przezsamoha Opublikowano 2 Czerwca 2016 Zgłoś Udostępnij Opublikowano 2 Czerwca 2016 Dobry wieczór, od paru godzin walczę z wirusem Tencent PC Manager i całym mnóstwem reklam wyskakujących z prędkością światła. Zniknęły mi też zakładki z przeglądarki Chrome, a po uruchomieniu ponownym komputera po zalogowaniu się użytkownika nie widać pulpitu. Po ponownym uruchomieniu, przy czarnym ekranie przeszłam do managera zadań i z aktywnych procesów zamknęłam brzmiący najdziwniej (wiem, dziwna retoryka..) i ujrzałam pulpit. Parokrotnie w procesach pojawiało się na chwilę coś o nazwie "COM surrogate" i znikało gdy tylko chciałam zamknąć ten proces. Kilkukrotnie uruchomiłam skanowanie programem Malwarebytes (załączam raporty), w efekcie czego zniknęły reklamy. Na pulpicie nadal pozostały nieznane ikony z chińskimi opisami (patrz załącznik). Bardzo, bardzo proszę o pomoc i z góry dziękuję! GMER.txt FRST.txt Addition.txt Shortcut.txt malwarebytes1.txt malwarebytes2.txt malwarebytes3.txt malwarebytes4.txt malwarebytes5.txt malwarebytes6.txt malwarebytes7.txt Odnośnik do komentarza
Rucek Opublikowano 2 Czerwca 2016 Zgłoś Udostępnij Opublikowano 2 Czerwca 2016 Najlepiej odłącz internet, wyłącz kompa, monitoruj forum z innego kompa jak masz możliwość i czekaj na Picasso. Odnośnik do komentarza
przezsamoha Opublikowano 2 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2016 Dzięki, tak zrobię! Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2016 Zgłoś Udostępnij Opublikowano 2 Czerwca 2016 W systemie kupa chińskich infekcji, a także infekcja WMI atakująca skróty przeglądarek. Zniknęły mi też zakładki z przeglądarki Chrome Wygląda na to, że adware ustawiło inny profil przeglądarki (ChromeDefaultData2). Będę sprawdzać czy jest poprzedni profil. Czyszczenie będzie rozłożone na wiele etapów. Działania wstępne do przeprowadzenia: 1. Próba deinstalacji określonych programów adware/PUP. Wejdź do folderu C:\Program Files (x86) i z prawokliku na oba wyliczane pliki Uruchom jako Administrator: C:\Program Files (x86)\ADSKIP\uninst.exe C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\Uninst.exe Następnie wejdź jeszcze do folderu C:\Program Files\żěŃą (oraz podfolderów) i sprawdź czy nie ma jakiegoś podobnego pliku deinstalacyjnego. Jeśli podczas deinstalacji wystąpią błędy, nie szkodzi. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe WMI_ActiveScriptEventConsumer_ASEC: R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219072 2016-06-02] () R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCRtp.exe [295144 2016-06-02] (Tencent) S3 blNetFilter; C:\Windows\system32\drivers\blNetFilter.sys [54664 2016-05-11] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-02] () S3 FHUXXZLDPA; C:\Windows\System32\Drivers\askProtect64.sys [208776 2016-05-11] () R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-06-02] (WinMount International Inc) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQSysMonX64.sys [126456 2016-06-02] (PC Manager) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [95224 2016-06-02] (PC Manager) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\TSSysKit64.sys [97272 2016-06-02] (PC Manager) S0 mvs91xx; System32\drivers\mvs91xx.sys [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMUdisk64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Task: {017E626B-A215-4D1F-BED7-539C0167F28C} - System32\Tasks\{86835B39-E574-433C-AB70-4351533C682A} => pcalua.exe -a "C:\Program Files (x86)\Common Files\K-tam\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\K-tam\uninstall.dat" -a uninstallme 5952C0CA-608B-4DF6-88EB-50D2BA9A6C7C DeviceId=b9fa0cf2-b857-720c-65de-843591f62eed BarcodeId=51107003 ChannelId=3 DistributerName=APSFClickMeIn Task: {28C523D2-57F4-4DC3-9C41-A53BB45F4E4C} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-06-02] (Shanghai Guangle Network Technology Ltd ) Task: {4680F67C-3AE3-47D5-82F8-0B72DB73FE11} - System32\Tasks\PPTAssistantUpdateTask_Magdalena => C:\Users\Magdalena\AppData\Local\PPTAssist\assistupdate.exe Task: {4E1B5BA3-3F3A-4C77-967B-973D344AF882} - System32\Tasks\{3772494E-FDA7-4249-B94E-11E1C61A7F28} => pcalua.exe -a "C:\Program Files (x86)\EasyHotspot\uninstaller.exe" Task: {4F7D3A5F-B0CC-48BE-8713-F6284F866D94} - System32\Tasks\{808055D5-E073-48B3-92A4-92290238395D} => pcalua.exe -a "C:\Program Files (x86)\Hostify\uninstaller.exe" Task: {641E5119-67FD-41EC-89E2-7C4480963F3E} - System32\Tasks\tasklist => C:\Users\Magdalena\AppData\Roaming\setup_qg02.exe Task: {811EB506-332D-4C42-A624-320FC381CB96} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe [2015-07-01] (Megaify Software Co., Ltd.) Task: {A6322CFE-615E-4CD7-81D9-B05A9C235F6A} - System32\Tasks\{B57DE98B-827F-4AD0-8736-0D1FD5EE3586} => pcalua.exe -a "C:\Program Files (x86)\sunnyday\uninstaller.exe" Task: {AF85F5BE-AC76-42C6-A312-5BC9C0F51703} - System32\Tasks\{34522D2B-DBFC-4C45-A69C-CA5FBB933EE6} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe" Task: {B02C6A97-ADF3-4218-AC76-0892296C7DCE} - System32\Tasks\Zivuleclahtain Launcher => C:\Program Files (x86)\Zivuleclahtain\zivuleclahtainlauncherTsk.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\PPTAssistantUpdateTask_Magdalena.job => C:\Users\Magdalena\AppData\Local\PPTAssist\assistupdate.exe Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PHOTOfunSTUDIO 9.5 PE.lnk [2015-06-09] HKLM\...\Run: [FAHConsole] => C:\Program Files\File Association Helper\FAHConsole.exe [729272 2014-01-28] (Nico Mak Computing) HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCTray.exe [352488 2016-06-02] (Tencent) HKLM\...\RunOnce: [WEPRODUCT64Hg4] => C:\Users\Magdalena\AppData\Local\Temp\I5XM880YVG.exe [175616 2016-06-02] () HKU\S-1-5-21-3207241678-2084453937-2149904728-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-3207241678-2084453937-2149904728-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-06-02] () BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO: PC Manager网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\TSWebMon64.dat [2016-06-02] (Tencent) BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{034DF736-A378-4292-ACAE-A561088999F5}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\pptassist64.dll (珠海金山办公软件有限公司) CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{1077138E-896C-445E-BD31-CFCFFA4636C4}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\pptassist64.dll (珠海金山办公软件有限公司) CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{C4917602-2AC8-4ECE-8E5D-390C3871ABB3}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\tabassist64.dll (珠海金山办公软件有限公司) CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{E00310B2-F036-4771-9347-C131257D990F}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\tabassist64.dll (珠海金山办公软件有限公司) ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% FirewallRules: [TCP Query User{D9A32231-1F97-43D3-851B-E4ABA77B234B}C:\program files (x86)\adskip\adskip.exe] => (Block) C:\program files (x86)\adskip\adskip.exe FirewallRules: [uDP Query User{A4F8889E-A354-4772-B0B4-5647C98C4857}C:\program files (x86)\adskip\adskip.exe] => (Block) C:\program files (x86)\adskip\adskip.exe FirewallRules: [{3B0A9B77-2478-4DB9-8B6D-A6610D17DD38}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe FirewallRules: [{70C99020-C78C-4E64-947C-81110F017BE1}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkip.exe FirewallRules: [{D26C4207-B3B1-4887-A2E1-4E892BEC7691}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCTray.exe FirewallRules: [{F6398801-F413-4D28-AD45-347AFEF30E41}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCMgr.exe FirewallRules: [{59B93E18-E99A-4987-ADE7-BFDA051B3C47}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCRTP.exe FirewallRules: [{66BE47B1-A0FE-4ED6-8C54-20468F4EE544}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\bugreport.exe FirewallRules: [{678F6EA1-FA8A-4DB9-BCFB-DCAE324B1B32}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPConfig.exe FirewallRules: [{223DC554-FEE4-47C2-81AA-F3048A71B10C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{5D8F9EAD-33F4-44CC-A1B4-93A83881B477}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCUpdateAVLib.exe FirewallRules: [{5EA68776-3FA1-4C26-8F29-F429B8CDBE0B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\Uninst.exe FirewallRules: [{3CD11196-136C-43AC-BB0A-1343CD41F66C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\TpkUpdate.exe FirewallRules: [{F3338BF5-5102-4237-9E71-D2F806EFF739}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMDL.exe FirewallRules: [{E2C9F419-1E67-4C35-808D-6D7D05DDC512}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMDL.exe FirewallRules: [{8992A8EE-1924-43C7-8B11-80FC4B6A1220}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\132\tencentdl.exe FirewallRules: [{01B0A32C-1871-4AC5-84CE-B5778F0AA19B}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\132\bugreport_xf.exe FirewallRules: [{B7421323-FBD7-474B-9D56-258C2B0D43AB}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkip.exe FirewallRules: [{9B7F6473-DB66-46C0-96A3-4553AAB81D61}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5CC359A2-C839-485F-8DA9-15EC6DD056B0} DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "PHOTOfunSTUDIO 9.5 PE.lnk" /f Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f CMD: for %i in ("C:\Program Files\żěŃą\X86\*.dll") do regsvr32.exe /s /u %i CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i C:\extensions C:\Program Files\Caster C:\Program Files\żěŃą C:\Program Files\Common Files\Tencent C:\Program Files (x86)\03D40274-1464874845-058E-7A06-440700080009 C:\Program Files (x86)\ADSKIP C:\Program Files (x86)\badu C:\Program Files (x86)\Cirageqopward C:\Program Files (x86)\Hofight C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\mpck C:\Program Files (x86)\Tencent C:\Program Files (x86)\Zivuleclahtain C:\Program Files (x86)\Common Files\K-tam C:\program files (x86)\Common Files\Tencent C:\ProgramData\APN C:\ProgramData\kingsoft C:\ProgramData\Logic Handler C:\ProgramData\Norton C:\ProgramData\Tencent C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverToolkit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\PDFCreator Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\uninst C:\Users\Magdalena\AppData\Local\03D40274-1464884535-058E-7A06-440700080009 C:\Users\Magdalena\AppData\Local\app C:\Users\Magdalena\AppData\Local\cache C:\Users\Magdalena\AppData\Local\PPTAssist C:\Users\Magdalena\AppData\Local\Tempfolder C:\Users\Magdalena\AppData\LocalLow00416DA8 C:\Users\Magdalena\AppData\LocalLow00434908 C:\Users\Magdalena\AppData\LocalLow000000B343FC60A8 C:\Users\Magdalena\AppData\LocalLow\Company C:\Users\Magdalena\AppData\Roaming\*.* C:\Users\Magdalena\AppData\Roaming\ADSKIP C:\Users\Magdalena\AppData\Roaming\JRghk C:\Users\Magdalena\AppData\Roaming\kingsoft C:\Users\Magdalena\AppData\Roaming\Kuaizip C:\Users\Magdalena\AppData\Roaming\lBGhC C:\Users\Magdalena\AppData\Roaming\pptassist C:\Users\Magdalena\AppData\Roaming\Qejge C:\Users\Magdalena\AppData\Roaming\Tencent C:\Users\Magdalena\AppData\Roaming\Softlink C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\AdSkip.lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\¶ŕ˛Ę±ăÇ© C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AdSkip C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tencent Software C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Install Now Autodesk® AutoCAD® 2014.lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Install Now Autodesk® AutoCAD® 2015.lnk C:\Users\Magdalena\Desktop\AdSkip.lnk C:\Users\Magdalena\Desktop\¶ŕ˛Ę±ăÇ©.lnk C:\Users\Magdalena\Desktop\żěŃą.lnk C:\Users\Magdalena\Downloads\SpyHunter-Installer-k.com C:\Users\Magdalena\Downloads\RegHunter-Installer.exe C:\Windows\system32\BIT9237.tmp C:\Windows\system32\Drivers\askProtect64.sys C:\Windows\system32\Drivers\blNetFilter.sys C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\System32\Tasks\tasklist C:\Windows\System32\Tasks\Remediation Folder: C:\Users\Magdalena\AppData\Local\Apps\2.0 CMD: dir /a "C:\Users\Magdalena\AppData\Local\Google\Chrome\User Data" CMD: dir /a "C:\Users\Magdalena\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions" Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows*. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Wejście do Trybu awaryjnego: klawisz z flagą Windows + I > Zmień ustawienia komputera > Aktualizacja i odzyskiwanie > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart i pojawi się ekran z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybierz Tryb awaryjny. 3. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adobe Reader 9.5.0 - Polish (stara wersja), Akamai NetSession Interface (zbędny downloader produktów Autodesk), DriverToolkit version 8.5.0.0 (przypuszczalnie niechciana instalacja), File Association Helper (podobnie). 4. Zrób nowe logi: - FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale już bez Shortcut. - Autoruns, z prawokliku na program Uruchom jako Administrator, a wynikowy log zapisz do formatu *.txt z poziomu menu.. Dołącz też plik fixlog.txt. Oraz zrób zrzut ekranu z tego miejsca w Google Chrome: menu Ustawienia > karta Ustawienia > Osoby. Odnośnik do komentarza
przezsamoha Opublikowano 2 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2016 Stokrotne dzięki, postąpię wedle Twoich instrukcji i dam znać co z tego wyszło. Dobrej nocy Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2016 Zgłoś Udostępnij Opublikowano 2 Czerwca 2016 Dodałam jeszcze w ostatnim punkcie tworzenie raportu w Autoruns, pod kątem spisu rozszerzeń menu kontekstowych widocznych na zrzucie ekranu (FRST tego nie skanuje). Odnośnik do komentarza
przezsamoha Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Ok, zrobione - załączam logi i screen. Addition.txt FRST.txt Fixlog.txt MAGDALENAS.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Wszystko poszło zgodnie z planem i co było poprzednio widoczne pomyślnie usunięte. Jednak w międzyczasie powstały nowe obiekty adware. Jeśli rzecz o Google Chrome, niestety jest tylko jeden profil (ten bieżący ChromeDefaultData2) i będę jeszcze sprawdzać określone rzeczy. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {48126E61-31C0-41AF-99F4-E5D2ED08B8B0} - System32\Tasks\IBUpd2 => C:\Users\Magdalena\AppData\Local\BrowserAir\47.0.0.5\updater.exe Task: {E951E85F-BD45-4C68-9822-9C4C16DAFED4} - System32\Tasks\IBUpd => C:\Users\Magdalena\AppData\Local\BrowserAir\47.0.0.5\updater.exe Task: {FBD2E659-CF07-4EE3-ABF4-0B964EC28177} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2016-06-03] () HKLM\...\RunOnce: [WEPRODUCT21BB3] => C:\Users\Magdalena\AppData\Local\Temp\I5XM880YVG.exe [175616 2016-06-02] () HKU\S-1-5-21-3207241678-2084453937-2149904728-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Magdalena\AppData\Local\Akamai\netsession_win.exe" SearchScopes: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www-searching.com/search.aspx?s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b,&site=shyosie&prd=setgo&q={searchTerms} SearchScopes: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www-searching.com/search.aspx?s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b,&site=shyosie&prd=setgo&q={searchTerms} ShortcutWithArgument: C:\Users\Magdalena\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\Desktop\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, C:\ProgramData\smp2.exe C:\Program Files (x86)\DriverToolkit C:\Users\Magdalena\AppData\Local\BrowserAir C:\Users\Magdalena\AppData\Roaming\OwiffMuste C:\Windows\system32\bi3.exe C:\Windows\SysWOW64\kz.exe CMD: netsh advfirewall reset CMD: dir /a "C:\Users\Magdalena\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2" EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Tym razem zapis w kodowaniu UTF-8 nie jest wymagany. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. W logu z Autoruns nie widać wpisów context menu, które były podane na obrazku w pierwszym poście. Owszem, w skrypcie FRST derejestrowałam masowo biblioteki DLL i to mogło być jedno z działań usuwające te wejścia. Potwierdź proszę, że te pozycje w menu kontekstowym rzeczywiście nie są już widoczne. Odnośnik do komentarza
przezsamoha Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Rzeczywiście pozycje o których mówisz zniknęły z menu kontekstowego. Uf. Załączam log. Przy uruchamianiu komputera, po podaniu hasła, nadal widzę czarny ekran. Pulpit pojawia się dopiero po zamknięciu zadania AsbaBnina. Co ciekawe - zalogować mogę się tylko przy użyciu poprzedniego hasła - to, którego używałam do chwili gdy pojawił się wirus, nie jest już aktualne.. W przypadku Chrome - przy pierwszym uruchomieniu widzę zakładki, przy otwarciu kolejnych kart już nie. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Przy uruchamianiu komputera, po podaniu hasła, nadal widzę czarny ekran. Pulpit pojawia się dopiero po zamknięciu zadania AsbaBnina. Co ciekawe - zalogować mogę się tylko przy użyciu poprzedniego hasła - to, którego używałam do chwili gdy pojawił się wirus, nie jest już aktualne.. Hmmm, nic takiego nie widziałam w ostatnim raporcie FRST (sekcja Procesy). Proszę zrób zrzut ekranu z tego zadania. Zrób też nowe raporty FRST (FRST.txt + Addition.txt). W przypadku Chrome - przy pierwszym uruchomieniu widzę zakładki, przy otwarciu kolejnych kart już nie. W którym konkretnie miejscu ich brakuje po otworzeniu nowych kart? Przedstaw zrzuty ekranu z sytuacji gdy zakładki są widoczne oraz gdy ich nie widać. Odnośnik do komentarza
przezsamoha Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Uruchomiłam komputer ponownie po ostatnich zaleceniach i już ładuje się poprawnie - widać pulpit itd. Załączam zrzuty ekranu z Chrome - teraz sytuacja była odwrotna: w pierwszym otwartym oknie nie było zakładek pod paskiem adresu, dopiero przy otwarciu nowej karty są widoczne. Natomiast w chwili załadowania się wybranej strony www, zakładki znów znikają. Czy mogę na tę chwilę bezpiecznie korzystać z komputera? Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Załączam zrzuty ekranu z Chrome - teraz sytuacja była odwrotna: w pierwszym otwartym oknie nie było zakładek pod paskiem adresu, a przy otwarciu nowej karty pojawiły się ponownie, aczkolwiek w chwili załadowania się strony znikają ponownie. A, czyli to chodzi o widoczność paska zakładek a nie zakładki per se. Wprawdzie można byłoby się zastanawiać dlaczego ta opcja się przestawia dla kart, ale ogólnie nie podoba mi się ten Twój profil ChromeDefaultData2, on nie wygląda na utworzony przez Google Chrome. Przeglądarka naturalnie startuje z profilem "Default", a przy dodawaniu kolejnych jest używana konwencja nazewnicza "Profile Numer". Proponuję stworzyć nowy profil wg następujących wytycznych: - Wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. - Menu Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > zaloguj się na ten profil, a okno poprzedniego zamknij. - Siedząc na nowym profilu zaimportuj zakładki z pliku HTML. Skonfiguruj ręcznie widoczność paska zakładek w menu Zakładki > Pokaż pasek zakładek oraz tego co na nim widać. - Jeśli wszystko będzie w porządku, w opcjach Osoby skasuj całkowicie poprzedni profil user0. - Po akcji zrób nowy log FRST przedstawiający nowy profil Google Chrome. Czy mogę na tę chwilę bezpiecznie korzystać z komputera? Na chwilę obecną aktywne szkodniki zostały usunięte, więc system możesz używać normalnie, aczkolwiek czyszczenie nadal w toku. Będą jeszcze różne skany. Odnośnik do komentarza
przezsamoha Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Wygląda na to, że jest ok - pasek jest widoczny. Załączam log i screen. FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 1. Nowy profil Google Chrome założony, a już podejrzany element Bazz Search. Jakim cudem? Czy to celowa instalacja? Usuń to: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Bazz Search. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy powiązaną z w/w wyszukiwarkę. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
przezsamoha Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Zrobione, załączam log. Nie instalowałam tego Bazz Search'a, nie wiem skąd się pojawił. AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Uruchom AdwCleaner ponownie, tym razem po kolei wybierz opcje Skanuj + Usuń i dostarcz wynikowy log z czyszczenia. Odnośnik do komentarza
przezsamoha Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Zrobione, podsyłam log. AdwCleanerC1.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 AdwCleaner pomyślnie usunął śmieci. Teraz: 1. Zastosuj DelFix, który usunie kwarantanny narzędzi z dysku oraz FRST i AdwCleaner z ich logami. 2. Pomimo tego, że stosowałaś wcześniej, uruchom ponownie Hitman Pro. Dostarcz log wynikowy, o ile narzędzie coś znajdzie. Odnośnik do komentarza
przezsamoha Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Które opcje mam zaptaszkować? Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 W instrukcji jest to wyraźnie zaznaczone: Po uruchomieniu narzędzia jedyną zaznaczoną opcją jest Remove disinfection tools. Tak należy zostawić i kliknąć w Run. Odnośnik do komentarza
przezsamoha Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Rzeczywiście, przepraszam. Załączam log z Hitman Pro, mam problem z załączeniem raportu z DelFix.. HitmanPro_20160603_1743.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Nie wiem o co chodzi z błędem dołączania raportu, możesz go też wkleić wprost w poście. I kończymy: 1. Za pomocą Hitman usuń wszystkie wykryte wyniki. 2. Wyczyść foldery Przywracania systemu: KLIK 3. Ogólnie na co uważać podczas pobierania: KLIK. Odnośnik do komentarza
przezsamoha Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Wklejam treść raportu DelFix: # DelFix v1.013 - Logfile created 03/06/2016 at 17:37:16 # Updated 17/04/2016 by Xplode # Username : Magdalena - MAGDALENAS # Operating System : Windows 8.1 (64 bits) ~ Removing disinfection tools ... Deleted : C:\FRST Deleted : C:\AdwCleaner Deleted : C:\Users\Magdalena\Downloads\Addition.txt Deleted : C:\Users\Magdalena\Downloads\adwcleaner_5.119.exe Deleted : C:\Users\Magdalena\Downloads\Fixlog.txt Deleted : C:\Users\Magdalena\Downloads\FRST.txt Deleted : C:\Users\Magdalena\Downloads\FRST64.exe ########## - EOF - ########## Foldery przywracania systemu wyczyszczone, Hitman posprzątał - log nie chce się załączyć, więc wklejam: HitmanPro 3.7.14.265 www.hitmanpro.com Computer name . . . . : MAGDALENAS Windows . . . . . . . : 6.3.0.9600.X64/8 User name . . . . . . : MAGDALENAS\Magdalena UAC . . . . . . . . . : Enabled License . . . . . . . : Trial (30 days left) Scan date . . . . . . : 2016-06-03 21:33:16 Scan mode . . . . . . : Normal Scan duration . . . . : 1m 15s Disk access mode . . : Direct disk access (SRB) Cloud . . . . . . . . : Internet Reboot . . . . . . . : Yes Threats . . . . . . . : 0 Traces . . . . . . . : 10 Objects scanned . . . : 2 316 223 Files scanned . . . . : 123 259 Remnants scanned . . : 740 192 files / 1 452 772 keys Potential Unwanted Programs _________________________________________________ HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81}\ (Baidu) -> Deleted HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81}\ (Baidu) -> PendingDelete HKLM\SOFTWARE\Microsoft\{1f7ee1a8-4436-4ffc-b97b-b5b01e87d3d2}\ (SpaceSoundPro) -> Deleted HKLM\SOFTWARE\Wow6432Node\Microsoft\{94ebd7b5-82ae-449t-b679-3d04078ed154}}\ (Tuto4PC) -> Deleted HKLM\SYSTEM\ControlSet001\Control\Class\{0C95ABFE-4FB6-49DB-B22F-0E1F5FC4BEEC}\ (Goobzo) -> Deleted HKLM\SYSTEM\ControlSet001\Control\Class\{EEEFACB3-729F-4484-B66D-E7A7917BBFC1}\ (Goobzo) -> Deleted HKLM\SYSTEM\CurrentControlSet\Control\Class\{0C95ABFE-4FB6-49DB-B22F-0E1F5FC4BEEC}\ (Goobzo) -> PendingDelete HKLM\SYSTEM\CurrentControlSet\Control\Class\{EEEFACB3-729F-4484-B66D-E7A7917BBFC1}\ (Goobzo) -> PendingDelete HKU\S-1-5-21-3207241678-2084453937-2149904728-1001\Software\Microsoft\{94ebd7b5-82ae-449t-b679-3d04078ed154}}\ (Tuto4PC) -> Deleted HKU\S-1-5-21-3207241678-2084453937-2149904728-1001\Software\Wow6432Node\Microsoft\{94ebd7b5-82ae-449t-b679-3d04078ed154}}\ (Tuto4PC) -> Deleted Czy to by było na tyle? Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Tak, to wszystko. Jeśli nie ma innych problemów w systemie, temat będziemy zamykać. Odnośnik do komentarza
przezsamoha Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Twoja pomoc okazała się nieoceniona, ogromnie dziękuję. Odnośnik do komentarza
Rekomendowane odpowiedzi