Trojan Opublikowano 14 Listopada 2015 Zgłoś Udostępnij Opublikowano 14 Listopada 2015 Dobry wieczór Proszę o pomoc w wyczyszczeniu kompa, laptop był używany poprzednio w firmie, wyskakują dziwne reklamy, dziwne okna. Nie wiem kto miał dostęp do tego komputera i co na nim robił. Poniżej dołączam wymagane logi gmer.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Listopada 2015 Zgłoś Udostępnij Opublikowano 14 Listopada 2015 W tle działają szkodliwe usługi (StdLib i WdsManPro), w Firefox jest adware Default SearchProtected, prócz tego różne przekierowania adware tu i ówdzie. Log sugeruje, że adware nabyłeś z portalu dobreprogramy.pl przy udziale "Asystenta pobierania": KLIK. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys [52920 2014-07-03] (StdLib) R2 WdsManPro; C:\ProgramData\MWMiniProM\WMiniPro.exe [301704 2015-10-26] (DTools LIMITED) S1 itdrvr_vt_1_10_0_25; system32\drivers\itdrvr_vt_1_10_0_25.sys [X] S2 Update NetCrawl; "C:\Program Files\NetCrawl\updateNetCrawl.exe" [X] FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Trojanus\AppData\Roaming\Mozilla\Firefox\Profiles\x1fb8oud.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Trojanus\AppData\Roaming\Mozilla\Firefox\Profiles\x1fb8oud.default\extensions\deskCutv2@gmail.com => nie znaleziono SearchScopes: HKU\S-1-5-21-3383111068-4089164496-2276131000-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445853507&z=8e4e78fdc658c3082eb5db3g9z2zcw1bawec2o4wdz&from=cor&uid=SAMSUNGXHM100JI_S0EDJ10LB00082 Task: {88951C80-52C2-4ECF-9F39-2134E2C968AF} - System32\Tasks\{26FE425E-F6E6-4AAC-92F4-9486A6078322} => pcalua.exe -a C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd\x86\setup.exe -d C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd\x86 Task: {DEF06930-CC11-423D-866E-E09C4C040059} - System32\Tasks\{66032DC2-09DF-4A4C-9CC3-1A91EB84026C} => pcalua.exe -a "C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\5n2sqgxe.bu2\chipset INFs\chipset INFs\Ssetup.exe" -d "C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\5n2sqgxe.bu2\chipset INFs\chipset INFs" Task: {FE0517B4-3656-4494-A035-EB02F49F584F} - System32\Tasks\{1062DC1F-7054-4423-BC53-8E51404F9AD5} => pcalua.exe -a C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd\setup.exe -d C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\MWMiniProM C:\Users\Trojanus\AppData\Roaming\istartsurf C:\Users\Trojanus\AppData\Roaming\WarThunder C:\Users\Trojanus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Trojanus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Trojanus\Downloads\*-dp*.exe C:\Users\Trojanus\Downloads\setup.exe C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Trojanus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Trojan Opublikowano 14 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 14 Listopada 2015 Dziękuję za szybką odpowiedź :-) poniżej dołączam logi FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 14 Listopada 2015 Zgłoś Udostępnij Opublikowano 14 Listopada 2015 Wszystko pomyślnie wykonane. Problem powinien ustąpić. Ale jeszcze poprawki: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Trojan Opublikowano 14 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 14 Listopada 2015 Załączam log. AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 14 Listopada 2015 Zgłoś Udostępnij Opublikowano 14 Listopada 2015 1. AdwCleaner czepia się zadania DriverEasy 4.7.2. Na wszelki wypadek odinstaluj ten program. Takie automaty do aktualizacji sterowników nie są tu zresztą polecane, sterowniki należy precyzyjnie aktualizować ręcznie. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\Users\Trojanus\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\Trojanus\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Trojanus\Desktop\3yjnyeix.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Trojan Opublikowano 15 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2015 Dzień dobry, odinstalowałem pomyślnie DriverEasy i zamieszczam Fixlog.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2015 Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Operacja ukończona pomyślnie. Na zakończenie: Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu, oraz zaktualizuj systemowy IE: KLIK. Odnośnik do komentarza
Trojan Opublikowano 18 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2015 Dzień dobry picasso, chciałbym Ci z góry podziękować za ofiarowaną mi pomoc w naprawie laptopa, czy za parę dni mógłbym poprosić jeszcze o parę wskazówek przy sprawdzeniu (odrobaczeniu) pc'ta? Mój syn niedawno przesiadywał na komputerze a nie miałem żadnego antywirusa ;-/ .Chciałbym też symbolicznie wspomóc serwer, czy mógłbym poprosić o numer konta ? Dziękuję i pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2015 Zgłoś Udostępnij Opublikowano 18 Listopada 2015 czy za parę dni mógłbym poprosić jeszcze o parę wskazówek przy sprawdzeniu (odrobaczeniu) pc'ta? Mój syn niedawno przesiadywał na komputerze a nie miałem żadnego antywirusa ;-/ Jasne. Chciałbym też symbolicznie wspomóc serwer, czy mógłbym poprosić o numer konta ? Link w mojej sygnaturze wiedzie do tematu, w którym są te dane. Odnośnik do komentarza
Trojan Opublikowano 19 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2015 Wielkie dzięki pozdrawiam :-) Odnośnik do komentarza
Rekomendowane odpowiedzi