Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Proszę o pomoc, malware w Chrome i błędy systemu

petrluca

Przez petrluca
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

petrluca

petrluca

Opublikowano
Opublikowano

Zwracam się z prośbą o pomoc.

 

Problem pojawił się po użyciu programu(można go ściągnąć z google drive, pierwszy wynik w google) flashtool 0.9.16.0(kasperski widział w nim zagrożenie), potrzebowałem wskrzesić smartfona z dwojga złego wybrałem potencjalną infekcje.
Po zainstalowaniu flashtoola instalator chciał dorzucić kilka dodatków, które próbowałem pominąć, mimo to w chrome zaczęły wyskakiwać nowe strony z programami czyszczącymi system, hazardem, erotyką i łatwą kasą.
Oto jedna z stron która wskakuje:
get24update.24onsiteupdate.com/ceawq?daca=6M-TU_ewA96avyVv9T5tn03D5K2ZjgCFPkM9QVY_1zU.&cid=13931033561457381564&pubid=350799&v_id=Ft3Ai1uCcbOWN0M44Ck3Y0xmPdGinUYWiEmX21iorT0.

 

dodatkowo podczas startu systemu windows host script wyrzuca okienko z komunikatem

 

Skrypt:C:/Windows\run.vbs
Wiersz:39
Znak:1
błąd:Nie można odnaleźć określonego pliku
Kod:8007002
źródło:(null)

 

Próbowałem usuwać malware adwcleaner, ccleaner, malewarebytes oraz kasperskim jednak po mimo wykrycia różnych zagrożeń i błędów ich usunięcie nie dało pozytywnego rezultatu.
Podjąłem także próbę ręcznego usuwania szukałem w procesach foldery były zabezpieczone i po odzyskaniu nad nimi kontroli udało mi się je powyrzucać jednak nadal coś gdzieś siedzi i wrzuca w chrome niechciane strony. Martwi mnie także ten komunikat systemu na starcie.
Posiadam Windows 7 Professional 64x

 

załączam logi w plikach txt.

 

Bardzo Proszę o pomoc

 

Dziękuje i pozdrawiam

Addition.txt

frst.txt

gmer.txt

Shortcut.txt

Odnośnik do komentarza
  • 3 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

W systemie jest aktywne szkodliwe proxy. Poza tym widać też różne inne szczątki adware. Działania do przeprowadzenia:

 

1. Odinstaluj stare wersje (luki!): Acrobat.com, Adobe AIR, Adobe Flash Player 18 PPAPI, Adobe Flash Player 20 ActiveX, Adobe Flash Player 20, Adobe Reader X (10.1.9), Adobe Shockwave Player 12.1, Java 8 Update 73, JavaFX 2.1.1, OpenOffice.org 3.3. Gdy ukończymy czyszczenie systemu, zainstalujesz najnowsze wersje.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {A87A4A01-A808-431C-B79B-B8A1D8080308} - \best_deals_evaaa_helper_service -> Brak pliku 
Task: {B5F7EF81-01A6-45E1-B79E-9E09BDAA1103} - System32\Tasks\{B59E4CF5-3241-4F4E-B722-AA05283CBC57} => pcalua.exe -a "C:\Users\pawel\Downloads\Adobe CS4\payloads\AdobeAIR1.0\AdobeAIRInstaller.exe" -d "C:\Program Files (x86)\Common Files\Adobe\Installers\b2d6abde968e6f277ddbfd501383e02" -c -silent
Task: {BE71FA46-DB6C-455F-9A17-E89037D1F7E4} - System32\Tasks\{57118BFA-572C-4C91-8EDF-35602F9D70F4} => pcalua.exe -a "C:\Program Files (x86)\Nokia\Nokia PC Suite 6\ApplicationInstaller.exe" -c "C:\Users\pawel\Downloads\SpotifyInstaller_SymbPortrait.sis"
Task: {F963C32B-EB2E-46B3-BF5D-39082AEEEEF3} - System32\Tasks\Aagoau => C:\PROGRA~1\GROOVE~1\Gojsa.bat
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKU\S-1-5-21-4098247036-2222334072-374990730-1001\...\Run: [AdobeBridge] => [X]
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku
BootExecute: autocheck autochk * sdnclean64.exe
StartMenuInternet: Google Chrome.RKVPIV5AXDFI653O4RXI6LODTU - C:\Users\pawel\AppData\Local\Google\Chrome\Application\chrome.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-4098247036-2222334072-374990730-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
BHO-x32: Brak nazwy -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Brak pliku
Toolbar: HKU\S-1-5-21-4098247036-2222334072-374990730-1001 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku
Handler: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - Brak pliku
S3 HWiNFO32; \??\C:\Users\pawel\AppData\Local\Temp\HWiNFO64A.SYS [X]
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MozillaMaintenance
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^pawel^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Acrobat Assistant 8.0
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BEWINTERNET-PLSessionManager
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desktop Disc Tool
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mpck_en_005030258
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OfficeScanNT Monitor
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ProductUpdater
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_pl_217
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RoxWatchTray
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\win_en_77
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
AlternateDataStreams: C:\Users\pawel\Cookies:zSKwpgYBh8Mqi4HT9b [2386]
C:\Program Files (x86)\intellidownload
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Spyware Terminator
C:\ProgramData\Temp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audiograbber
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FontUtilities
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Program Client-Server Security Agent firmy Trend Micro
C:\Users\pawel\AppData\Local\app
C:\Users\pawel\AppData\Local\Mozilla
C:\Users\pawel\AppData\Local\Opera Software
C:\Users\pawel\AppData\Local\pyeCyaxn7j
C:\Users\pawel\AppData\Local\Tempfolder
C:\Users\pawel\AppData\LocalLow\Company
C:\Users\pawel\AppData\Roaming\Azureus
C:\Users\pawel\AppData\Roaming\gplyra
C:\Users\pawel\AppData\Roaming\IeceuBudoeei
C:\Users\pawel\AppData\Roaming\Mozilla
C:\Users\pawel\AppData\Roaming\Opera Software
C:\Users\pawel\AppData\Roaming\Microsoft\Word\PLENER%20józefów%202015304964781963222151\PLENER%20józefów%202015.doc.lnk
C:\Users\pawel\Start Menu\Programs\Browser Manager
C:\Windows\run.vbs
C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup
C:\Windows\system32\asei
C:\Windows\system32\Drivers\etc\hp.bak
C:\Windows\SysWOW64\Number of results
Hosts:
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. W Google Chrome jest ogromna ilość profilów. Ustawienia > karta Ustawienia > Osoby > skasuj wszystkie tożsamości z wyjątkiem bieżącej.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

 

Dodatkowo, plik run.vbs został załączony do usunięcia, ale jakoś nie widać jawnie skąd się ładował. Zrób więc dodatkowe szukanie. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log.

 

run.vbs

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...