jrr Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 Witam. Poproszono mnie o pomoc w sprawdzeniu komputera. Objawami było: długie uruchamianie systemu, wolne działanie internetu i zmiana strony startowej. System przeskanowałem MBAM (skaner ten w wynikach pokazywał najcześciej nazwę PUP.Optional.Linkury) i ADWCleaner. Po wykryciu i usunięciu wyników, myślałem, że wszystko jest w porządku. Niestety problem nieustannie powraca. Użyłem ponadto programów HitmanPro i JRT. Bez oczekiwanego efektu. Ostatnią deską ratunku jaka przyszła mi do głowy, jesteście Wy Proszę zatem o pomoc w rozwiązaniu problemu. Załączam wymagane logi oraz dodatkowo ostatni log po ''usunięciu'' z ADWCleaner. Gmer.txt Shortcut.txt Addition.txt FRST.txt AdwCleanerC15.txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 System przeskanowałem MBAM (skaner ten w wynikach pokazywał najcześciej nazwę PUP.Optional.Linkury) i ADWCleaner. Po wykryciu i usunięciu wyników, myślałem, że wszystko jest w porządku. Niestety problem nieustannie powraca. Użyłem ponadto programów HitmanPro i JRT. Bez oczekiwanego efektu. Ale który problem masz na myśli? Opisz dokładnie o który wątek Ci chodzi. W raportach nie widać żadnego aktywnego adware czy innej infekcji, są tylko całkowicie martwe mini szczątki nie mające żadnego wpływu na stan systemu. Operacje porządkowe: 1. Odinstaluj stare niebezpieczne wersje (luki): Acrobat.com, Adobe AIR, Adobe Reader 9.1 MUI, Java 7 Update 79. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\ApppaznoZ\Zamfax.dll => Brak pliku SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO: Brak nazwy -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\ApppaznoZ RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\Lusia\DoctorWeb EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Odnośnik do komentarza
jrr Opublikowano 31 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2016 MBAM komunikował, że usunął wirusy. Po restarcie komputera, uruchamiałem skaner i było OK. Jednak za jakiś czas (nie wiem, czy było to związane z otwarciem przeglądarki, czy raczej tylko po wyłączeniu i włączeniu komputera) znajdował znowu te same zagrożenia (PUP.Optional.Linkury). Procedurę powtarzałem kilka razy, również w trybie awaryjnym i ciągle było to samo - po pierwszym skanowaniu po usunięciu w porządku, po którymś następnym - wyniki do usunięcia. Podobnie sytuacja wyglądała z ADWCleaner, który raz pokazywał, że wszystko jest OK, by następnym razem znaleźć jakiś wpis w rejestrze, który należy usunąć. W czasie tych kilkunastu skanów, zmieniła mi się również raz samoistnie strona startowa z Google na jakąś inną podejrzaną (niestety nazwy nie pamiętam). Wydawało mi się, że to wszystko stanowi problem, i że wirus ciągle gdzieś siedzi. Zgodnie z zaleceniami wskazane wersje (luki) odinstalowałem w panelu sterowania. W załączeniu przesyłam fixlog. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 Nie ma raportów z okresu który opisujesz. Podany w pierwszym poście log AdwCleaner to był ostatni z serii i w nim nie było żadnych detekcji (a dwa resety Tracing + Winsock tam figurują, bo to ogólne resety robione "w ciemno", jeśli wybrano opcje dodatkowe w menu). Jak mówiłam, w raportach FRST również nie było żadnego aktywnego elementu. Tak więc oczekuję teraz na potwierdzenie, że żadne śmieci się nie odtwarzają. A skrypt FRST pomyślnie wykonany. Odnośnik do komentarza
jrr Opublikowano 1 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2016 Załączam jeszcze losowe raporty z tamtego okresu. Pierwszy z dn. 26.05 czysty, po tym jak wcześniej usunął ok. 300 wyników. I następny z dn. 26.05. znowu z wieloma zagrożeniami. W następnych dniach tych wykryć nie było już tak wiele, ale zawsze coś przy którymś skanie się pojawiało. Dzisiaj zrobiłem skan MBAM i faktycznie wygląda, że jest czysto. Jeśli tylko w najbliższym czasie coś się znowu niepokojącego wydarzy, dam znać. A na tą chwilę dziękuję bardzo za pomoc. 26.05 - OK.txt 26.05. - Not OK.txt 30.05 - Not OK.txt 31.05 - Not OK.txt Odnośnik do komentarza
picasso Opublikowano 1 Czerwca 2016 Zgłoś Udostępnij Opublikowano 1 Czerwca 2016 Oceniając podane archiwalne materiały, na pewno tych obiektów nie było w finałowych raportach FRST, usuwałam jedynie drobne martwe odpadki po tej infekcji. Sądzę, że problem jest rozwiązany. Jeśli nie nastąpią żadne nawroty choroby, wykonasz końcowe kroki, tzn. zastosowanie DelFix oraz czyszczenie folderów Przywracania systemu: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi