kamkow Opublikowano 19 Października 2015 Zgłoś Udostępnij Opublikowano 19 Października 2015 Witam, Od dłuższego czasu mam problem z bardzo uciążliwą reklamą, pojawiającą co kilkanaście minut. Traktowałem ją Avastem, Ad-Aware i Malwerbytes i nic. Wygląda to jak na załączonym obrazku. Logi również w załączniku. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 19 Października 2015 Zgłoś Udostępnij Opublikowano 19 Października 2015 System jest zainfekowany - dużo aktywnych obiektów startowych, na dodatek są tu też liczne odpadki po niepoprawnie usuniętej w przeszłości infekcji ZeroAccess oraz ślady wskazujące, że uszkodzone przez ZA usługi nie zostały naprawione w pełni. Prócz tego są też odpadki po adware. O zgrozo, działają równolegle dwa antywirusy, w tym jeden strasznie stary. Ogólnie: dużo do roboty. Akcje do wdrożenia: 1. Odinstaluj stare programy oraz oba antywirusy: Ad-Aware Antivirus, Adobe AIR, Adobe Flash Player 11 ActiveX 64-bit, Adobe Flash Player 17 NPAPI, Adobe Reader XI (11.0.13) - Polish, AVG 2012, Java 7 Update 13, Java 6 Update 29, JavaFX 2.1.1, RealPlayer. Następnie jeszcze dla pewności wejdź w Tryb awaryjny i zastosuj AVG Remover. Po użyciu go opuść tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hksynhd.lnk [2015-10-17] Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\maker.lnk [2015-09-01] Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqlservr.vbs [2015-09-26] () Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\webaddon.lnk [2015-09-13] Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Webhttp.lnk [2015-09-29] HKU\S-1-5-21-941783235-1361993633-579621791-1000\...\Run: [sqlservr] => wscript.exe //B "C:\Users\Kamil\AppData\Roaming\sqlservr.vbs" HKLM\...\Run: [sqlservr] => wscript.exe //B "C:\Users\Kamil\AppData\Roaming\sqlservr.vbs" HKLM\...\Run: [] => [X] BootExecute: autocheck autochk * bddel.exe Winsock: Catalog5 01 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 05 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll" ShellIconOverlayIdentifiers: [1MediaIconsOverlay] -> {1EC23CFF-4C58-458f-924C-8519AEF61B32} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1383056942&from=cor&uid=WDCXWD3200AAKS-22B3A0_WD-WCAT1258761487614 Task: {672E0A93-8BF7-4AD8-9C5E-894B60046657} - System32\Tasks\Ad-Aware Update (Weekly) => D:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {894D80E5-831F-44F9-AC97-8E01CBD6A4AA} - System32\Tasks\{471D4949-ED62-45FC-B754-49C01F3A8917} => pcalua.exe -a "D:\Program Files (x86)\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=10 Task: {AFF9D0A6-CB76-4A37-8420-2FFCD5AC1299} - System32\Tasks\{3E118610-D306-4B7B-9F61-99148660BEC2} => pcalua.exe -a "D:\Program Files (x86)\mflpro_c1\Data\Disk1\setup.exe" -d "D:\Program Files (x86)\mflpro_c1\Data\Disk1" S2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{c9569680-9a07-5c7d-6fad-9f64d8d19ca2}\ \...\ﯹ๛\{c9569680-9a07-5c7d-6fad-9f64d8d19ca2}\GoogleUpdate.exe" R2 vToolbarUpdater13.2.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [711112 2012-11-10] () S3 Trufos; C:\Windows\System32\DRIVERS\Trufos.sys [452040 2015-01-22] (BitDefender S.R.L.) U4 Amon; Brak ImagePath U4 Apvxd; Brak ImagePath U4 Apvxdw in; Brak ImagePath U4 Apvxdwin; Brak ImagePath U4 Atrack; Brak ImagePath U4 AvconsoleE XE; Brak ImagePath U4 avgcc3 2; Brak ImagePath U4 avgcc32; Brak ImagePath S4 AVGIDSFilter; system32\DRIVERS\avgidsfiltera.sys [X] U4 avgser v9; Brak ImagePath U4 avgserv9; Brak ImagePath U4 AVG_CC; Brak ImagePath U4 AVPCC; Brak ImagePath U4 AVPCC Service; Brak ImagePath U4 BlackI ce Utility; Brak ImagePath U4 BlackIce Utility; Brak ImagePath U4 CcApp; Brak ImagePath U4 CcRegVfy; Brak ImagePath U4 ConfigSafe; Brak ImagePath U4 CPD_EX E; Brak ImagePath U4 CPD_EXE; Brak ImagePath U4 Defwat ch; Brak ImagePath U4 Defwatch; Brak ImagePath U4 dvpapi 9x; Brak ImagePath U4 dvpapi9x; Brak ImagePath U4 F-StopW; Brak ImagePath U4 Fix-it; Brak ImagePath U4 Fix-it AV; Brak ImagePath U4 Freedo m; Brak ImagePath U4 Freedom; Brak ImagePath U4 iamapp; Brak ImagePath U4 Look 'n' Stop; Brak ImagePath U4 McAfee Firewall; Brak ImagePath U4 McAfee Winguage; Brak ImagePath U4 McAfee.Ins tantUpdate.Monitor; Brak ImagePath U4 McAfee.Instant Update.Monitor; Brak ImagePath U4 McAfeeViru sScanService; Brak ImagePath U4 McAfeeVirusSca nService; Brak ImagePath U4 NAV Agent; Brak ImagePath U4 NAV Configuration Wizard; Brak ImagePath U4 NAV DefAlert; Brak ImagePath U4 Nod32C C; Brak ImagePath U4 Nod32CC; Brak ImagePath U4 NOD32P OP3; Brak ImagePath U4 NOD32POP3; Brak ImagePath U4 Norton Auto-Protect; Brak ImagePath U4 Norton eMail Protect; Brak ImagePath U4 Norton Navigaton Loader; Brak ImagePath U4 Norton Program Event Checker; Brak ImagePath U4 Norton Program Scheduler; Brak ImagePath U4 NPS Event Checker; Brak ImagePath U4 Panda Scheduler; Brak ImagePath U4 ScanInicio; Brak ImagePath U4 SharedAcce ss; Brak ImagePath U4 SymTra y - Norton SystemWorks; Brak ImagePath U4 SymTray - Norton SystemWorks; Brak ImagePath U4 Tiny Personal Firewall; Brak ImagePath U4 TrueVector; Brak ImagePath U4 VirusS can Online; Brak ImagePath U4 VirusScan Online; Brak ImagePath U4 ZoneAl arm; Brak ImagePath U4 ZoneAlarm; Brak ImagePath C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive\ArmA 2 Free C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ivo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overgrowth C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Passware C:\Users\Kamil\AppData\Local\jv16PT_temp.tmp C:\Users\Kamil\AppData\Local\Temphkcmd.exe C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Kamil\AppData\Local\Microsoft\Windows\GameExplorer\{2099566C-54E2-4293-9BF6-051E702EA662} C:\Users\Kamil\AppData\Roaming\*.exe C:\Users\Kamil\AppData\Roaming\7e381c24.dat C:\Users\Kamil\AppData\Roaming\sqlservr.vbs C:\Users\Kamil\Desktop\Mount & Blade Uniloader Serial Crack — skrót.lnk C:\Users\Kamil\Desktop\punisher — skrót.lnk C:\Windows\pss\ARCHIVER.lnk.Startup C:\Windows\pss\Start.lnk.Startup C:\Windows\System32\DRIVERS\Trufos.sys RemoveDirectory: C:\Program Files (x86)\Google\Desktop RemoveDirectory: C:\Users\Kamil\AppData\Local\Google\Desktop File: C:\Windows\SysWOW64\ntshrui.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ARCHIVER.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Start.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeCS5.5ServiceManager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_TRAY" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR11" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj AVG Do Not Track, o ile nadal będzie po w/w deinstalacjach Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowe logi: FRST z opcji Skanuj (Scan) (zaznacz ponownie pole Addition, by powstały dwa logi), Farbar Service Scanner i zaległy GMER. Dołącz też plik fixlog.txt. Odnośnik do komentarza
kamkow Opublikowano 20 Października 2015 Autor Zgłoś Udostępnij Opublikowano 20 Października 2015 Zrobiłem wszystko oprócz naprawiania Chrome, jego po prostu usunąłem. Załączam logi. Niestety nie byłem w stanie zrobić skanu za pomocą GMER - dwukrotnie skanowanie zakończyło się blue screenem (pre-scan nic nie wykazał). edit Doczytałem żeby uruchomić GMER w trybie awaryjnym. Jak zrobię skan to dorzucę log. Addition.txt FRST.txt Addition.txt FSS.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Października 2015 Zgłoś Udostępnij Opublikowano 21 Października 2015 Kolejna porcja poprawek: 1. Otwórz Notatnik i wklej w nim: AV: AVG Anti-Virus Free Edition 2012 (Enabled - Up to date) {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0} AS: AVG Anti-Virus Free Edition 2012 (Enabled - Up to date) {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D} FF Plugin-x32: @java.com/DTPlugin,version=10.13.2 -> C:\Windows\SysWOW64\npDeployJava1.dll [2013-02-07] (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_60\bin\new_plugin\npjp2.dll [brak pliku] Task: {1966FCD6-7E60-4534-98FA-34AF1191310E} - System32\Tasks\RealCreateProcessScheduledTask345657592S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {28A8672D-E69C-445A-A024-94FD71870832} - System32\Tasks\RealCreateProcessScheduledTask543795585S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {50332993-9FE8-4D23-AD53-AB7A208F5AC8} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {67162F5D-8FB1-44C5-8D96-E526B5039B58} - System32\Tasks\RealCreateProcessScheduledTask2041772098S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {6EC8E776-E5BC-4F8C-9599-DC9179116C69} - System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\recordingmanager.exe Task: {712F7D37-8CD6-40DD-89CA-CED1B2BA5048} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {75CA2A62-D899-4E3F-9D74-1D26D4BF3187} - System32\Tasks\RealCreateProcessScheduledTask230475533S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {7DFEF630-CD14-4C50-B2EC-D049E577032F} - System32\Tasks\RealCreateProcessScheduledTask699993022S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {89B54FFE-5596-4D6E-9915-CF7D82244BF4} - System32\Tasks\RealCreateProcessScheduledTask239627160S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {98510A6F-0008-4E28-9ACC-C0FF0C02D95E} - System32\Tasks\RealCreateProcessScheduledTask454964201S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {B5DBB04F-BF38-4D7D-945D-C90F94378B8B} - System32\Tasks\RealCreateProcessScheduledTask996322100S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {D055BD29-DC5A-4D43-9AAC-3C54BD7B173E} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {E9B84AA7-47A9-4CB1-A235-2D8827EBE1E8} - System32\Tasks\RealCreateProcessScheduledTask214125459S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {EE32974C-FA82-432A-8B69-B8833A99F716} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Google\Desktop\Install RemoveDirectory: C:\Program Files (x86)\Google\Desktop RemoveDirectory: C:\Program Files (x86)\Real RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\Real RemoveDirectory: C:\Users\Kamil\AppData\Local\Avg2015 RemoveDirectory: C:\Users\Kamil\AppData\Roaming\Real RemoveDirectory: C:\Users\Kamil\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Users\Kamil\Desktop\Stare dane programu Firefox CMD: del /q C:\aaw7boot.log CMD: del /q C:\Windows\SysWOW64\rp_stats.dat CMD: del /q C:\Windows\SysWOW64\rp_rules.dat Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Odbuduj usunięte przez ZeroAccess usługi Windows za pomocą ServicesRepair. Po akcji zresetuj system i zrób nowy log z Farbar Service Scanner. Odnośnik do komentarza
kamkow Opublikowano 22 Października 2015 Autor Zgłoś Udostępnij Opublikowano 22 Października 2015 Zrobione. Fixlog.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 22 Października 2015 Zgłoś Udostępnij Opublikowano 22 Października 2015 Wszystkie usługi odbudowane, a Fix FRST prawie wszystko przetworzył. Wyjątkiem jest jeden z opornych katalogów ZeroAccess, już dwa podejścia padły. Pokaż co jest w tym folderze, tzn. do Notatnika wklej: Folder: C:\Program Files (x86)\Google\Desktop Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
kamkow Opublikowano 22 Października 2015 Autor Zgłoś Udostępnij Opublikowano 22 Października 2015 Proszę: Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 22 Października 2015 Zgłoś Udostępnij Opublikowano 22 Października 2015 (edytowane) W tym katalogu jest folder ze znaczkiem "odwracającym tekst" utrudniający usuwanie. FRST to powinien umieć usuwać, ale poległ. W związku z tym skorzystaj z płyty Kaspersky Rescue Disk. Zbootuj z niej, z Desktopu uruchom File Manager, wejdź do ścieżki odpowiadającej dyskowi C i skasuj ten folder przez SHIFT+DEL (omija Kosz - to ważne): ...\Program Files (x86)\Google\Desktop Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi