Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Podejrzane ustawienia przeglądarek, podmiana serwera DNS, malware, adware itd.

MagdaC

Przez MagdaC
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

MagdaC

MagdaC

Opublikowano
Opublikowano

Witam!
Więc trzy dni temu przez mój laptop przeszedł istny Armageddon. Plik, który ściągnęłam (na wielkie moje szczęście nie zainstalowałam, aż boję się pomyśleć co by było gdyby..) zainfekował sprzęt 147 wirusami. Zaczęły instalować się dziwne programy, pokazywały się jakiś chińskie znaki, usunęło się jedno konto w Chromie - jedno zmieniło się na user0), nie otwierały się strony internetowe - albo otwierały się bardzo wolno, wyskakiwały reklamy, co kilkanaście minut wyskakiwało szare okienko z instalacją jakiegoś programu, czego oczywiście nie robiłam, komputer straszliwie zamulił, ale to co najbardziej mnie przeraziło, to podmiana serwera DNS (nazwa dooms). Mój chłopak, który ze swoimi komputerami dużo więcej przeszedł niż ja, był chyba jeszcze bardziej przerażony, ale zaczął działać.

Zainstalowaliśmy (z oporem ale jednak) Zemane AntiMalware, CCleanera i Avasta. Zemana wykrył wirusy, które jakimś cudem udało się usunąć - szczegółowy raport zamieszczam w załączniku, CCleanerem wyczyściliśmy jakieś śmieci, odinstalowaliśmy dziwne programy, Chroma całkowicie usunęliśmy, a Avastem skanowałam chyba dopiero dzień, czy dwa później, gdzie już nie znajdowało żadnych zagrożeń.
Wydawało nam się, że uratowaliśmy sytuację, ale dziś zauważyłam, że na tablecie z Androidem co jakiś czas wyświetlają mi się napisy, np. "jakieś chińskie znaki ms75", które zanikają po chwili. Nie wiem, czy to od jakiejś aplikacji, czy od Nortona, czy to te wirusy zainfekowały sieć i wszystko przeszło na urządzenia, które są połączone przez wifi.

Nie ukrywam, że się boję o swoje konta, o wszystko co jest podłączone do sieci. Nie wiem co robić dalej, czy w ogóle jeszcze można coś zrobić... I czy to dziadostwo jeszcze siedzi gdzieś w komputerze. Proszę o pomoc.

Plik FRST dodaję w linku, ponieważ jest zbyt duży by wkleić go w załączniku:
http://wklej.eu/index.php?id=e9b00ea638

GMER.txt

2016.07.06-00.03.31-i0-t4294967295-d147.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Brakuje głównego raportu FRST.txt, proszę uzupełnij. Już po Addition widać, że będą do wdrożenia poprawki.

 

 

Wydawało nam się, że uratowaliśmy sytuację, ale dziś zauważyłam, że na tablecie z Androidem co jakiś czas wyświetlają mi się napisy, np. "jakieś chińskie znaki ms75", które zanikają po chwili. Nie wiem, czy to od jakiejś aplikacji, czy od Nortona, czy to te wirusy zainfekowały sieć i wszystko przeszło na urządzenia, które są połączone przez wifi.

Raporty FRST nie pomogą zdiagnozować precyzyjnie tego problemu, gdyż tyczą tylko systemu Windows. Objawy na tablecie mogą sugerować jedno z dwóch: albo jest infekcja sieci do której tablet został wpięty, albo na tablecie zainstalowała się jakaś niepożądana aplikacja. Wstępnie na tablecie sprawdź wykaz zainstalowanych aplikacji, przejdź na tryb Safe mode urządzenia i wyeliminuj wszystkie nieznane / nierozpoznawane aplikacje. W przypadku braku rezultatów klaruje się reset urządzeń do ustawień fabrycznych.

Odnośnik do komentarza
MagdaC

MagdaC

Opublikowano
  • Autor
Opublikowano

Raport FRST.txt wstawiłam już wcześniej, w linku.

 

Wstępnie na tablecie sprawdź wykaz zainstalowanych aplikacji, przejdź na tryb Safe mode urządzenia i wyeliminuj wszystkie nieznane / nierozpoznawane aplikacje. W przypadku braku rezultatów klaruje się reset urządzeń do ustawień fabrycznych.

Stwierdziłam, że nie mam żadnych ważnych danych na tablecie, więc od razu zrobiłam reset do ustawień fabrycznych. Ale w wolnym czasie sprawdzę jeszcze telefony w trybie Safe mode.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Przepraszam, nie wiem jak to się stało, że przeoczyłam ten link!? Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Tcpip\..\Interfaces\{14549E34-754B-4CE9-899E-66FA46EC631F}: [NameServer] 104.197.191.4
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
Task: {3997FE43-F304-48D0-AFD9-7984A565C3AA} - \Siferckqersik Reports -> Brak pliku 
Task: {67DE1E14-DEBF-488B-B776-DD90B994CC54} - System32\Tasks\ttwifi => C:\Program Files (x86)\ttwifi\tiantianwifi.exe 
Task: {70C64021-E577-4B10-ADD2-2DE737BE4897} - System32\Tasks\Thaiphanumily Server => C:\Program Files (x86)\Helaphlwesp\thaiphanumilyserverAnoketanagusp.exe
S2 thaiphanumilyserverKazijesother.exe; "C:\Program Files (x86)\Helaphlwesp\thaiphanumilyserverKazijesother.exe" {C25DA384-2010-45A4-A1ED-BFA540D4789B} {9DC74CD5-24EA-4ADE-9C42-608A8CE17116} [X]
FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
C:\Program Files (x86)\DriverPack Notifier
C:\Program Files (x86)\Google
C:\Program Files (x86)\MPC Cleaner
C:\Program Files (x86)\Opera
C:\Program Files (x86)\Temp
C:\ProgramData\WindowsMsg
C:\Users\Magda\AppData\Local\app
C:\Users\Magda\AppData\Local\atubisgerfashzgotion
C:\Users\Magda\AppData\Local\csdi_monetize_120160705
C:\Users\Magda\AppData\Local\Google
C:\Users\Magda\AppData\Local\gromeychejakqpuing
C:\Users\Magda\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
C:\Users\Magda\AppData\Local\Opera Software
C:\Users\Magda\AppData\Local\Tempfolder
C:\Users\Magda\AppData\Local\tuto_monetize_120160705
C:\Users\Magda\AppData\Local\UCBrowser
C:\Users\Magda\AppData\LocalLow\Company
C:\Users\Magda\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
C:\Users\Magda\AppData\Roaming\InstallationConfiguration.xml
C:\Users\Magda\AppData\Roaming\Installer.dat
C:\Users\Magda\AppData\Roaming\DriverPack Notifier
C:\Users\Magda\AppData\Roaming\DRPNano
C:\Users\Magda\AppData\Roaming\DRPSu
C:\Users\Magda\AppData\Roaming\gplyra
C:\Users\Magda\AppData\Roaming\Opera Software
C:\Users\Magda\AppData\Roaming\Pecoa
C:\Users\Magda\AppData\Roaming\UPUpdata
C:\Users\Magda\AppData\Roaming\WuwtJufca
C:\Windows\system32\Drivers\etc\hp.bak
Folder: C:\Users\Magda\AppData\Local\Apps\2.0
CMD: ipconfig /flushdns
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox z adware:

  • Wyeksportuj z Firefox zakładki, o ile są dostępne. Zamknij Firefox.
  • Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p
  • Pousuwaj wszystkie profile, następnie załóż całkowicie nowy i się na niego zaloguj.
3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą zlikwiduj szczątek po deinstalacji Google Update Helper.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Log powinien był już bardzo krótki i zmieścić się w załączniku. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
MagdaC

MagdaC

Opublikowano
  • Autor
Opublikowano

Zrobiłam wszystko według zaleceń. :) Załączam wymagane pliki.

A co z Google Chrome? Podczas całej tej "awarii" to on był zainstalowany na laptopie i to na nim były dwa konta - moje i chłopaka. A wiadomo, konto na Chromie jest jedno dla poczty, przeglądarki i Youtube'a... Na Mozilli nie miałam żadnych swoich danych bo zainstalowana była albo w trakcie walki z tymi wirusami, albo po niej - nie pamiętam już z tego wszystkiego.

Fixlog.txt

FRST.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Akcje pomyślnie wykonane, nic już szkodliwego nie widać. Niemniej jeszcze na wszelki wypdek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

 

 

A co z Google Chrome? Podczas całej tej "awarii" to on był zainstalowany na laptopie i to na nim były dwa konta - moje i chłopaka. A wiadomo, konto na Chromie jest jedno dla poczty, przeglądarki i Youtube'a... Na Mozilli nie miałam żadnych swoich danych bo zainstalowana była albo w trakcie walki z tymi wirusami, albo po niej - nie pamiętam już z tego wszystkiego.

Wszystkie składniki Google Chrome zostały usunięte skryptem FRST, tzn. profil lokalny i folder globalny na dysku oraz klucze w rejestrze. Jeśli ponownie zostanie zainstalowana ta przeglądarka, należy od razu zresetować synchronizację (o ile była czynna), by zapobiec załadowaniu z serwera Google potencjalnie szkodliwych ustawień: KLIK.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. AdwCleaner dopatrzył się jeszcze szczątków adware, w tym komponentów świńskiego "Asystenta pobierania" dobrychprogramów: KLIK. Uruchom AdwCleaner ponownie, zastosuj po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie:

 

2. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\MATS narzędzia Microsoftu oraz GMER i jego log. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. W systemie jest stara niewspierana wersja IE8, zainstaluj IE11 który jest linkowany też w/w temacie. Następnie uruchom Windows Update, by dociągnąć resztę brakujących łat. Wyszukiwanie aktualizacji może długo trwać i obciążyć proces svchost. Przeczekać cierpliwie ten etap.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...