____ () C:\Users\podpa\Desktop\Shiginima Launcher SE v1.602.exe Skąd ten plik był pobierany, czy był uruchamiany? Czy coś podobnego było jeszcze pobierane? Przywracałeś ustawienia systemu, infekcja była conajmniej raz pomyślnie usunięta i samoistnie wróciła, co sugeruje że jest w systemie jakiś obiekt (prawdopodobnie nieświadomie uruchamiany przez Ciebie ręcznie), który to ładuje. Najbardziej podejrzane "pomoce do gier". Odnośnik do komentarza
PodpalaczTv Opublikowano 11 Października 2015 Autor Zgłoś Udostępnij Opublikowano 11 Października 2015 Shiginima Launcher jest to Minecraft tego launchera używam odkąd gram miałem już zmieniany komputer i nigdy nie miałem tego wlanconnect. Mystartsearch.com usunięte rzeczywiście tam była . "Był tu pobierany conajmniej jeden plik, który wg szukania na Google jest linkowany na serwisach hostingowych, więc zero gwarancji że jest to czysta sprawa" nie wiem o co dokładnie ci chodzi I teraz pytanie jakbym mógł zlokalizować to co aktywuje? @edit wlanconnect wrócił 0.o Odnośnik do komentarza
picasso Opublikowano 11 Października 2015 Zgłoś Udostępnij Opublikowano 11 Października 2015 Shiginima Launcher jest to Minecraft tego launchera używam odkąd gram miałem już zmieniany komputer i nigdy nie miałem tego wlanconnect. Wiem do czego ma służyć plik. Pytam skąd był pobierany - pokaż dokładny link. @edit wlanconnect wrócił 0.o Jakie aplikacje uruchamiałeś w tym zakresie czasowym? Odnośnik do komentarza
PodpalaczTv Opublikowano 11 Października 2015 Autor Zgłoś Udostępnij Opublikowano 11 Października 2015 hxxp://keinett.com/sponge.php Uruchamiałem właśnie ten launcher google chrome Universe Sandbox 2 (tu pobierany z torrenta może to to) PowerGame (z oficialnej strony) @edit podsyłam screena z antywirusa nw może coś pomoże Odnośnik do komentarza
picasso Opublikowano 11 Października 2015 Zgłoś Udostępnij Opublikowano 11 Października 2015 Uruchamiałem właśnie ten launcher google chrome Universe Sandbox 2 (tu pobierany z torrenta może to to) vs. Usuń wszystkie pobrane i uruchamiane ostatnio rzeczy, które mają związek z "crackowaniem", czy niedomyślnymi "launcherami / modami gier" i innymi tego typu rzeczami. Czyli masz scrackowaną grę, w przeciwnym wypadku nie wiem do jakiej aplikacji pijesz. I to wygląda na źródło infekcji - użytkownik w innym temacie też sugerował lewy torrent. Poproszę o link do tego torrenta podany oględnie (czyli na PW). Rzecz jasna trzeba będzie się tego definitywnie pozbyć i nie próbować tego znikąd już pobierać. W raportach FRST widzę poniższe elementy, czy to jedyne miejsce przetrzymywania? 2015-10-10 07:40 - 2015-10-10 07:40 - 00000000 ____D C:\Users\podpa\Documents\Universe Sandbox ² 2015-10-09 22:28 - 2015-10-09 22:28 - 00000000 ____D C:\Users\podpa\Desktop\Universe.Sandbox.2.Alpha.15.2 Oczywiście musisz zrobić nowy log FRST (bez Addition i Shortcut) pokazujący jakie zmiany nastąpiły. Odnośnik do komentarza
PodpalaczTv Opublikowano 11 Października 2015 Autor Zgłoś Udostępnij Opublikowano 11 Października 2015 Całość jest na C:\Users\podpa\Desktop\Universe.Sandbox.2.Alpha.15.2 to jest cały folder + teraz próbowałem nie mg usunąć bo otwarte w innym programie Jeśli chodzi o to usuwanie cracków wg zapomiałem o tym wrzuciłem go z pendrive na czystego po przywróceniu *facepalm* Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Października 2015 Zgłoś Udostępnij Opublikowano 11 Października 2015 Folder jest prawdopodobnie zablokowany przez szkodliwe procesy. Poprzednio podane linie to nie był skrypt do FRST, nie miałeś tego przetwarzać za pomocą FRST... Skrypty są podane w sposób, który jasno mówi że to skrypty. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Users\podpa\AppData\Roaming\wlanconnect.vbs Startup: C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-11] ShortcutTarget: wlanconnect.lnk -> C:\Users\podpa\AppData\Roaming\wlanconnect.vbs () RemoveDirectory: C:\Users\podpa\Documents\Universe Sandbox ² EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. EDIT: Proszę nie podmieniaj plików w poprzednim poście! Przywróciłam. Nowe dane = nowy post. Napisz nowy post i doczep ponownie pliki. Odnośnik do komentarza
PodpalaczTv Opublikowano 11 Października 2015 Autor Zgłoś Udostępnij Opublikowano 11 Października 2015 #fixlog jest zbyt duży bo go wysłać Podam linka do pobrania bo przy wklejaniu zacina się i wywala przeglądarke http://www.speedyshare.com/75Zwk/frst.rar FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Października 2015 Zgłoś Udostępnij Opublikowano 11 Października 2015 Fixlog muszę zobaczyć. Skoro za duży na załącznik, to spróbuj użyć wklej.org. Jeśli nawet tam nie wejdzie, to do zip i shostuj gdzieś. EDIT: Plik dodałeś. Proszę już mi odpowiadaj w nowym poście. Fixlog jest duży, bo wydrukowałam w nim zawartość skryptu wlanconnect.vbs. Jego zawartość nie jest dla mnie czytelna. Są w nim masowe odwołania funkcyjne do konwersji znaków Unicode (a sprawdzając kody ChrW w tabeli Unicode wychodzą jakieś chińskie krzaki). Ten skrypt prawdopodobnie ma w zamiarze coś wysyłać w eter, jeśli weźmiemy dosłownie słowa "logssender". W każdym razie, wszystko zostało usunięte. Ale dodaj mi jeszcze nowy skan FRST Addition, gdyż na dysku powstało podejrzane (a uprzednio w ogóle nieobecne) zadanie Harmonogramu CreateExplorerShellUnelevatedTask.job. Odnośnik do komentarza
PodpalaczTv Opublikowano 11 Października 2015 Autor Zgłoś Udostępnij Opublikowano 11 Października 2015 Proszę Addition.txt Odnośnik do komentarza
picasso Opublikowano 11 Października 2015 Zgłoś Udostępnij Opublikowano 11 Października 2015 Ostatnia porcja zadań usuwających. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Users\podpa\Downloads\FRST-OlderVersion CMD: del /q C:\Users\podpa\Downloads\73b1gibi.exe CMD: del /q C:\Users\podpa\Downloads\iwcy9thl.exe CMD: del /q C:\Users\podpa\Downloads\et0yfpd0.exe CMD: del /q C:\Users\podpa\Downloads\gm.zip CMD: del /q C:\Users\podpa\Downloads\KVRT.exe CMD: del /q C:\Users\podpa\Downloads\SPTD2inst-v204-x64.exe CMD: del /q C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt. Odnośnik do komentarza
PodpalaczTv Opublikowano 11 Października 2015 Autor Zgłoś Udostępnij Opublikowano 11 Października 2015 Proszę Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi