Puszczysko Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Witam, Ostatnio pojawiło mi się przekierowanie strony startowej w przeglądarkach do yoursites123 i zainstalował się programik picexa. Program picexa odinstalowałem lecz nie potrafię sobie poradzić z przekierowaniem yoursites123. komputer skanowałem NOD32, usunął 5 zainfekowanych plików - obecnie nie wykrywa żadnych infekcji. Podobnie jest ze SpyHunter4 obecnie nie wykrywa zagrożeń. Problem z przekierowaniem yoursites123 nie zniknął. Na początku skanowania jak i pod jago koniec pojawił się komunikat błędu: C:\Windows\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inne procesy. Proszę o pomoc, dziękuję. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 SpyHunter to wątpliwy skaner z czarnej listy namolnie reklamowany na fałszywych blogach jako usuwacz określonych infekcji, tylko po to by go zainstalować. Prócz infekcji notuję tu też problem z uszkodzonym WMI: ==================== Punkty Przywracania systemu ========================= UWAGA: Przywracanie systemu jest wyłączone Sprawdź usługę "winmgmt" lub napraw WMI. Operacje do wykonania: 1. Klawisz z flagą Windows + X > Programy i funkcje > Odinstaluj SpyHunter. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 WdMan; C:\ProgramData\3WdM3\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Puszczyk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P ShortcutWithArgument: C:\Users\Puszczyk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P ShortcutWithArgument: C:\Users\Puszczyk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P" CHR DefaultSearchURL: Default -> hxxp://www.yoursearching.com/web/?type=ds&ts=1449170298&z=98e347c5468016b45f17c19g9zaz3t9g1m9ecoft1t&from=smt&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-850205820-2377325791-3494594986-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKU\S-1-5-21-850205820-2377325791-3494594986-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKU\S-1-5-21-850205820-2377325791-3494594986-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} Toolbar: HKU\S-1-5-21-850205820-2377325791-3494594986-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449170298&z=98e347c5468016b45f17c19g9zaz3t9g1m9ecoft1t&from=smt&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P Task: {0633FBDD-97DB-417F-8861-E3EDCFD55116} - System32\Tasks\{33F4D19B-1EE9-44C8-90CD-5E99E4A76862} => pcalua.exe -a C:\Users\Puszczyk\Downloads\monitorfix.exe -d C:\Users\Puszczyk\Desktop C:\Program Files (x86)\GUMF13.tmp C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Norton 360 C:\Program Files (x86)\Opera C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\3WdM3 C:\ProgramData\3WMiniPro3 C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GTX Box Team C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype C:\Users\Puszczyk\AppData\Local\{91311D3A-6951-4FCC-B2BA-02DA8B22CF0E} C:\Users\Puszczyk\AppData\Roaming\TSv C:\Users\Puszczyk\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Puszczyk\Downloads\SpyHunter-Installer.exe C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan) - z Addition, ale bez Shortcut - oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Puszczysko Opublikowano 11 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Zrobiłem jak pisałeś i jest ok Oto załączone pliki, nie wiem tylko skąd wziąć plik fixlog.txt więc załączam ten który tworzyłem. FSS.txt Addition.txt FRST.txt Fixlog.txt Odnośnik do komentarza
Rucek Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Zrobiłem jak pisałeś i jest ok Picasso to kobieta. Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 (edytowane) Wprawdzie prawie wszystko zrobione (będzie do usunięcia pozostałość po SpyHunter), ale problem z WMI nie rozwiązany. Na dodatek wygląda na to, że ten system jest zupełnie pozbawiony wbudowanego Windows Defender. To nie jest normalna sytuacja. Pytaniem zasadniczym jest więc z jakiego nośnika instalowano Windows 8.1, czy przypadkiem nie była to "produkcja z torrent"? Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi