Gaston Opublikowano 18 Listopada 2015 Zgłoś Udostępnij Opublikowano 18 Listopada 2015 Całośc wygląda na zwykłą infekcję przeglądarek, strona główna w Chrome i FF zmieniła się na Deltę reklamującą różne rzeczy. Ściągnąłem MBAM, który wykrył mnóstwo tego i coś, co nazywał fraudsami... wykonałem usunięcie zaznaczonych przez niego elementów i system przestał się uruchamiać - zastosowałem przywracanie systemu, choć długo nie chciał system załadować punktu przywracania, obecnie system niestety jest oczywiście zarażony... wobec tego piszę tutaj, bo mnie to przerosło... potrzebuję pomocy, pozdrawiam gmer.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2015 Zgłoś Udostępnij Opublikowano 19 Listopada 2015 Ściągnąłem MBAM, który wykrył mnóstwo tego i coś, co nazywał fraudsami... wykonałem usunięcie zaznaczonych przez niego elementów i system przestał się uruchamiać - zastosowałem przywracanie systemu, choć długo nie chciał system załadować punktu przywracania Czy posiadasz raport z tego fatalnego usuwania MBAM? Delta zmodyfikowała skróty LNK przeglądarek, poza tym te przekierowania są także w innych miejscach, a także inne wpisy adware, w tym stare (siedzą w systemie długo). Akcje do przeprowadzenia: 1. Odinstaluj stare wersje Google Talk Plugin (już nie działa), Mozilla Firefox 36.0.1 (x86 pl) + Mozilla Maintenance Service oraz adware WinZipper. Przy deinstalacji Firefox potwierdź usuwanie profilu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 IhPul; C:\Users\Ola\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] () [brak podpisu cyfrowego] S2 SSFK; C:\Program Files\SFK\SSFK.exe [169632 2015-10-10] () [brak podpisu cyfrowego] CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647" CHR DefaultSearchURL: Default -> hxxp://search.delta-homes.com/web/?type=ds&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647&q={searchTerms} CHR DefaultSearchKeyword: Default -> delta-homes CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-05] CHR HKLM\...\Chrome\Extension: [nikmkgpjeihnepknifcebifbohdpffpd] - C:\ProgramData\Download and Sa\nikmkgpjeihnepknifcebifbohdpffpd.crx ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647 ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1443884345&z=95cf90031fbd607c4a146a0g4z9z9c6b2bdz6g0cft&from=cor&uid=SAMSUNGXHM500JI_S1WFJDQB169647 SearchScopes: HKU\S-1-5-21-3877172286-2488451200-970165979-1001 -> {EAFA9815-F96B-43B5-B101-D761F609AF11} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=962A2C64-9BE8-425D-A0D8-3011B17CCDFB&apn_sauid=EC73B801-C34C-483A-9C2B-4D96392D9EF4 BHO: Download and Sa Class -> {447E1BB6-F53D-4DED-E0E9-78C1D5BA6C97} -> C:\ProgramData\Download and Sa\5074534c3e5d0.ocx [2012-10-09] () CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.149\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Ola\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku Task: {4F638F95-7D44-43D1-9FD1-6CAAED0664C2} - System32\Tasks\{D6575633-5425-409A-8E47-6539EA27BC88} => Firefox.exe hxxp://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?source=lightinstaller&page=tsPlugin Task: {5273AE30-7F7E-42EC-B862-F90690B33878} - System32\Tasks\{A136471A-D067-434A-A6EC-4B95B0D86EB2} => Firefox.exe hxxp://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?source=lightinstaller&page=tsPlugin Task: {6C2E2AE3-480E-4353-AE42-F76C2A3D18D8} - System32\Tasks\OptimizerPro1UpdaterTask{A9F44490-1D6A-41D5-8831-F641AB79A64E} => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe Task: {D82E2941-06B9-4224-B8FB-477BA200A819} - System32\Tasks\{790B949C-7018-47E1-B3F4-6A2CC98113CF} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/go/help.faq.installer?LastError=1618 Task: {E36F9550-0BAA-4565-B3DD-694A00845B4D} - System32\Tasks\OptimizerPro1UpdaterTask{77ABE891-F547-4940-9205-BFDA150FB2B0} => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe Task: {FBF5D2E7-59C8-4E77-849B-3903283CA6D5} - System32\Tasks\{D0F06346-ECBD-4EF2-8833-7CACEEA34C10} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/go/help.faq.installer?LastError=1618= Task: C:\Windows\Tasks\OptimizerPro1UpdaterTask{77ABE891-F547-4940-9205-BFDA150FB2B0}.job => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exeJ/schedule /profilepath C:\ProgramData\Premium\OptimizerPro1\profile.ini Task: C:\Windows\Tasks\OptimizerPro1UpdaterTask{A9F44490-1D6A-41D5-8831-F641AB79A64E}.job => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exeJ/schedule /profilepath C:\ProgramData\Premium\OptimizerPro1\profile.ini C:\Program Files\Elex-tech C:\Program Files\SFK C:\Program Files\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\2WdsManPro2 C:\ProgramData\Download and Sa C:\ProgramData\Premium C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Soulseek NS C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\Ola\AppData\Roaming\eCyber C:\Users\Ola\AppData\Roaming\Elex-tech C:\Users\Ola\AppData\Roaming\TSv C:\Users\Ola\AppData\Roaming\WinZipper C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\Drivers\asw*.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\googletalk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_ssl_v12" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zune Launcher" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Gaston Opublikowano 19 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2015 Znalazłem jedynie log .xml, to chyba preskan, bo nie ma nic ciekawego tam, jako, że nie mam uprawnień do wysyłania takich plików log możesz zobaczyć tutaj: http://wklej.to/3O2Qy w kwarantannie jest ponad 200mb plików 1. Odinstalowałem wszystko, z tym, że FF nie pytał o usunięcie profilu. 2. fixlog w załączniku 3. Zrobione (aczkolwiek nie było synchro.) 4. skany w załączniku, aczkolwiek za każdym razem FRST wyrzuca taki komunikat podczas tworzenia kopii rejestru: http://i65.tinypic.com/9gyihg.png Fixlog.txt FRST.txt Shortcut.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2015 Zgłoś Udostępnij Opublikowano 20 Listopada 2015 Znalazłem jedynie log .xml, to chyba preskan, bo nie ma nic ciekawego tam To log związany z aktualizacją baz a nie detekcją zagrożeń. aczkolwiek za każdym razem FRST wyrzuca taki komunikat podczas tworzenia kopii rejestru Tak, wiemy o tym i zgłoszenie już od kilku dni wisi w oczekiwaniu. To bug w najnowszym FRST. Na Windows 7 i starszych komunikat to "ERUNT.exe nie jest prawidłową aplikacją systemu Win32", na systemach Windows 8 i 10 błąd ma formę "Ta aplikacja nie będzie działać na Twoim komputerze". Odinstalowałem wszystko, z tym, że FF nie pytał o usunięcie profilu. Dawno nie instalowałam Firefoxa. Coś się zmieniło w instalatorze, wcześniej taka opcja była proponowana. Należy ręcznie doczyścić widoczne szczątki. Poprawki: 1. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Mozilla Firefox RemoveDirectory: C:\Users\Ola\AppData\Local\Mozilla RemoveDirectory: C:\Users\Ola\AppData\Roaming\Mozilla CMD: del /q C:\uxriqpow.sys CMD: del /q C:\Users\Ola\Downloads\y78ul51b.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym raze nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Gaston Opublikowano 20 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2015 Ok, zrobione, wyniki w załączniku. Fixlog.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2015 Zgłoś Udostępnij Opublikowano 20 Listopada 2015 1. Uruchom ponownie AdwCleaner, tym razem zastosuj kombinację Skanuj + Usuń. Po akcji: 2. Poczęstuj się DelFix i wyczyść foldery Przywracania systemu. To tyle. Odnośnik do komentarza
Gaston Opublikowano 20 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2015 Ok, dzięki wielkie. Pytanie czy te wszystkie pozostałości po MBAM, etc. (np. w danych aplikacji) usuwać ręcznie czy inaczej? PS. TFC Avast definiuje jako zagrożenie... (?) AdwCleanerC1.txt DelFix.txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2015 Zgłoś Udostępnij Opublikowano 20 Listopada 2015 Po prostu usuń ręcznie poniższe foldery + co tam jeszcze widzisz na dysku. C:\Program Files\Malwarebytes Anti-Malware C:\ProgramData\Malwarebytes Narzędzia wykonały zadanie. Skasuj plik C:\delfix.txt. Odnośnik do komentarza
Gaston Opublikowano 20 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2015 Ok, dzięki. Co z tym TFC? Ignorować Avasta? Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2015 Zgłoś Udostępnij Opublikowano 21 Listopada 2015 Tak, to jest fałszywy alarm. Nawiasem mówiąc to lokalizacje tymczasowe już tu były czyszczone, a po tym zdarzeniu nie występowały żadne nowe (de)instalacje. Komenda EmptyTemp: zadania w skrypcie FRST wykonuje więcej niż TFC Temp Cleaner (od dawna nieaktualizowany). Odnośnik do komentarza
Gaston Opublikowano 23 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2015 Ok, dzięki za info oraz wszelką pomoc. Temat do zamknięcia, przynajmniej z mojej strony. Pozdrawiam bardzo, bardzo i dużo zdrowia życzę. Odnośnik do komentarza
Rekomendowane odpowiedzi