Bjort Opublikowano 13 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 13 Sierpnia 2016 Dzień dobry Jest problem ze złośliwym oprogramowaniem na nowym komputerze, który jako jedyną osłonę miał 30- dniowy McAfee dostarczony wraz z laptopem. McAfee nie daje rady, co kilkanaście minut informuje o koniu trojańskim Artemis. Poddaje kwarantannie, nie jest w stanie usunąć zagrożenia. Migająca ikonka aktualności (screen) i co kilkanaście minut ekran szarzeje i pojawia się komunikat (screen2). Podczas ściągania np. GMER połączenie jest zrywane i trzeba kilka razy odswieżyć, żeby przekierowało. Skaner F Secure nie dał rady pobrać bazy danych do skanowania. Trojan Remover i BitDefender Adware Removal Tool spowodowały tyle, że przestały się wyświetlać wielkie animowane reklamy. Dalej jednak uruchamia się przegladarka sama z siebie z takim adresem: << hxxp: / / 09ii.trueharborjump.com/?kw=11838&s1=2989202642.494803.410dcc2e17.11838.e8ef8139d7351f8956f247cd8a1400d8&s2=pc >> albo z tym podanym na pierwszym screenshocie załączonym. Co chwilę komunikaty takie jak na 2 załączniku, tylko zamiast Opera nazwy innych programów, np. Notanik czy Windows Explorer. Uruchamiają się też okna czarne (takie jak do wpisywania komend), które po sekundzie znikają. Pojawiają się też ikony na pulpicie podejrzanych aplikacji, które nie były instalowane jak MPCCleaner czy Gamecośtam, na bieżąco je usuwam za pomocą MCAfee. Załączam też dokument ze skanowania ESET online scanner, spośród znalezionych wirusów trzech nie dał rady usunąć. Kolejny screen z chrome, automatycznie uruchamiają się strony tam podane. Samoczynnie włącza się IE z podanymi stronami. Co jeszcze można zrobić? Proszę o pomoc. eset online scanner.txt gmer.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 14 Sierpnia 2016 Masowa infekcja adware systemu, w tym infekcja DNS i WMI. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware/PUP: Amazon 1Button App, Body Text Feathering, ContentPush, GameLauncher, HPSewil, shopperz, trotux - Uninstall (2 pozycje), TTWiFi 1.0.0.1. Przy okazji odinstaluj też zbędny słaby skaner Trojan Remover 6.9. - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner i sprawdź czy jest plik deinstalacyjny. Jeśli jest, z prawokliku "Uruchom jako administrator". Ale pliku może nie być, bo próbował go załatwić ESET: C:\Program Files (x86)\MPC Cleaner\Uninstall.exe odmiana zagrożenia Win32/MPCCleaner.A potencjalnie niepożądana aplikacja wyleczony przez usunięcie Niezależnie od tego czy będą jakieś błędy (wejścia wyglądają na częściowo zdewastowane), kontynuuj do kolejnych punktów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: WMI_ActiveScriptEventConsumer_ASEC: R2 HPSewil Service; C:\Users\edward\AppData\Roaming\HPSewil\HPSewilSrv2.exe [1047040 2016-08-12] (GrassWine Brick) [brak podpisu cyfrowego] R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-08-12] (DotC United Inc) R2 nyveqixozbt; C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3\knscF77A.tmp [276480 2016-08-12] () [brak podpisu cyfrowego] R2 SoEasySvc; C:\Program Files (x86)\SoEasySvc\SoEasySvc.exe [214168 2016-08-12] (TODO: ) R2 zigipyro; C:\Users\edward\AppData\Local\0152F095-1471041237-E411-85C7-F0761C8993C3\qnst96BF.tmp [158720 2015-12-26] () [brak podpisu cyfrowego] S2 ProntSpooler; "C:\Users\edward\AppData\Local\Apps\2.0\abril.exe" [X] R1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] Task: {22289A4E-5E16-4EA8-8EC3-AE82162DDC2E} - System32\Tasks\bku2198616922750165 => Rundll32.exe "C:\Users\edward\AppData\Local\Temp\ZQMOKRVGPC_513140\BBYqZMh.DLL",#62 o6se6f8ny9z83aq Task: {73AA45EC-F7C3-41B3-BDB7-2B711973C852} - System32\Tasks\b2929b72a96a471893ecaa9c51368bae => C:\Program Files (x86)\jiiB5D1\gnpBBEB.bat [2016-08-12] () Task: {DE446CBD-E648-4042-ABEE-9A5407483394} - System32\Tasks\Ghmersevversp Monitor => C:\Program Files (x86)\Tafleclwther\ghmMntVevary.exe [2016-08-12] () Task: C:\Windows\Tasks\bku2198616922750165.job => C:\Users\edward\AppData\Local\Temp\ZQMOKRVGPC_513140\BBYqZMh.DLL ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\edward\AppData\Local\Microsoft\Windows\INetCookies\zjiry.dll [370176 2016-08-12] () HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\...\Run: [] => [X] HKLM-x32\...\RunOnce: [update] => C:\Users\edward\AppData\Roaming\ASPackage\ASPackage.exe /runonce HKU\S-1-5-21-2574603618-2478407198-2579358465-1001\...\Run: [seviler] => C:\Users\edward\AppData\Roaming\GameLauncher\Seviler\Seviler.exe [604672 2016-08-11] () Tcpip\..\Interfaces\{12F32C02-C6AE-454B-AE7C-47E8A1595051}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{144AFE9A-FC9D-4AC7-A4B2-21EDFFEAEC28}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{1F9D6780-BEED-435D-8BDB-BDC102B3A669}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{72477396-7FBE-4FA5-BD9A-8E3856AA979B}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8718928D-CBEB-45EA-A621-800A9249001D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8E5AE552-CD48-4D48-8476-D09B563469F7}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{A29D54B5-13A4-4B8E-9B30-DD4F6C02B118}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{bbed3e08-0b41-11e3-8249-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{D6A2DEAF-0B7D-4A00-B9EA-877187A98F92}: [NameServer] 104.197.191.4 ShortcutWithArgument: C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Yhid C:\Program Files\YhidUn C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3 C:\Program Files (x86)\ContentPush C:\Program Files (x86)\jiiB5D1 C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\SoEasySvc C:\Program Files (x86)\Tafleclwther C:\Program Files (x86)\Tafleclwther_ C:\Program Files (x86)\ttwifi C:\Program Files (x86)\WeatherChickn C:\ProgramData\*.bat C:\ProgramData\AVAST Software C:\ProgramData\WindowsMsg C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ttwifi C:\Users\edward\AppData\Local\0152F095-1471041237-E411-85C7-F0761C8993C3 C:\Users\edward\AppData\Local\comapyreawecultetesp C:\Users\edward\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\edward\AppData\Local\Tempfolder C:\Users\edward\AppData\Local\Microsoft\Windows\INetCookies\zjiry.dll C:\Users\edward\AppData\Roaming\Installer.dat C:\Users\edward\AppData\Roaming\InstallationConfiguration.xml C:\Users\edward\AppData\Roaming\ContentPush C:\Users\edward\AppData\Roaming\GameLauncher C:\Users\edward\AppData\Roaming\Geunfy C:\Users\edward\AppData\Roaming\GowvePitpagf C:\Users\edward\AppData\Roaming\HPSewil C:\Users\edward\AppData\Roaming\MCorp C:\Users\edward\AppData\Roaming\UPUpdata C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*oo*le*.lnk C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Bjort Opublikowano 15 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 15 Sierpnia 2016 Dziękuję, naprawa wykonana. Udało się usunąć wszystkie oprócz HPSewil (screen) dodatkowo ikony Chrome i Opery na pulpicie straciły grafikę a po najechaniu wyświetlał się nieusunięty program (screen2). W folderze MPC Cleanera nie ma pliku Uninstall. Załączam logi i screeny. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2016 Zgłoś Udostępnij Opublikowano 13 Września 2016 (edytowane) Tak, trzeba usunąć wszystkie skróty przeglądarek przekierowujące na martwy już HPSewil i resztę odpadków. Nazwy skrótów są w Unicode, to nie są zwykłe nazwy "Opera" etc. Będzie problem z usunięciem aktywnego MPC Cleaner, ale spróbuję jednak najpierw podejścia w Trybie awaryjnym Windows. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 0225591471264939mcinstcleanup; C:\Windows\TEMP\022559~1.EXE [961888 2016-05-16] (McAfee, Inc.) S2 bilyqotezbt; C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3\knsiC824.tmp [X] R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-08-12] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-13] (DotC United Inc) DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\HPSewil C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\Users\edward\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Public\Desktop\Ореrа.lnk C:\Program Files (x86)\MPC Cleaner C:\Windows\System32\DRIVERS\MPCKpt.sys SearchScopes: HKU\S-1-5-21-2574603618-2478407198-2579358465-1001 -> {C0042433-DA31-4F26-BEF5-066DDE07335C} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu, opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Edytowane 24 Października 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi