BonZur Opublikowano 27 Września 2016 Zgłoś Udostępnij Opublikowano 27 Września 2016 Witam! Cybertarcza orange wykryła u mnie program szpiegujący ransomeware.locky i zablokowała mi dostęp do internetu. Po zaintsalowaniu i przeskanowaniu komputera darmową wersją pandy,wykryła 3 potencjalne zagrożenia, które usunąłem. Nie widzę żadnych zaszyfrowanych plików na moim komputerze, ale lepiej dmuchać na zimne, dlatego zwracam sie z gorącą prośbą o pomoc i identyfikacje zagrożenia ( jeżeli takowe występuje ). Mam nadzieję, że niczego nie pominąlem jeżeli chodzi o logi. Wklejam również screena oraz raport z plikami wykrytymi przez pande. https://zapodaj.net/cdcaa7e5c101a.png.html Proszę o wyrozumiałość, jeżeli popełniłem jakiegolwiek bledy, ale w tych sprawach jestem laikiem. FRST.txt Addition.txt Shortcut.txt gmer.txt raport panda.txt Odnośnik do komentarza
picasso Opublikowano 28 Września 2016 Zgłoś Udostępnij Opublikowano 28 Września 2016 Zgłoszenie jest wynikiem oceny IP. Nie ma oznak infekcji szyfrującej dane, więc prawdopodobnie obecnie przyznany Twojemu komputerowi mógł być wcześniej w użyciu przez inny zainfekowany komputer. Rozwiązaniem jest wymuszenie zmiany IP. Natomiast w systemie są inne nie powiązane z w/w problemem obiekty, tzn. niedokładnie czyszczone wcześniej elementy adware. Skan Panda wykrył szczątki adware w Tymczasowych plikach internetowych, ale nie te które widać w raportach FRST, a detekcja FRST64.exe jako "W32/Exploit.gen" to fałszywy alarm. Działania do przeprowadzenia: 1. Odinstaluj starą wersję Java 8 Update 31 (64-bit). Zaktualizuj Firefox (posiadasz wersję 35.0, aktualna to 49). Ponadto Ad Muncher to właściwie martwy program, nierozwijany od dawna. Do wglądu lista jakie są alternatywy: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {39A3F939-4673-48FF-9F61-4ABA3865975C} - \Price Fountain -> Brak pliku Task: {86C87B50-8E23-4E28-A2BA-BC73A8CE1D60} - \Trojan Killer -> Brak pliku S2 IhPul; C:\Users\Sebastian\AppData\Roaming\TSv\TSvr.exe [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S2 WdMan; C:\ProgramData\nWdMn\WdMan.exe -svr [X] S3 AsrCDDrv; \??\C:\Windows\SysWOW64\Drivers\AsrCDDrv.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} SearchScopes: HKU\S-1-5-21-3580256871-2974044544-3284647674-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameRanger.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
BonZur Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 Wykonałem wszystkie kroki i wklejam raporty. Przepraszam za tak powolna odpowiedź, ale miałem urwanie głowy w tym tygodniu. Jeżeli wszystko jest w porządku, to dziękuje za pomoc i twój czas FRST.txt Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2016 Zgłoś Udostępnij Opublikowano 2 Października 2016 Wszystko zostało wykonane zgodnie z planem. Teraz uruchom AdwCleaner, wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
BonZur Opublikowano 2 Października 2016 Autor Zgłoś Udostępnij Opublikowano 2 Października 2016 Zrobione. Jakiś czas temu miałem problem z Picexa i omniboxes, które przekierowywały mnie na ich strony internetowe podczas korzystania z przeglądarki. Po wielu próbach ręcznego usunięcia tego z systemu, udało mi się to "uśpić" poprzez nie aktualizowanie firefoxa, ale widzę, że jakieś ślady po tym są dalej w rejestrze. AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2016 Zgłoś Udostępnij Opublikowano 2 Października 2016 Fragmenty wspominanych adware były także czyszczone w skrypcie FRST. Ich pochodna to m.in. "Asystent pobierania" dobrychprogramów: KLIK. 1. Uruchom AdwCleaner ponownie, wybierz opcje Skanuj + Oczyść. Gdy program ukończy robotę: 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox, gmer oraz Nowy folder z FRST i jego logami. Następnie skorzystaj jeszcze z DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Internet Explorer 11 (pobieranie też pod w/w linkiem) i upewnij się, że wszystkie aktualizacje z Windows Update są zaaplikowane. To wszystko. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się