mstola Opublikowano 14 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2016 Samo otwierające się reklamy i dziwne przekierowania Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2016 Zasady działu: KLIK. Zakaz podpinania się, wydzialam w osobny temat. Zestaw logów nieodpowiedni, OTL jest stary i już tu nie akceptowany, usuwam jego logi. Dostarcz raporty z FRST: KLIK Odnośnik do komentarza
mstola Opublikowano 15 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2016 Dołączam logi z FRST FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2016 Widzę tu dwa typy infekcji. Adware: W usługach oraz Harmonogramie zadań są szkodliwe obiekty, a także ustawione polityki Google Chrome. Ale są też ślady infekcji routera, na forum widzę Cię z polskim IP Neostrady, a poniższy adres pobrany z routera jest niemiecki: Tcpip\Parameters: [DhcpNameServer] 46.101.178.39 8.8.8.8 Tcpip\..\Interfaces\{C0E12199-F244-49BA-A484-91A4C29A3E24}: [DhcpNameServer] 46.101.178.39 8.8.8.8 Tcpip\..\Interfaces\{E4D7884B-C731-44AC-ADC7-FB2C113BCEA1}: [DhcpNameServer] 46.101.178.39 8.8.8.8 Operacje do przeprowadzenia: 1. Relatywne do routera. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. 2. Deinstalacje: Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj McAfee Security Scan Plus (sponsor instalacji Adobe Flash), qksee (adware), Shared C Run-time for x64 (odpadek po odinstalowanym pakiecie McAfee), WinZip (adware, to nie jest WinZip Corela tylko obiekt go udający). Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\QwinpQ\WFini.exe [582328 2016-04-13] (WFini LIMITED) S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [295096 2016-01-25] () R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [705688 2016-04-13] (Winzipper Pvt Ltd.) S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106112 2012-06-22] (McAfee, Inc.) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S3 FTDIBUS; \SystemRoot\system32\drivers\ftdibus.sys [X] S3 FTSER2K; \SystemRoot\system32\drivers\ftser2k.sys [X] S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] Task: {15C759D1-1059-4D8F-BA75-32536F44948A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {364BB908-CF1B-4081-8CCE-F3DE559E293F} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\47185D1CB6DF3175E48B2A3B42A43E29\Update\BrowserUpdate.exe [2016-04-08] (Tencent) Task: {5AF52401-6B6D-4341-87CD-A5D2AE9AEFAD} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-01-25] () Task: {C2B59258-8831-4FE2-85ED-68CA1F0F3F97} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe Task: {FEDC3EE2-2F1F-4AAC-BFD7-CEFF0FF74948} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird HKU\S-1-5-21-577657667-1055987836-4248545114-1002\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku BootExecute: SBBD.exe /D \Device\HarddiskVolume4\Program Files (x86)\iS3\STOPzilla AntiVirus\Definitions /Lautocheck autochk * sdnclean64.exe GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-577657667-1055987836-4248545114-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin: @mcafee.com/MSC,version=10 -> C:\Program Files\mcafee\msc\npMcSnFFPl64.dll [brak pliku] FF Plugin-x32: @mcafee.com/MSC,version=10 -> C:\Program Files (x86)\McAfee\msc\npMcSnFFPl.dll [brak pliku] C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\Lenovo C:\Program Files (x86)\qksee C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\Program Files (x86)\WinZipper C:\ProgramData\QwinpQ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel AT Service.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\asus\AppData\Local\Lenovo C:\Users\asus\AppData\Roaming\eCyber C:\Users\asus\AppData\Roaming\Enigma Software Group C:\Users\asus\AppData\Roaming\qksee C:\Users\asus\AppData\Roaming\WinZiper C:\Users\asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\asus\Desktop\fot.2015_16\NS25\20151103_091634 — skrót.lnk C:\Users\asus\Desktop\Nowy folder\strona\Bibliotekarz .NET.lnk C:\Users\asus\Start Menu\Programs\SpyHunter C:\Users\Public\Desktop\qksee.lnk C:\Users\Public\Desktop\ASUS\Business tool\Adobe Reader X.lnk C:\Windows\System32\drivers\HipShieldK.sys C:\Windows\System32\drivers\mferkdet.sys C:\Windows\System32\Tasks\Lenovo CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W związku z politykami blokującymi "coś" w Google Chrome mogą być w ustawieniach (już odblokowanych w/w skryptem) niepożądane obiekty. W związku z tym dodatkowe czyszczenie: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Odnośnik do komentarza
mstola Opublikowano 21 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 21 Kwietnia 2016 Udało się usunąć, załączam pliki FRST.txt Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 23 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2016 Skrypt FRST uruchomiłeś bezsensownie aż 4 razy. To skrypt jednorazowego podejścia i nie zadziała więcej niż raz, nie znajdzie rzeczy już przetworzonych wcześniej. Co się działo, że aż 4 podejścia były? Poprzednie zadania w większości wykonane (ostał się tylko jeden rekord DNS), tylko że w międzyczasie nabyłeś nowe obiekty adware, tzn. jIxmRfR - fałszywy klon Google Chrome, który podmienił wszystkie skróty Google Chrome. Kolejne czyszczenie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{E4D7884B-C731-44AC-ADC7-FB2C113BCEA1}: [DhcpNameServer] 46.101.178.39 8.8.8.8 S2 jIxmRfR_download; "C:\Users\asus\AppData\Local\Temp\ist936.tmp\tools\chr.exe" [X] Task: {1DAB0484-C91C-4387-ACA5-A6B5D2A8FC14} - \jIxmRfRCheckTask -> Brak pliku Task: {5BF2CFF9-CBB9-414E-AB90-D18AE27359F6} - \jIxmRfRBrowserUpdateCore -> Brak pliku Task: {6EB9E3F4-4799-48EF-B92C-B232A1E4E692} - \jIxmRfRBrowserUpdateUA -> Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\jIxmRfR RemoveDirectory: C:\ProgramData\jIxmRfR RemoveDirectory: C:\Users\asus\AppData\Local\jIxmRfR RemoveDirectory: C:\Users\asus\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Public\Documents\jIxmRfR RemoveDirectory: C:\WINDOWS\system32\log CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" CMD: del /q "C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" CMD: del /q "C:\Users\asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" CMD: del /q "C:\Users\asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk" CMD: del /q "C:\Users\Public\Desktop\Google Chrome.lnk" CMD: del /q C:\Users\asus\Downloads\*.exe.part CMD: del /q C:\Users\asus\Downloads\MicrosoftFixit.ProgramInstallUninstall.*.exe CMD: del /q C:\Users\asus\Downloads\OTL*.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi reset i powstanie kolejny plik fixlog.txt. Przedstaw go. 2. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Przedstaw wynikowy log. jIxmRfR;chrome.exe Odnośnik do komentarza
mstola Opublikowano 25 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2016 Załączam pliki. Przy uruchamianiu tlenu - O2 ciągle się coś dzieje dziwnego. Fixlog.txt Search.txt Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2016 Fix FRST wykonany. Natomiast wyniki wyszukiwania bogate i trzeba dokasować referencje śmiecia udającego "Google Chrome". Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\jIxmRfR DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.htm DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.html DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.shtml DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.xht DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\jIxmRfRHTM DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Clients\StartMenuInternet\jIxmRfRHTM DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\95f6f29c_0 DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.html DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.xht DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\Roaming\OpenWith\UrlAssociations\ftp\UserChoice Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.html /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.xht /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_https /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_http /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\UFH\SHC /v 1 /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\UFH\SHC /v 2 /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\RegisteredApplications /v jIxmRfRHTM /f Reg: reg delete "HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
mstola Opublikowano 25 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2016 Wynikowy fixlog.txt: Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2016 Wykonane pomyślnie. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
mstola Opublikowano 25 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2016 Log z AdwCleaner AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2016 1. AdwCleaner znalazł dużo odpadków adware. Uruchom go ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie, odinstaluj go używając przycisk w oknie. 2. Następnie zrób skan za pomocą Hitman Pro i dostarcz wynikowy log. Odnośnik do komentarza
mstola Opublikowano 25 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2016 Logi z Hitman Pro: HitmanPro_20160425_2211.txt Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2016 1. Hitman nie wykrył nic ciekawego, tylko drobne ciastka w Firefox. Usuń za pomocą programu. A te "podejrzane pliki" to detekcja FRST i jest to fałszywy alarm. 2. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko. Odnośnik do komentarza
mstola Opublikowano 26 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2016 Dzięki serdeczne Odnośnik do komentarza
Rekomendowane odpowiedzi