MagdaC Opublikowano 10 Lipca 2016 Zgłoś Udostępnij Opublikowano 10 Lipca 2016 Witam!Więc trzy dni temu przez mój laptop przeszedł istny Armageddon. Plik, który ściągnęłam (na wielkie moje szczęście nie zainstalowałam, aż boję się pomyśleć co by było gdyby..) zainfekował sprzęt 147 wirusami. Zaczęły instalować się dziwne programy, pokazywały się jakiś chińskie znaki, usunęło się jedno konto w Chromie - jedno zmieniło się na user0), nie otwierały się strony internetowe - albo otwierały się bardzo wolno, wyskakiwały reklamy, co kilkanaście minut wyskakiwało szare okienko z instalacją jakiegoś programu, czego oczywiście nie robiłam, komputer straszliwie zamulił, ale to co najbardziej mnie przeraziło, to podmiana serwera DNS (nazwa dooms). Mój chłopak, który ze swoimi komputerami dużo więcej przeszedł niż ja, był chyba jeszcze bardziej przerażony, ale zaczął działać. Zainstalowaliśmy (z oporem ale jednak) Zemane AntiMalware, CCleanera i Avasta. Zemana wykrył wirusy, które jakimś cudem udało się usunąć - szczegółowy raport zamieszczam w załączniku, CCleanerem wyczyściliśmy jakieś śmieci, odinstalowaliśmy dziwne programy, Chroma całkowicie usunęliśmy, a Avastem skanowałam chyba dopiero dzień, czy dwa później, gdzie już nie znajdowało żadnych zagrożeń.Wydawało nam się, że uratowaliśmy sytuację, ale dziś zauważyłam, że na tablecie z Androidem co jakiś czas wyświetlają mi się napisy, np. "jakieś chińskie znaki ms75", które zanikają po chwili. Nie wiem, czy to od jakiejś aplikacji, czy od Nortona, czy to te wirusy zainfekowały sieć i wszystko przeszło na urządzenia, które są połączone przez wifi. Nie ukrywam, że się boję o swoje konta, o wszystko co jest podłączone do sieci. Nie wiem co robić dalej, czy w ogóle jeszcze można coś zrobić... I czy to dziadostwo jeszcze siedzi gdzieś w komputerze. Proszę o pomoc.Plik FRST dodaję w linku, ponieważ jest zbyt duży by wkleić go w załączniku:http://wklej.eu/index.php?id=e9b00ea638 GMER.txt 2016.07.06-00.03.31-i0-t4294967295-d147.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Brakuje głównego raportu FRST.txt, proszę uzupełnij. Już po Addition widać, że będą do wdrożenia poprawki. Wydawało nam się, że uratowaliśmy sytuację, ale dziś zauważyłam, że na tablecie z Androidem co jakiś czas wyświetlają mi się napisy, np. "jakieś chińskie znaki ms75", które zanikają po chwili. Nie wiem, czy to od jakiejś aplikacji, czy od Nortona, czy to te wirusy zainfekowały sieć i wszystko przeszło na urządzenia, które są połączone przez wifi. Raporty FRST nie pomogą zdiagnozować precyzyjnie tego problemu, gdyż tyczą tylko systemu Windows. Objawy na tablecie mogą sugerować jedno z dwóch: albo jest infekcja sieci do której tablet został wpięty, albo na tablecie zainstalowała się jakaś niepożądana aplikacja. Wstępnie na tablecie sprawdź wykaz zainstalowanych aplikacji, przejdź na tryb Safe mode urządzenia i wyeliminuj wszystkie nieznane / nierozpoznawane aplikacje. W przypadku braku rezultatów klaruje się reset urządzeń do ustawień fabrycznych. Odnośnik do komentarza
MagdaC Opublikowano 11 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Raport FRST.txt wstawiłam już wcześniej, w linku. Wstępnie na tablecie sprawdź wykaz zainstalowanych aplikacji, przejdź na tryb Safe mode urządzenia i wyeliminuj wszystkie nieznane / nierozpoznawane aplikacje. W przypadku braku rezultatów klaruje się reset urządzeń do ustawień fabrycznych. Stwierdziłam, że nie mam żadnych ważnych danych na tablecie, więc od razu zrobiłam reset do ustawień fabrycznych. Ale w wolnym czasie sprawdzę jeszcze telefony w trybie Safe mode. Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Przepraszam, nie wiem jak to się stało, że przeoczyłam ten link!? Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{14549E34-754B-4CE9-899E-66FA46EC631F}: [NameServer] 104.197.191.4 HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 Task: {3997FE43-F304-48D0-AFD9-7984A565C3AA} - \Siferckqersik Reports -> Brak pliku Task: {67DE1E14-DEBF-488B-B776-DD90B994CC54} - System32\Tasks\ttwifi => C:\Program Files (x86)\ttwifi\tiantianwifi.exe Task: {70C64021-E577-4B10-ADD2-2DE737BE4897} - System32\Tasks\Thaiphanumily Server => C:\Program Files (x86)\Helaphlwesp\thaiphanumilyserverAnoketanagusp.exe S2 thaiphanumilyserverKazijesother.exe; "C:\Program Files (x86)\Helaphlwesp\thaiphanumilyserverKazijesother.exe" {C25DA384-2010-45A4-A1ED-BFA540D4789B} {9DC74CD5-24EA-4ADE-9C42-608A8CE17116} [X] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\DriverPack Notifier C:\Program Files (x86)\Google C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\Opera C:\Program Files (x86)\Temp C:\ProgramData\WindowsMsg C:\Users\Magda\AppData\Local\app C:\Users\Magda\AppData\Local\atubisgerfashzgotion C:\Users\Magda\AppData\Local\csdi_monetize_120160705 C:\Users\Magda\AppData\Local\Google C:\Users\Magda\AppData\Local\gromeychejakqpuing C:\Users\Magda\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Magda\AppData\Local\Opera Software C:\Users\Magda\AppData\Local\Tempfolder C:\Users\Magda\AppData\Local\tuto_monetize_120160705 C:\Users\Magda\AppData\Local\UCBrowser C:\Users\Magda\AppData\LocalLow\Company C:\Users\Magda\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Magda\AppData\Roaming\InstallationConfiguration.xml C:\Users\Magda\AppData\Roaming\Installer.dat C:\Users\Magda\AppData\Roaming\DriverPack Notifier C:\Users\Magda\AppData\Roaming\DRPNano C:\Users\Magda\AppData\Roaming\DRPSu C:\Users\Magda\AppData\Roaming\gplyra C:\Users\Magda\AppData\Roaming\Opera Software C:\Users\Magda\AppData\Roaming\Pecoa C:\Users\Magda\AppData\Roaming\UPUpdata C:\Users\Magda\AppData\Roaming\WuwtJufca C:\Windows\system32\Drivers\etc\hp.bak Folder: C:\Users\Magda\AppData\Local\Apps\2.0 CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Wyeksportuj z Firefox zakładki, o ile są dostępne. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Pousuwaj wszystkie profile, następnie załóż całkowicie nowy i się na niego zaloguj. 3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą zlikwiduj szczątek po deinstalacji Google Update Helper. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Log powinien był już bardzo krótki i zmieścić się w załączniku. Dołącz też plik fixlog.txt. Odnośnik do komentarza
MagdaC Opublikowano 11 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Zrobiłam wszystko według zaleceń. Załączam wymagane pliki.A co z Google Chrome? Podczas całej tej "awarii" to on był zainstalowany na laptopie i to na nim były dwa konta - moje i chłopaka. A wiadomo, konto na Chromie jest jedno dla poczty, przeglądarki i Youtube'a... Na Mozilli nie miałam żadnych swoich danych bo zainstalowana była albo w trakcie walki z tymi wirusami, albo po niej - nie pamiętam już z tego wszystkiego. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Akcje pomyślnie wykonane, nic już szkodliwego nie widać. Niemniej jeszcze na wszelki wypdek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. A co z Google Chrome? Podczas całej tej "awarii" to on był zainstalowany na laptopie i to na nim były dwa konta - moje i chłopaka. A wiadomo, konto na Chromie jest jedno dla poczty, przeglądarki i Youtube'a... Na Mozilli nie miałam żadnych swoich danych bo zainstalowana była albo w trakcie walki z tymi wirusami, albo po niej - nie pamiętam już z tego wszystkiego. Wszystkie składniki Google Chrome zostały usunięte skryptem FRST, tzn. profil lokalny i folder globalny na dysku oraz klucze w rejestrze. Jeśli ponownie zostanie zainstalowana ta przeglądarka, należy od razu zresetować synchronizację (o ile była czynna), by zapobiec załadowaniu z serwera Google potencjalnie szkodliwych ustawień: KLIK. Odnośnik do komentarza
MagdaC Opublikowano 11 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Przesyłam log wynikowy. AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 1. AdwCleaner dopatrzył się jeszcze szczątków adware, w tym komponentów świńskiego "Asystenta pobierania" dobrychprogramów: KLIK. Uruchom AdwCleaner ponownie, zastosuj po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\MATS narzędzia Microsoftu oraz GMER i jego log. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. W systemie jest stara niewspierana wersja IE8, zainstaluj IE11 który jest linkowany też w/w temacie. Następnie uruchom Windows Update, by dociągnąć resztę brakujących łat. Wyszukiwanie aktualizacji może długo trwać i obciążyć proces svchost. Przeczekać cierpliwie ten etap. Odnośnik do komentarza
MagdaC Opublikowano 11 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2016 Zrobione według zaleceń. Wszystkie logi zniknęły, pliki które pobrałam wraz z folderem C:\MATS również. Aktualnie komputer wyszukuje aktualizacji.Dziękuję Ci bardzo za pomoc. Ukłony dla Ciebie i Twojej wiedzy.Jak tylko będę mogła, odwdzięczę się Odnośnik do komentarza
Rekomendowane odpowiedzi