Freakivi Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Cześć, Opis problemu: - Przy starcie systemu pokazują się dwa błędy (obr. Start 1).- Przy włączaniu przeglądarki internetowej np. Google Chrome pojawia się błąd ( obr. Chrome 1). Następnie po odpaleniu występuje strona startowa yeabests.cc (obr. Chrome 2) W elemencie docelowym ikonki google chrome występują właśnie nazwy z obr. Chrome 1 i dziwnej nazwa strony startowej yeabests. Po usunięciu nazw z elementu docelowego po chwili z powrotem tam wracają.Próbowałem już:- Przeinstalowywać google chrome- CCleaner- AdwCleaner- Spybot -S&D Start Center- Malwarebytes Anti-Malware- skan Avastem SecurityW załączniku przesyłam logi zarówno z FRST jak i GMER.Z góry dzięki za jakąkolwiek pomoc. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2016 Zgłoś Udostępnij Opublikowano 2 Października 2016 Są tu liczne problemy. W systemie jest infekcja osadzona we WMI, zaszyty tam skrypt reinfekuje skróty przeglądarek w bliskich odstępach czasowych. Czyszczenie samych parametrów skrótów nic nie da, dopóki nie zostanie usunięty skrypt WMI. Ale to nie jest jedyna szkodliwa modyfikacja w systemie, jest tu też infekcja DNS, polityki Windows Defender i inne szkodniki. Operacje do wdrożenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędne programy: Adobe AIR, Bing Bar, HP Customer Participation Program 14.0, Java 8 Update 40, Spybot - Search & Destroy. Ten Spybot to skaner który raczej nie wykrywa niż wykrywa bieżące zagrożenia... 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 WindowsDefender; C:\Windows\winrshost.exe [177152 2016-03-21] () [File not signed] HKLM\...\Providers\1nfd18e5: C:\ProgramData\FastPrinter\local64spl.dll [141824 2016-08-22] () HKLM\...\Providers\omvik5rc: C:\Program Files (x86)\\local64spl.dll [141824 2016-08-22] () HKLM\...\Winlogon: [userinit] wscript C:\Windows\run.vbs, HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1057106586-2403482295-1909535323-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1057106586-2403482295-1909535323-1001\...\Run: [Ovics] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Pati\AppData\Local\IRsoft\sqnxogrw.dll HKU\S-1-5-21-1057106586-2403482295-1909535323-1001\...\StartupApproved\Run: => "IRsoft" Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe Task: {0D763D79-3CDE-41A2-993D-7CBA748B3ED2} - System32\Tasks\{C05415B8-B11A-485B-9375-CEDF83AF929D} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Zathdom\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Zathdom\uninstall.dat" -a uninstallme ED2D987A-9283-494C-ACD9-03C7A093A4CC DeviceId=f970916d-284d-235d-1251-46cc4fa05103 BarcodeId=51107003 ChannelId=3 DistributerName=APSFClickMeIn Task: {B87454B3-B62A-46D7-8464-3BA681215950} - System32\Tasks\Coerwcult Center => C:\Program Files (x86)\Crecult\Coerwcultcntdnk.exe Tcpip\..\Interfaces\{3CEC4DD1-E22F-4E53-834D-D81B87C9D26E}: [NameServer] 188.120.239.115,8.8.8.8 Tcpip\..\Interfaces\{EA4E11C0-8779-4BB5-92BE-763E2D2A5C51}: [NameServer] 188.120.239.115,8.8.8.8 GroupPolicy: Restriction - Windows Degender WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc SearchScopes: HKLM -> IELNKSRCH URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPg7lDWkjCrgzmorjNXrcNqlRkJQAPAeRWWrGrvcIGgASlAvdju6NGxd46zYN8hurJAu-o32-9yJpoOsFUmFTl9FOk4hcVsOXKuA-zceluDURbgHBaMXAs4IiDWVyiRvwVBZuasOTl1fgxk7AT_SLmmIEjRLjN-OIbIw_vD-5W&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope value is missing CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins AlternateDataStreams: C:\Users\Pati\Cookies:eLzXAceo1JHpJ06dclVDZj7KM [2324] C:\Program Files (x86)\local64spl.dll C:\Program Files (x86)\local64spl.dll.ini C:\ProgramData\FastPrinter C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Pati\AppData\Local\zaupT9tpAAXks C:\Users\Pati\AppData\Roaming\agent.dat C:\Users\Pati\AppData\Roaming\Installer.dat C:\Users\Pati\AppData\Roaming\Main.dat C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Windows\winrshost.exe CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Pati\AppData\Local CMD: dir /a C:\Users\Pati\AppData\LocalLow CMD: dir /a C:\Users\Pati\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome sfabrykowany profil. Należy usunąć cały profil. W Ustawienia > karta Ustawienia > Osoby sprawdź ile profilów widać. Jeśli tylko jeden, to opcją Dodaj osobę stwórz nowy, a bieżący skasuj. Jeśli jednak widać dwa profile, to skasuj bieżący, a na ten drugi zaloguj się. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Freakivi Opublikowano 2 Października 2016 Autor Zgłoś Udostępnij Opublikowano 2 Października 2016 Wszystko wykonane w podanej kolejności. Dziękuje za pomoc. W załączniku przesyłam pliki z FRST. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2016 Zgłoś Udostępnij Opublikowano 2 Października 2016 Wszystko zrobione, infekcje pomyślnie usunięte, teraz już tylko poprawki. 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\KMSpico RemoveDirectory: C:\Program Files (x86)\{516D9F5A-D8E3-485A-838A-AE688ED07E5C} RemoveDirectory: C:\Program Files (x86)\Bvafivagh RemoveDirectory: C:\Program Files (x86)\Crecult RemoveDirectory: C:\Program Files (x86)\Crecult_ RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files (x86)\ynl265E RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\tmp RemoveDirectory: C:\Users\Pati\AppData\Local\aJDnMEZEGRf4Xn RemoveDirectory: C:\Users\Pati\AppData\Local\CEF RemoveDirectory: C:\Users\Pati\AppData\Local\fwoshdrauspliition RemoveDirectory: C:\Users\Pati\AppData\Local\IRsoft RemoveDirectory: C:\Users\Pati\AppData\Local\tumilyfutakcurerk RemoveDirectory: C:\Users\Pati\AppData\Local\TyDJsmUFtOiZIvu RemoveDirectory: C:\Users\Pati\AppData\Local\Udmedia RemoveDirectory: C:\Users\Pati\AppData\Local\webkit RemoveDirectory: C:\Users\Pati\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Pati\AppData\Local\Google\Chrome\User Data\qudachmupishplalily RemoveDirectory: C:\Users\Pati\AppData\LocalLow\Sun RemoveDirectory: C:\Users\Pati\AppData\Roaming\Mozilla ListPermissions: C:\Users\Pati\Cookies Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom Phrozen ADS Revealer i sprawdź czy program widzi ten strumień oraz czy pokazuje jaka jest jego zawartość w kolumnie Content: AlternateDataStreams: C:\Users\Pati\Cookies:eLzXAceo1JHpJ06dclVDZj7KM [2324] Odnośnik do komentarza
Freakivi Opublikowano 3 Października 2016 Autor Zgłoś Udostępnij Opublikowano 3 Października 2016 Fix wykonany. W załączniku log. Prośba o potwierdzenie czy mam zrobić w Phrozen ADS Revealer --> Run Scan --> Scan full System NTFS Only ?Czy w jakimś innym miejscu to sprawdzić? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2016 Zgłoś Udostępnij Opublikowano 6 Października 2016 1. Program z prawokliku "Uruchom jako administrator". By ograniczyć wyniki skanu, wybierz tylko ten obszar w którym jest strumień, tzn. Scan target folder (NTFS only) i wybierz C:\Users. W wynikach szukaj rekordu eLzXAceo1JHpJ06dclVDZj7KM podmontowanego na linku symbolicznym C:\Users\Pati\Cookies. Skan ten jest po to, by sprawdzić czy program widzi jaka jest zawartość strumienia (kolumna Content). 2. Druga sprawa, FRST otrzymał aktualizację i spróbuj ten strumień ponownie przetworzyć w nim. Tzn. pobierz najnowszy FRST, otwórz Notatnik i wklej w nim: AlternateDataStreams: C:\Users\Pati\Cookies:eLzXAceo1JHpJ06dclVDZj7KM [2324] ListPermissions: C:\Users\Pati\Cookies Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się