mars44 Opublikowano 9 Marca 2016 Zgłoś Udostępnij Opublikowano 9 Marca 2016 Na laptopie, który mamy w formacji pojawiły się następujące problemy: - wolna praca (procesy zżerające zasoby jak csrss.exe, lsaas.exe) - przy próbie wgooglania nazw procesów wyżej wymienionych procesów restart systemu - restart systemu przy próbie wejścia na stronę z oprogramowaniem antywirusowym - samootwierająca się strona z czymś nie po polsku - tworzenie się folderów o takiej samej nazwie jak folder nadrzędny - kawałek czarnego ekranu przy starcie systemu - niska wydajność sieci wifi To co byłam w stanie zrobić sama to przez msconfig->uruchamianie wyłączyć część procesów, których nie potrafiłam powiązać z niczym zainstalowanym na kompie (Empty, Tok-Cirhatus) i te które nie są potrzebne do odpalenia. Wtedy udało mi się zainstalować ESET na wersji próbnej, znalazł dużo infekcji, ale procesy Empty i Tok-Cirhatus z okienka uruchamianie nie zniknęły, a włączenie systemu z nimi powoduje, że część wyżej opisanych problemów ciągle występuje. Bardzo proszę o pomoc i załączam logi z dziennikiem skanowania ESETem. Ze względu na to, że wymieniamy pliki przez USB z Siostrą Wychowawczynią jej komputer też jest zainfekowany (podobne objawy i procesy, wyczyszczony wstępnie ESETem), czy mogę podrzucić logi do tego tematu, czy dla przejrzystości założyć drugi? Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... GMER.txtPobieranie informacji ... dziennik ze skanu esetem.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 25 Marca 2016 Zgłoś Udostępnij Opublikowano 25 Marca 2016 To robak Brontok, z tym że wg raportów infekcja nie jest czynna. Widać drobne odpadki po niej oraz również innogogatunkowe śmieci adware. Akcja do wdrożenia: 1. Odinstaluj stare wersje Adobe oraz adware: Adobe Flash Player 18 ActiveX, Adobe Flash Player 19 PPAPI, FlvPlayer, YTD Video Downloader 4.9.1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {16a92140-918d-4afb-9edb-46f22437bb10}w64; C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys [48792 2015-01-26] (StdLib) R2 HPSLPSVC; C:\Users\młodzidlaJezusa\AppData\Local\Temp\7zS13DD\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [brak podpisu cyfrowego] S1 eegqukat; \??\C:\Windows\system32\drivers\eegqukat.sys [X] HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [Tok-Cirrhatus] => "C:\Users\młodzidlaJezusa\AppData\Local\smss.exe" HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [Flvto YouTube Downloader] => "\FlvtoYoutubeDownloader.exe" /minimize HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Policies\system: [DisableCMD] 0 Task: {0E91A5F0-5227-4F9B-B6EE-C200EC0156E7} - System32\Tasks\{A57D1615-6FC7-44F6-B6AA-A685A1B6D92D} => pcalua.exe -a "E:\paluch\Liturgia Godzin\kompleta\kompleta.exe" -d "E:\paluch\Liturgia Godzin\kompleta" Task: {125C314E-150A-4DF7-B9C8-30162C2A8EFC} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-05] (AVAST Software) Task: {1661EB8E-2366-4D21-941E-6F8488E8625E} - System32\Tasks\{7D35AEA9-BAFC-42FD-9BAC-67FA666EEE23} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe Task: {2B6969EF-4D57-4C3D-BFBF-80EDA2BD9D02} - System32\Tasks\{8162338B-D10A-48B2-B449-A5E13A94E05C} => pcalua.exe -a "F:\katedra 30.11.14\katedra 30.11.14`.exe" -d "F:\katedra 30.11.14" Task: {2C119A37-C4B7-4817-A492-0AB1E55B9920} - System32\Tasks\{5F8BBB5F-378A-442D-8B73-626FAE5DC067} => C:\Users\młodzidlaJezusa\Downloads\winrar-x64-501.exe [2015-02-19] () Task: {3389F761-4809-4697-AE41-C33B96DBA9D9} - System32\Tasks\{BFCFCE4D-2A50-434D-9DCC-3F2EFB9E0E6A} => pcalua.exe -a E:\paluch\paluch.exe -d E:\paluch Task: {43F51063-12A6-4EB9-8C88-3DEF8F1B4F86} - System32\Tasks\{9EDEE8B2-F51B-419A-8C4F-67A592D75D11} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe Task: {51AF9A58-543C-45E7-90E7-10EECB9FF786} - System32\Tasks\{EEB95FDE-8DF8-45AC-A0CF-B5DEEAE4ACDB} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe Task: {5753CEF8-1563-4AEB-96EA-44D12FED4F85} - System32\Tasks\{D859E44A-50C9-4836-BB2E-3CDC7280056A} => C:\Users\młodzidlaJezusa\Desktop\Synthesia-0.7.0\Synthesia.exe Task: {6252E06F-F10A-4FFB-95DE-D06D95831CD1} - System32\Tasks\{4036C51F-3FAC-4C9D-8CF2-7D152278CD19} => pcalua.exe -a "C:\Users\młodzidlaJezusa\Desktop\R0990_40 (D)\Setup.exe" -d "C:\Users\młodzidlaJezusa\Desktop\R0990_40 (D)" Task: {67D50943-8B95-4685-9ACF-251C09733A32} - System32\Tasks\{8541CE96-6464-4BC8-AAF5-64C136E272B7} => pcalua.exe -a E:\Postulat\1.Arka\1.Arka`.exe -d E:\Postulat\1.Arka Task: {7EE6BBF3-23C4-4960-A297-CAAEB9D0FB48} - System32\Tasks\{A114DF57-0BC3-4BEE-A94E-779F6DA16EF4} => Firefox.exe Task: {9799E1F8-06C7-452F-BCF9-A7628D362ED8} - System32\Tasks\{4D3E0D49-8832-474B-8C58-06A4AD1A3A4B} => pcalua.exe -a "F:\adoracja osób konsekrowanych 10.01 Panewniki\adoracja osób konsekrowanych 10.01 Panewniki`.exe" -d "F:\adoracja osób konsekrowanych 10.01 Panewniki" Task: {AA580F40-53BA-4AD7-86CC-577AEDB54324} - System32\Tasks\{0C3770AB-B6F1-4680-B206-BE6BAC78C489} => C:\Users\młodzidlaJezusa\Desktop\Synthesia-0.7.0\Synthesia.exe Task: {AEE1F27A-C5D4-4E9E-8A75-05BF145E425B} - System32\Tasks\Price Fountain => C:\Users\MODZID~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {AFEC1B82-78D7-478F-A5C7-9A243A12B248} - System32\Tasks\{E3A4CBAB-FD7F-4A69-88B5-CF54F873344E} => pcalua.exe -a D:\100KC330.exe -d D:\ Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\MODZID~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1422301960&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1422301960&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {40569913-25E4-44D6-8857-7D12FE1FC9B4} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {B8F9A4C2-1288-4438-AFA2-C6D463BD6652} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {1F91A9A1-01BA-4c81-863D-3BA0751E1419} -> Brak pliku BHO-x32: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku BHO-x32: Brak nazwy -> {b608cc98-54de-4775-96c9-097de398500c} -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MaintainerSvc1.65.3138243 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\RelevantKnowledge DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^młodzidlaJezusa^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\0c3a7392-abfa-41f5-95a9-5e339ac76b7b C:\ProgramData\AVAST Software C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge C:\Users\młodzidlaJezusa\AppData\Local\Bron.tok.A12.em.bin C:\Users\młodzidlaJezusa\AppData\Local\Kosong.Bron.Tok.txt C:\Users\młodzidlaJezusa\AppData\Local\Mozilla C:\Users\młodzidlaJezusa\AppData\Roaming\FlvPlayer C:\Users\młodzidlaJezusa\AppData\Roaming\Mozilla C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flvto YouTube Downloader.lnk C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\młodzidlaJezusa\Desktop\postulat\postulantki\materiały\FlvPlayer.lnk C:\Windows\pss\Empty.pif.Startup C:\Windows\System32\Drivers\aswNdisFlt.sys C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys C:\Windows\System32\Tasks\AVAST Software CMD: for /d %f in (C:\Users\młodzidlaJezusa\AppData\Local\*bron*) do rd /s /q "%f" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Obecnie brak ustawionej domyślnej przeglądarki. W opcjach Opery ustaw ją jako domyślną. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Cytat Ze względu na to, że wymieniamy pliki przez USB z Siostrą Wychowawczynią jej komputer też jest zainfekowany (podobne objawy i procesy, wyczyszczony wstępnie ESETem), czy mogę podrzucić logi do tego tematu, czy dla przejrzystości założyć drugi? Załatwmy to w tym temacie. Odnośnik do komentarza
mars44 Opublikowano 29 Marca 2016 Autor Zgłoś Udostępnij Opublikowano 29 Marca 2016 Wszystkie kroki wykonano, załączam pliki, o które prosiłaś. Dla porządku pliki z komputera Siostry Wychowawczyni załączę w osobnym poście. Bardzo dziękuję za pomoc Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
mars44 Opublikowano 1 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2016 Logi z komputera Siostry Wychowawczyni Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... GMER.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 9 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2016 POPRZEDNI KOMPUTER: Zadania wykonane. Na koniec: 1. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. DRUGI KOMPUTER: Czy to na pewno komputer, który był zainfekowany Brontokiem? Nie widzę w raportach żadnych śladów tej infekcji. Do usunięcia tylko drobne śmieci innego typu (szczątki po adware oraz inne odpadki): 1. Przez Dodaj/Usuń programy odinstaluj stare i zbędne programy: Adobe Flash Player 20 ActiveX, Adobe Flash Player 20 NPAPI, Adobe Flash Player 20 PPAPI, Adobe Shockwave Player 11.5, Java 7 Update 45. Wersje NPAPI (dla Firefox) i PPAPI (dla Opera) w ogóle nie są tu potrzebne, podane przeglądarki nie są zainstalowane. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej. Chodzi o to wystąpienie, które jest opisane jako BonanzaDeals, nie ruszaj tego opisanego jako Google Inc.: Google Update Helper (Version: 1.3.23.0 - BonanzaDeals) Hidden Google Update Helper (Version: 1.3.29.5 - Google Inc.) Hidden 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\APSnotifierCA.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\BABSOL~1\Shared\BabMaint.exe Task: C:\WINDOWS\Tasks\HPpromotions journeysoftware.job => C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-117609710-854245398-1177238915-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-117609710-854245398-1177238915-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe S3 Ambfilt; system32\drivers\Ambfilt.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 Monfilt; system32\drivers\Monfilt.sys [X] HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Brak pliku [ ] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&ts=1383837460&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&ts=1383837460&type=default&q={searchTerms} HKU\S-1-5-21-117609710-854245398-1177238915-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.search.ask.com/?tpid=SGT2-V7&o=APN11006&pf=V7&trgb=CR&p2=%5EB3S%5EYYYYYY%5EYY%5EPL&gct=hp&apn_ptnrs=%5EB3S&apn_dtid=%5EYYYYYY%5EYY%5EPL&apn_dbr=Opera.exe_0_12.16.1860.0&apn_uid=75C488EA-BB53-4D84-AC3A-C4A2EEFE60F8&itbv=12.10.0.3323&doi=2014-01-22&psv=&pt= URLSearchHook: HKLM -> Domyślne = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKU\S-1-5-21-117609710-854245398-1177238915-1004 - (Brak nazwy) - {D8278076-BC68-4484-9233-6E7F1628B56C} - Brak pliku HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://rts.dsrlte.com/?m=tab" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&q={searchTerms} SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchdwebs.info/?l=1&q={searchTerms}&pid=630&r=2013/06/24&hid=1503236440&lg=EN&cc=PL&unqvl=22 SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {E3109BAA-76F7-4D48-BC1E-570927110561} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms} BHO: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\PriceFountain\PriceFountainIE.dll [2014-11-27] () BHO: Brak nazwy -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Brak pliku Toolbar: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> Brak nazwy - {53475432-2D56-3700-76A7-7A786E7484D7} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.delta-homes.com/?type=sc&ts=1402571463&from=wpm0612&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX StartMenuInternet: chrome.exe - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1402571463&from=wpm0612&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BingSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla C:\Documents and Settings\Administrator\Menu Start\Programy\GIMPshop C:\Documents and Settings\Administrator\Menu Start\Programy\Mobogenie C:\Documents and Settings\Administrator\Menu Start\Programy\PriceFountain C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\*.crx C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\PriceFountain C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\GIMPshop C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\GoldWave C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\Mobogenie C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\PriceFountain C:\Documents and Settings\Wychowawczyni\Ustawienia lokalne\Dane aplikacji\Microsoft\BingSvc C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Bing, Extended Protection, Quick start. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Są tu dwa konta: ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-117609710-854245398-1177238915-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Wychowawczyni (S-1-5-21-117609710-854245398-1177238915-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Wychowawczyni Logi z FRST (główny + Addition, bez Shortcut) muszą być zrobione z każdego po kolei. Dołącz też plik fixlog.txt. Odnośnik do komentarza
mars44 Opublikowano 24 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2016 Ad. 1. Wykonano Ad. 2. Niestety na Windows XP wskazane narzędzie nie działa, więc BonanzaDeals ciągle jest Ad. 3 Wykonano, logi w załączeniu Ad. 4. Wykonano Ad. 5 Minęło sporo czasu i w tym czasie Siostra Wychowawczyni zrobiła już jedno konto (oprócz nieaktywnego konta Gość), więc log załączam tylko z jednego Nie wiem czy komputer był zainfekowany brontokiem, założyłam, że może być skoro wymieniałyśmy się USB a na obu komputerach zainstalowany był ten sam antywirus (darmowa wersja Avast). FRST.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 (edytowane) Na koncie Wychowawczyni poprawki: 1. Do deinstalacji także zestaw Apple: Apple Software Update, Obsługa programów Apple, QuickTime 7. Wykryte groźne luki, które nie zostaną już załatane. Apple zlikwidowało wsparcie dla Windows. 2. Otwórz Notatnik i wklej w nim: CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX DeleteKey: HKLM\SOFTWARE\Mozilla C:\Documents and Settings\Wychowawczyni\Dane aplikacji\Mozilla C:\Documents and Settings\Wychowawczyni\Ustawienia lokalne\Dane aplikacji\Mozilla C:\WINDOWS\0 C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Cytat Niestety na Windows XP wskazane narzędzie nie działa, więc BonanzaDeals ciągle jest Jakiś czas temu już się zorientowałam, że podmienili narzędzie. Wersję XP pobierzesz z przyklejonego opisu Program Install and Uninstall Troubleshooter. Cytat Minęło sporo czasu i w tym czasie Siostra Wychowawczyni zrobiła już jedno konto (oprócz nieaktywnego konta Gość) Konto Administrator jest wbudowane w system i nadal istnieje. Nie widać go na ekranie logowania w trybie normalnym, tylko na ekranie podczas wchodzenia w tryb awaryjny. Edytowane 11 Sierpnia 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi