Aro Opublikowano 18 Listopada 2015 Zgłoś Udostępnij Opublikowano 18 Listopada 2015 Specyfikacja: win 7 64 bit zanim komp dostał się w moje ręce to Eset do kwarantanny przeniósł 300 plików. Działanie typowe dla systemu objawiajacego obciążonego rootkitami. Defrogger zapodany, Daemon lite poszedł w diably czy tam w demony. Wykonałem tronscript, ale nie dał rady, mmimo że proces przeszedł do konca.. Tutaj opis calego procesu: https://www.reddit.com/r/TronScript/comments/3sjjn6/tron_v711_20151112_definitions_and_subtools/, póżniej recznie w trybie awaryjnym - AdwCleaner - Malwarebytes Anti-Malware Po odpaleniu Autoruns widać za dużo dziwnych rzeczy. \winmgr112.exe File not found: C:\Users\User\AppData\Roaming\Windows\winmgr112.exe hwdatacard File not found: system32\DRIVERS\ewusbmdm.sys kxldapob File not found: C:\Users\User\AppData\Local\Temp\kxldapob.sys hwdatacard File not found: system32\DRIVERS\ewusbmdm.sys mpjlfegf File not found: C:\Windows\system32\drivers\mpjlfegf.sys VGPU File not found: System32\drivers\rdvgkmd.sys BVTConsumer File not found: KernCap.vbs gmer.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2015 Zgłoś Udostępnij Opublikowano 18 Listopada 2015 Brakuje obowiązkowych raportów FRST. Po odpaleniu Autoruns widać za dużo dziwnych rzeczy.\winmgr112.exe File not found: C:\Users\User\AppData\Roaming\Windows\winmgr112.exehwdatacard File not found: system32\DRIVERS\ewusbmdm.syskxldapob File not found: C:\Users\User\AppData\Local\Temp\kxldapob.syshwdatacard File not found: system32\DRIVERS\ewusbmdm.sysmpjlfegf File not found: C:\Windows\system32\drivers\mpjlfegf.sysVGPU File not found: System32\drivers\rdvgkmd.sysBVTConsumer File not found: KernCap.vbs Zakreślone się nie liczą w dywagacjach, nieszkodliwe wpisy, a ten z Temp to tymczasowy sterownik GMER. Odnośnik do komentarza
Aro Opublikowano 19 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2015 FRST FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2015 Zgłoś Udostępnij Opublikowano 19 Listopada 2015 Adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do tzw. developerskiej i konieczna reinstalacja przeglądarki od zera. Prócz tego, różne odpadki adware (konsekwencja niepoprawnego usuwania adware) i wpisy puste do zaadresowania. A ten skrót "Internet Explorer (No Add-ons)" na Pulpicie jest bezużyteczny w kontekście tego jaką ma nazwę, to na pewno nie jest skrót uruchamiający IE w trybie bez dodatków, nie ma stosownego parametru to inicjującego. Prawidłowy skrót wykonujący tę akcję jest w Menu Start. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje OpenOffice.org 3.3, Spybot - Search & Destroy. Akcje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj przeglądarki ponownie, gdyż punkt poniżej będzie adresował usuwanie elementów Google. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {071F554D-6BA7-47BD-B469-20978C13A2C7} - \f02871e8-1d4d-4053-b361-e27d28661e7c-3 -> No File Task: {095234CB-069D-4258-AB48-8FCA94F83CF3} - \f02871e8-1d4d-4053-b361-e27d28661e7c-11 -> No File Task: {10C2A798-E50C-4310-8E25-9E12DCF7ED1A} - \98e9b698-514f-48af-afce-62c74ba389aa-11 -> No File Task: {164C9947-84C6-49F2-8649-4207EEE6814B} - \a7774075-6ee7-4842-9cfd-e995af862dfe-3 -> No File Task: {16B43CA7-B411-4B56-A6A5-4F3B8371E67F} - \f02871e8-1d4d-4053-b361-e27d28661e7c-5 -> No File Task: {1E537C1F-9668-4AAD-A4BF-9969F64690DC} - \DigitalSite -> No File Task: {21C1D51E-E8A8-4981-B023-BC3E5FEF2828} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-1 -> No File Task: {223319CD-59C6-4A10-97B2-72B205ED9403} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-7 -> No File Task: {2438526A-E7B7-4CFE-9E3B-D3715ADB5CFF} - System32\Tasks\{95A5BA61-6A06-4342-B86E-F0B5A5EF7619} => pcalua.exe -a "C:\Program Files (x86)\Crash Bandicoot 3D Racing\Crash Bandicoot 3D Racing.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {2EDA471B-2B5E-402C-8164-6F529E5048C0} - System32\Tasks\{6EF70FD3-1456-410D-949D-EFB37DB2C369} => pcalua.exe -a C:\Users\User\Downloads\MinecraftZyczu.exe -d C:\Users\User\Downloads Task: {3038F4C6-868B-4F09-8334-537FF1D4F6BB} - \a7774075-6ee7-4842-9cfd-e995af862dfe-5 -> No File Task: {3915227F-0566-4513-831C-C32AA2C4DF8F} - \a7774075-6ee7-4842-9cfd-e995af862dfe-5_user -> No File Task: {392B5B4D-0ECD-4173-9DFF-285FAD772FC0} - \APSnotifierPP3 -> No File Task: {3A3E1169-14D2-4EED-B48F-6C093A233DF2} - \f02871e8-1d4d-4053-b361-e27d28661e7c-6 -> No File Task: {3C22B29F-7D7E-4D92-89DF-3AFEA4E910D0} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-5 -> No File Task: {482AE8E3-FAE7-4E46-89C3-F5A62B9557E6} - \98e9b698-514f-48af-afce-62c74ba389aa-5_user -> No File Task: {4A5B4676-7587-4D94-A778-E43AEAECB2EF} - \globalUpdateUpdateTaskMachineCore -> No File Task: {4C37DD1B-6F40-4AA7-A066-70AA02920D12} - \APSnotifierPP1 -> No File Task: {539DAB4E-A601-4E9B-AFE4-4D3482CA6A7F} - \98e9b698-514f-48af-afce-62c74ba389aa-7 -> No File Task: {5D7B3D99-88BC-400D-BE00-1D5C73C21D83} - \Super Optimizer Schedule -> No File Task: {5E47DC9A-F26F-4CD5-ACAA-0CE8ECB31637} - \RegClean Pro -> No File Task: {67CD2993-B0D0-4BBB-AF4D-5352FAE5CC32} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-11 -> No File Task: {6AFE968C-B469-4DFF-862F-E6FFEBCF776B} - \globalUpdateUpdateTaskMachineUA -> No File Task: {6B873DF5-CABE-4532-9866-E47DCA8F66CB} - \f02871e8-1d4d-4053-b361-e27d28661e7c-1 -> No File Task: {733A2A60-B201-4E43-95C9-514B629A4BFF} - \a7774075-6ee7-4842-9cfd-e995af862dfe-7 -> No File Task: {7D3172DE-D0C9-4855-ACAB-AA1553C87B88} - \SMupdate1 -> No File Task: {7F65A0C7-29DE-4BD8-9067-8260260A5CAE} - \a7774075-6ee7-4842-9cfd-e995af862dfe-4 -> No File Task: {82DC41CE-88E3-47F9-9FF0-915EEF81F06E} - System32\Tasks\c802dce0-09df-40b7-8f4d-1ca8081da1f4 => C:\Program Files (x86)\Sense\a7774075-6ee7-4842-9cfd-e995af862dfe-4.exe Task: {9611EF3D-B398-40DE-BAD5-EC56FF8F8568} - \98e9b698-514f-48af-afce-62c74ba389aa-6 -> No File Task: {A14EFBBB-FFFA-4BA4-A200-2368A32C98CF} - System32\Tasks\winmgr112.exe => C:\Users\User\AppData\Roaming\Windows\winmgr112.exe Task: {AB839E89-77E4-4047-B837-25BD65E84CC0} - System32\Tasks\772806ea-7cee-4173-ace9-9e556fd1ced8 => C:\Program Files (x86)\Object Browser\4eec58ff-20e1-4867-b762-b0d9d8f1d4af-4.exe Task: {B5785CEE-B251-47DB-B603-E568FF276ED9} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-5_user -> No File Task: {B9882E70-9283-4607-8A4B-A0290A2A12D1} - \APSnotifierPP2 -> No File Task: {BB080D35-B034-4B07-BD92-4A8B5F3E850D} - \f02871e8-1d4d-4053-b361-e27d28661e7c-4 -> No File Task: {C14B573C-27DD-4FA2-A295-4EF6A0276B7C} - \98e9b698-514f-48af-afce-62c74ba389aa-4 -> No File Task: {C2741F8B-72A2-4F6A-B32C-5FE6800850F7} - \f02871e8-1d4d-4053-b361-e27d28661e7c-7 -> No File Task: {C6C2FFCE-BEDC-4904-976A-A5A8399BBE18} - \a7774075-6ee7-4842-9cfd-e995af862dfe-6 -> No File Task: {C819FAED-C52E-42F6-8605-1D882DC121F1} - \98e9b698-514f-48af-afce-62c74ba389aa-5 -> No File Task: {DA5B2DC2-6CB3-4B6E-A916-4DD28D5FD547} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-6 -> No File Task: {DCC95725-A6E7-474D-A2D9-A5234F1170A0} - \98e9b698-514f-48af-afce-62c74ba389aa-1 -> No File Task: {E4352736-D7D1-4BC3-975C-CFA42B9E923A} - System32\Tasks\{C463E71F-39BA-435F-8987-C6E783C8FABC} => pcalua.exe -a C:\Users\User\Desktop\dxwebsetup-feb2010.exe -d C:\Users\User\Desktop Task: {E7C273B5-407C-4D31-B04A-B0EF2326BE57} - \f02871e8-1d4d-4053-b361-e27d28661e7c-5_user -> No File Task: {E8C8E6AB-9EAE-48E1-9BDE-E5DB6D98E8E3} - \a7774075-6ee7-4842-9cfd-e995af862dfe-11 -> No File Task: {E9473F60-2CB5-41A3-B87D-1C9F30A970B1} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-3 -> No File Task: {E99B7510-75F5-4E12-B985-14C01683C17F} - \a7774075-6ee7-4842-9cfd-e995af862dfe-1 -> No File Task: {EEE32450-E1C8-4709-B038-850DD61D7E40} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-4 -> No File Task: C:\Windows\Tasks\772806ea-7cee-4173-ace9-9e556fd1ced8.job => C:\Program Files (x86)\Object Browser\4eec58ff-20e1-4867-b762-b0d9d8f1d4af-4.exe Task: C:\Windows\Tasks\c802dce0-09df-40b7-8f4d-1ca8081da1f4.job => C:\Program Files (x86)\Sense\a7774075-6ee7-4842-9cfd-e995af862dfe-4.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-797153215-895007883-3048408358-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861155942924767&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861155943548768&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-797153215-895007883-3048408358-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861155943548768&GUID=00000000-0000-0000-0000-000000000000 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-797153215-895007883-3048408358-1000 -> DefaultScope {92E911FC-4F29-44FE-83FA-6BE4A38BAB30} URL = Toolbar: HKU\S-1-5-21-797153215-895007883-3048408358-1000 -> No Name - {77127364-0094-4448-9C29-62EF28F1842F} - No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\04441727.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\04441727.sys => ""="Driver" S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S1 mpjlfegf; \??\C:\Windows\system32\drivers\mpjlfegf.sys [X] C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\spds90.txt C:\Users\User\AppData\Local\Temp.dat C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Local\Mozilla C:\Users\User\AppData\Local\Opera Software C:\Users\User\AppData\Roaming\appdataFr3.bin C:\Users\User\AppData\Roaming\appdataFr25.bin C:\Users\User\AppData\Roaming\DAEMON Tools Lite C:\Users\User\AppData\Roaming\Imminent C:\Users\User\AppData\Roaming\Mozilla C:\Users\User\AppData\Roaming\Opera Software Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\QuickRef_1.10.0.9 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom narzędzie Fix-it usuwające drobny błąd WMI z Dziennika zdarzeń: KLIK. Notabene, ten błąd jest powiązany z wejściem BVTConsumer KernCap.vbs widzianym w Autoruns. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Aro Opublikowano 23 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2015 OK. Jes taki dziwny glitch. Kiedy klimam "ok" po skończonym skanowaniu to zaczyna się na nowo....na nowo....na nowo.. :S Fixlog.txt FRST.txt Addition (1).txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2015 Zgłoś Udostępnij Opublikowano 23 Listopada 2015 (edytowane) Jes taki dziwny glitch. Kiedy klimam "ok" po skończonym skanowaniu to zaczyna się na nowo....na nowo....na nowo. Nie wiem co masz na myśli. Skan FRST działa u mnie poprawnie, wykonuje się tylko gdy wybiorę "Skanuj". Notabene, jest już nowsza wersja FRST wydana wczoraj. 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: C:\extensions.ini RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Zainstaluj najnowsze Google Chrome i zrób nowy log FRSt z opcji Skanuj (Scan) (bez Addition i Shortcut). Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi