Pawelx Opublikowano 25 Września 2016 Zgłoś Udostępnij Opublikowano 25 Września 2016 Witam. Mam problem podobny do zamieszczanych juz tutaj zwiazny z Y2go.Do infekcji doszlo po uruchomieniu pliku wykonywalnego. Kaspersky internet security cos tam wywalal ze blokuje ale nie udalo mu sie zablokowac wszystkiego,mimo tego ze recznie go ustawialem na najwyzsza ochrone. Zaraz po infekcji zauwazylem ze okna potrafia mi zniknac np wlaczylem menedzera zadan,proboje wejsc w start->komputer a menedzer mi znika.Wlaczylem nastepnego,jednak po chwili ten pierwszy sie przywrocil i mialem wlaczone 2 menedzery.Teraz gdy juz usunalem czesc infekcji podobne sytuacje sie juz nie dzieja W procesach w menagerze zadan zaraz po ponownym rozruchu wywalalo m.in proces updater.exe,ktory znikal z listy procesow.Usunalem go pozniej recznie Pierw kliklem odinstaluj Y2go w Programach,potem jeszcze pousuwalem kilka rzeczy recznie Czytajac wczesniejsze watki uzylem nastepujacych programow: KasperskyTDSSKiller-Nic nie wykryl,stworzyl log na C:\ .W tym momencie jeszcze raz zeskanowalem i wrzucam loga wygenerowanego teraz. Adwcleaner-usunal jakies wpisy w rejestrze.Tez cos wygenerowal GMER-Nieumiem sie poslugiwac tym programem po prostu dalem skanuj a po zakonczeniu dalem zapisz teraz wrzucam to co zapisal w formacie txt (przekleilem z oryginalego z rozszerzeniem *log) HitmanPro.Wykryl kilka malware i cookies.Usunalem wszystko Malwarebytes Anti-Malware.Tutaj pojawia sie problem bo nie moze sciagnac aktualizacji.Przeinstalowalem sciagajac najnowsza wersje i dalej nic.Nie sciagnie update'u.Przeskanowalem na szybko wiec takim i nic nie wykryl. Zdaje sie tez ze mial w ustawieniach odznaczone wykrywanie rootkitow. Teraz skanuje jeszcze raz ale znow bez aktualizacji.Jak narazie wykryl tylko PUP.Optional.APNToolBar i wyswietla zagrozenie na zolto.Szuka tez rootkitow Wlaczylem tez skanowanie w Kasperskim. Weszlem tez w certyfikaty i nie ma tam certyfikatu y2go ktory mial usunac poprzedni uzytkownik. A moze u mnie zainstalowaly sie jakies inne certyfikaty i wpisy w rejestrze? Mam ten infekujacy plik exe i tak mysle czy nie daloby sie jakos z niego wyciagnac informacji w jakie miejsce dodaje on pliki/wpisy do rejestru/certyfikaty itp Inni uzytkownicy mieli tez problemy ze skrotami do programow i przegladarkami.Jak sprawdzic czy u mnie tez taki problem jest? TDSSKiller.3.1.0.11_25.09.2016_17.59.00_log.txt AdwCleanerC0.txt gmer-tekstowy.txt Odnośnik do komentarza
picasso Opublikowano 25 Września 2016 Zgłoś Udostępnij Opublikowano 25 Września 2016 Brakuje obowiązkowych raportów z FRST. A tematami innych użytkowników nie należy się sugerować, w każdym przypadku instrukcje są inne, dostosowane do tego co widać w systemie. Program Y2Go deinstalowałeś, więc ten proces mógł skasować automatycznie certyfikat. W temacie innego użytkownika ta instalacja była naruszona w inny sposób. Odnośnik do komentarza
Pawelx Opublikowano 25 Września 2016 Autor Zgłoś Udostępnij Opublikowano 25 Września 2016 Zaznaczylem tez pozostale opcje ze strefy skan opcjonalny i dalem skanuj.Wygenerowalo 3 pliki tekstowe Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 25 Września 2016 Zgłoś Udostępnij Opublikowano 25 Września 2016 Opcje Lista BCD, MD5 sterowników, Pliki z 90-dni nie miały być zaznaczone. To skany pod określone zjawiska od dawna tu nie występujące (skan MD5 to w zasadzie martwa funkcja), produkujące zbyt obszerne logi. O te skany prosi prowadzący pomoc, gdy widzi podstawy do tego kroku. Logi poświadczają, że infekcja nie jest już aktywana, zostały tylko odpadki Y2Go w Harmonogramie zadań. Przy okazji usunę inne drobne szczątkowe wpisy (wliczając puste skróty). 1. Odinstaluj YTD Video Downloader 4.8.9 - instalator sponsorowany przez adware. Program zresztą jest już uszkodzony, naruszył go AdwCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {116E20E9-9FB6-4EF5-AF52-FAB16203C84D} - System32\Tasks\Y2Go\Updater\Y2GoUpdater => C:\Program Files (x86)\Y2GoUpdater\updater.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Y2Go C:\Windows\System32\Tasks\Y2Go Task: {22C7C0E8-17E7-43E1-A739-1BF30A17E358} - System32\Tasks\{176DA0D2-23FE-4B39-B2D2-917992A24166} => pcalua.exe -a "C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\EAUninstall.exe" Task: {5202F340-55C5-4835-912E-656B5CD23F8E} - System32\Tasks\{D78354CA-A9FD-4EBE-A490-488C4F3DCF7D} => pcalua.exe -a "C:\Program Files (x86)\Need for Speed Carbon\setup.exe" -d "C:\Program Files (x86)\Need for Speed Carbon" Task: {73C3D8E0-6355-4F04-BCAB-736A9E64313B} - System32\Tasks\{1F7CA4C6-1AEF-4370-B89B-844C4C20FB53} => Firefox.exe hxxp://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?page=tsMain Task: {EA5F8ECE-5D71-451B-9F32-A4C4EF872FF1} - System32\Tasks\{70482A84-F927-432C-AE09-6365473F5C0B} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe Task: {ECFD28C8-BE2A-4485-9AFD-50464D19F9AB} - System32\Tasks\{732CA07C-0ECD-4A10-90CC-6B882C9F4441} => pcalua.exe -a E:\RGSC\setup.exe -d E:\RGSC Task: {F1DF37AA-1C33-46B7-AE8F-A873AD948BA8} - System32\Tasks\{817020AA-4EE2-4C5B-8DB2-7CF01CA3E092} => pcalua.exe -a "C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\EAUninstall.exe" CustomCLSID: HKU\S-1-5-21-1031442287-3116140015-3841804844-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Uzytkownik\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X] MSCONFIG\startupreg: RGSC => C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\08498119.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\08498119.sys => ""="Driver" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\Users\Uzytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{1AA01F43-62F5-4CF8-958C-1C67E3340EAF} C:\Users\Uzytkownik\AppData\Roaming\gdscan.log C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Adobe Reader XI.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Grand Theft Auto IV-fullscreen.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Need for *.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Safe Money.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\YTD Video Downloader.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne. Odnośnik do komentarza
Pawelx Opublikowano 25 Września 2016 Autor Zgłoś Udostępnij Opublikowano 25 Września 2016 Jest ryzyko ze ten plik wykonywalny potworzyl jeszcze jakies wpisy w rejestrze ukryte pliki certyfikaty czy tez poinstalowal jeszcze inne programy itp o ktorych nie wiemy a te programy wyzej tego niewykryly? W miedzyczasie zakonczylo sie skanowanie Kasperskim internet security i wykryl jeden nieprzetworzony obiekt mirc.exe ktory sciaglem dawno temu.Plik usunalem Malwarebytes Anti Malware wciaz nie moze sie zaktualizowac. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 26 Września 2016 Zgłoś Udostępnij Opublikowano 26 Września 2016 Sprawa certyfikatów jest tu nieaktualna. Odinstalowałeś program, certyfikat Y2Go nie jest widoczny w przystawce, więc został tym procesem usunięty. Log z FRST nie wykazuje także żadnych innych niepożądanych modyfikacji, poza tymi wpisami które właśnie zostały przetworzone. Robiłeś także liczne skany. Moim zdaniem nie ma tu czego szukać więcej, infekcje usunięte. Malwarebytes Anti Malware wciaz nie moze sie zaktualizowac. Jaki widzisz błąd? Pobranie ręczne definicji też nie jest możliwe? Czy to na pewno problem powiązany z instalacją adware? W tym temacie użytkownicy raportują, że też nie mogą wykonać aktualizacji. Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Nie odpowiedziałeś mi na pytania w kwestii aktualizacji MBAM. Aktualizacja w kwestii: W tym temacie użytkownicy raportują, że też nie mogą wykonać aktualizacji. U nich wyszło na jaw, że mieli zmodyfikowany plik HOSTS - u Ciebie nie ma to miejsca. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się