defto Opublikowano 31 Października 2015 Zgłoś Udostępnij Opublikowano 31 Października 2015 Witam,Prawdopodobnie wczoraj ściąnąłem jakiś zainfekowany program. Podczas zamykania systemu ekran sie wygasza a następnie wyskakuje blue screen i system się restaruje. Na pulpicie wyskakuje informacja o błędzie "system odzyskał sprawnośc po itd .... ". Dodaktowo uruchania się strasznie wolno. Proszę o pomoc. Shortcut.txt FRST.txt Addition.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2015 Zgłoś Udostępnij Opublikowano 31 Października 2015 Tak, są tu sterowniki StdLib wprowadzone przez adware i jest to potencjalna przyczyna BSOD. Ale to ledwie część problemu, gdyż w tle działa innogatunkowa infekcja typu trojan (falsyfikat svchost.exe), wprowadzona przez lewy dodatek Xenobot: 2015-10-30 18:38 - 2015-10-30 18:38 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XenoBot 2015-10-30 18:36 - 2015-10-30 18:36 - 00083456 ____H C:\Users\Admin\AppData\Roaming\svchost.exe 2015-10-30 18:30 - 2015-10-30 18:33 - 06201516 _____ C:\Users\Admin\Downloads\Xenobot+Crack (1).rar 2015-10-30 18:09 - 2015-10-30 18:40 - 00000000 ____D C:\Users\Admin\Documents\XenoBot 2015-10-30 18:06 - 2015-10-30 18:07 - 00601349 _____ C:\Users\Admin\Downloads\xenoosiann2.rar 2015-10-30 18:00 - 2015-10-30 18:05 - 09393115 _____ C:\Users\Admin\Downloads\XenoBot.rar I jest tu także bardzo stary ESET na sterownikach z 2011 i on także powinien być zaadresowany. Akcje do przeprowadzenia: 1. Deinstalacje: - Odinstaluj via Panel sterowania stare wersje oraz złe aplikacje: Adobe Flash Player 15 Plugin, Adobe Reader XI (11.0.13) - Polish, DownLite, Java 7 Update 40, Mozilla Firefox 16.0.1 (x86 pl) + Mozilla Maintenance Service, ESET NOD32 Antivirus, XenoBot Apophis. Przy deinstalacji Firefox zaznacz usuwanie profilu z dysku. Skasuj też z dysku wszystkie pobrane paczki Xenobot. - Następnie wejdź w Tryb awaryjny i popraw jeszcze narzędziem ESET Uninstaller. Po akcji opuść Tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-03-14] (StdLib) R1 {58aaf827-6246-4d80-8213-f02005f6345c}w64; C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys [48776 2015-02-24] (StdLib) R1 {b9a19c25-a741-47e5-91a2-0b62bef307ff}w64; C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys [61112 2014-06-12] (StdLib) S0 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\...\Run: [Windows.exe] => C:\Users\Admin\AppData\Roaming\Windows\Windows.exe [784951 2015-09-09] (‚„‘„‘„‘‚fx) HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\...\Run: [MSTime] => C:\Users\Admin\AppData\Roaming\svchost.exe [83456 2015-10-30] () Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ALFALINE.lnk [2015-10-13] InternetURL: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TNKsoftwares.com.url -> 0 Task: {37A91A57-4BF2-4AC4-904D-01716ADBB8BF} - System32\Tasks\{0D517AEB-F02C-4656-9044-0E31255D10EF} => pcalua.exe -a "D:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\InstallHook.exe" -d "D:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\" -c ts3overlay_hook_win32.dll 10000 Task: {3EA0789D-CEF6-44F1-9319-A61ABC75132D} - System32\Tasks\{B197DD34-164A-422C-9884-1D186A56F473} => pcalua.exe -a C:\Users\Admin\Desktop\funnyvoice-setup.exe -d C:\Users\Admin\Desktop Task: {717C666A-17A1-46F4-9824-D1B10415F884} - System32\Tasks\{6FD98B9C-A88B-4920-A98F-8E4A52074BE6} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe -c /M{809D7E6D-915D-4EAD-821F-E13D93F37161} /l1033 Task: {A76421E4-330B-4A8B-A05F-AACAB986D607} - System32\Tasks\{848D1DC3-791C-485C-BDFA-CC0AA71D4DCC} => pcalua.exe -a "D:\Program Files (x86)\Steam\steamapps\common\arma 2 operation arrowhead\BEsetup\Setup_BattlEyeARMA2OA.exe" -d "D:\Program Files (x86)\Steam\steamapps\common\arma 2 operation arrowhead\BEsetup" Task: {C41E4907-DEA4-4CB2-8776-62B2EC738D0C} - System32\Tasks\{988AE7F0-6AED-49E0-9C9C-48319DF1D0E4} => Chrome.exe hxxp://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsMain GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=112250&babsrc=SP_ss&mntrId=c62e8f7f000000000000000000000000 SearchScopes: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=112250&babsrc=SP_ss&mntrId=c62e8f7f000000000000000000000000 SearchScopes: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000 -> {7D0D1FAF-64FD-4A23-8EB7-870846F875A6} URL = hxxp://rts.dsrlte.com/?affID=na&q={searchTerms}&r=887 C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Tactical Center C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codemasters C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia Auto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia Testserver C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder C:\Users\Admin\AppData\Local\CRE C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Admin\AppData\Roaming\svchost.exe C:\Users\Admin\AppData\Roaming\Windows C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Vuze Remote Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa. Odnośnik do komentarza
defto Opublikowano 31 Października 2015 Autor Zgłoś Udostępnij Opublikowano 31 Października 2015 Wszystko wykonane według instrukcji, jedynie nie znalazłem rozszerzenia Vuze Remote w Google Chrome. Wymienione wcześniej problemy zniknęły. FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2015 Zgłoś Udostępnij Opublikowano 31 Października 2015 Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Users\Admin\Downloads\FRST-OlderVersion CMD: del /q C:\ProgramData\TNKsoftwares.exe CMD: del /q C:\Users\Admin\Desktop\~ESETUninstaller.log CMD: del /q C:\Users\Admin\Downloads\gvxn932x.exe CMD: del /q C:\Windows\Minidump\*.dmp Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner Odnośnik do komentarza
defto Opublikowano 31 Października 2015 Autor Zgłoś Udostępnij Opublikowano 31 Października 2015 Zrobione! Fixlog.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2015 Zgłoś Udostępnij Opublikowano 31 Października 2015 Fix pomyślnie wykonany. AdwCleaner dopatrzył się jeszcze szczątków adware. Kolejna porcja zadań: 1. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację opcji Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
defto Opublikowano 31 Października 2015 Autor Zgłoś Udostępnij Opublikowano 31 Października 2015 Zrobione. AdwCleanerC1.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2015 Zgłoś Udostępnij Opublikowano 31 Października 2015 Wszystko zrobione. Teraz: 1. Zastosuj DelFix, by dokasował pobrane skanery. 2. Zrób skan za pomocą Hitman Pro. Nic jeszcze nie usuwaj, tylko dostarcz wyniki skanu. Odnośnik do komentarza
defto Opublikowano 31 Października 2015 Autor Zgłoś Udostępnij Opublikowano 31 Października 2015 Zeskanowane. http://wklej.org/id/1830361/txt/ Odnośnik do komentarza
picasso Opublikowano 31 Października 2015 Zgłoś Udostępnij Opublikowano 31 Października 2015 1. Hitman wykrył więcej szczątków. Do usunięcia wszystkie wyyniki z wyjątkiem grupy "Suspicious files" kierującej na katalog PunkBuster. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Nie wiadomo jaki był cel infekcji wprowadzonej przez crack. Na wszelki wypadek zmień hasła w serwisach online (bank, poczta, itd.). Odnośnik do komentarza
defto Opublikowano 31 Października 2015 Autor Zgłoś Udostępnij Opublikowano 31 Października 2015 Mam problem z hitmanem. Wyskakuje komunikat ,że coś nie tak z zaporą.http://zapodaj.net/3c75136dcd1e6.jpg.html Odnośnik do komentarza
picasso Opublikowano 2 Listopada 2015 Zgłoś Udostępnij Opublikowano 2 Listopada 2015 (edytowane) Obrazek wskazuje, że Hitman wykrył, iż już był używany wcześniej przez 30 dni (tylko przez ten zakres czasu usuwanie jest za darmo) i obecnie prosi o płatną aktywację. W związku z tym wykryte przez niego rzeczy zostaną usunięte w inny sposób: Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9522B3FB-7A2B-4646-8AF6-36E7F593073C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{9522B3FB-7A2B-4646-8AF6-36E7F593073C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\APNSetup_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\APNSetup_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\apnstub_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\apnstub_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskPartnerCobrandingTool_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskPartnerCobrandingTool_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskSLib_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskSLib_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BundleSweetIMSetup_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BundleSweetIMSetup_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrlte_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrlte_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrsetup_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrsetup_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\TBNotifier_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\TBNotifier_RASMANCS DeleteKey: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\AppDataLow\Software\SmartBar Reg: reg delete "HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Approved Extensions" /v {2EECD738-5844-4A99-B4B6-146BF802613B} /f Reg: reg delete "HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Approved Extensions" /v {4D2D3B0F-69BE-477A-90F5-FDDB05357975} /f Reg: reg delete "HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Approved Extensions" /v {98889811-442D-49DD-99D7-DC866BE87DBC} /f RemoveDirectory: C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847} CMD: del /q D:\torrenty\ElfBot\ElfCrack.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi