Arturoos1990 Opublikowano 22 Października 2016 Zgłoś Udostępnij Opublikowano 22 Października 2016 Witam Niestety wiursa ze strony hxxp://www60.zippyshare.com/v/5pSHWkPH/file.html który oczywiście uruchomiłem exe i wywala mi video card management. i zawirusowało procesy. ( tak wiem głupota boli) Wstawiam logi i proszę o bardzo pilną pomoc zanim się to rozprzestrzeni. Boje się że zaatakowane są sterowniki grafiki Wrzucam logi z FRST zaraz dorzucę z GMERA Baardzo prosze o pomoc Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 22 Października 2016 Zgłoś Udostępnij Opublikowano 22 Października 2016 Zasady działu do wglądu: KLIK. Linki infekcyjne należy podawać w sposób nieaktywny (zmieniłam). Brakuje trzeciego obowiązkowego pliku FRST Shortcut oraz GMER. Jeśli chodzi o infekcję, to jest dobrze widoczna: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\...\Run: [Application] => C:\Users\User\AppData\Roaming\app.exe [591360 2016-10-21] () Poza tym w systemie widać ślady także instalacji adware/PUP. Działania do przeprowadzenia: 1. Odinstaluj stare wersje (zagrożenie infekcjami) Adobe Shockwave Player 12.1, Java 8 Update 45, Java 6 Update 13 oraz zbędny MyFreeCodec (instalacja typu "PUP" od Samsunga) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\...\Run: [Application] => C:\Users\User\AppData\Roaming\app.exe [591360 2016-10-21] () HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\...\Run: [AdobeBridge] => [X] Task: {288CDC57-51D8-445B-B130-477AEA9AEA46} - System32\Tasks\Driver Booster SkipUAC (User) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {43BF71C1-6C50-47C1-97AE-580356B8E9A9} - System32\Tasks\{B6CAE659-5001-438C-8D0B-DCC5D7BDFD41} => Firefox.exe hxxp://ui.skype.com/ui/0/6.22.81.104/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {5CC86CA8-62D0-4B14-A788-4EB1F95298AC} - System32\Tasks\{4CC226A8-4E0F-4C84-96F5-C3FF85A08F30} => pcalua.exe -a C:\Users\User\Desktop\PP1300WGDIWinx86_1611120PL\PP1300WGDIWinx86_1611120PL\setup.exe -d C:\Users\User\Desktop\PP1300WGDIWinx86_1611120PL\PP1300WGDIWinx86_1611120PL Task: {68DE3ECE-3194-4ACC-B7F5-238E766DC16D} - \Inst_Rep -> Brak pliku Task: {90791DF4-3D58-4F1B-B347-AC2DC8E7BABB} - System32\Tasks\{37C8C52E-7FCA-44D3-A3EF-FF39D742E95A} => pcalua.exe -a C:\Users\User\AppData\Roaming\oursurfing\UninstallManager.exe -c -ptid=smt Task: {BDDDC19F-A158-43EA-9BBF-81658837F8A6} - System32\Tasks\{C2F59612-9445-4AA4-9ACC-ECDB8A2AC0C2} => pcalua.exe -a E:\Setup.exe -d E:\ S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1433077722&z=aca7491ac39e125b676fd7cgdz3c8o8t5t8gee0z3q&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1433077722&z=aca7491ac39e125b676fd7cgdz3c8o8t5t8gee0z3q&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hppp&ts=1433077747&z=a5a01537a45355b3760d66egbz2c6o5t0t5g2e6mcg&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hppp&ts=1433077747&z=a5a01537a45355b3760d66egbz2c6o5t0t5g2e6mcg&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1433077722&z=aca7491ac39e125b676fd7cgdz3c8o8t5t8gee0z3q&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1433077722&z=aca7491ac39e125b676fd7cgdz3c8o8t5t8gee0z3q&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=dspp&ts=1433077747&z=a5a01537a45355b3760d66egbz2c6o5t0t5g2e6mcg&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hppp&ts=1433077747&z=a5a01537a45355b3760d66egbz2c6o5t0t5g2e6mcg&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=dspp&ts=1433077747&z=a5a01537a45355b3760d66egbz2c6o5t0t5g2e6mcg&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=0003446E&OHP=about%3ATabs&OSP=http%3A%2F%2Fwww.oursurfing.com%2Fweb%2F%3Futm%5Fsource%3Db%26utm%5Fmedium%3Dsmt%26utm%5Fcampaign%3Dinstall%5Fie%26utm%5Fcontent%3Dds%26from%3Dsmt%26uid%3DWDCXWD10PURX%2D64D85Y0%5FWD%2DWCC4JHRA7XYKA7XYK%26ts%3D1433077753%26type%3Ddefault%26q%3D%7BsearchTerms%7D SearchScopes: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.oursurfing.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&ts=1433077753&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.oursurfing.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&ts=1433077753&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&ts=1433077753&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.oursurfing.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&ts=1433077753&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {d00ab4cc-662c-40b6-a85f-d53086f4bb16} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1433077722&z=aca7491ac39e125b676fd7cgdz3c8o8t5t8gee0z3q&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\44ebqatm.default\extensions\sweetsearch@gmail.com => nie znaleziono FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku] C:\end C:\Program Files (x86)\Mozilla Firefox\extensions C:\ProgramData\mntemp C:\ProgramData\TEMP C:\Users\User\AppData\Roaming\app.exe C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zzaznaczonym polem Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Arturoos1990 Opublikowano 22 Października 2016 Autor Zgłoś Udostępnij Opublikowano 22 Października 2016 (edytowane) Wstawiam logi po czyszczeniu, GMER zraz skończy bo wcześniej się wywalał więc zaraz dorzucę Czy będę musiał od nowa również instalować sterowniki graficzne?EDIT: Dodaję GMEREDIT 2: Oczywiście bardzo przepraszam że tak zwlekałem z Logami FRST.txt Addition.txt Shortcut.txt Fixlog.txt gm2.txt Edytowane 23 Października 2016 przez Rucek Odnośnik do komentarza
picasso Opublikowano 24 Października 2016 Zgłoś Udostępnij Opublikowano 24 Października 2016 Wszystko pomyślnie wykonane. Drobne działania dodatkowe: 1. W związku z tym, że były tu też ślady adware, uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff Czy będę musiał od nowa również instalować sterowniki graficzne? Co masz na myśli? Czy po usunięciu infekcji są jakieś problemy z kartą graficzną? Odnośnik do komentarza
Arturoos1990 Opublikowano 24 Października 2016 Autor Zgłoś Udostępnij Opublikowano 24 Października 2016 Problemów generalnie brak tylko myślałem że przez te wcześniejsze komunikaty video card management będę musiał zrobić reinstalację. Bardzo dziękuje za pomoc ! Odnośnik do komentarza
picasso Opublikowano 24 Października 2016 Zgłoś Udostępnij Opublikowano 24 Października 2016 Tu jeszcze nie skończyliśmy. Dodaj log z AdwCleaner. Odnośnik do komentarza
Arturoos1990 Opublikowano 24 Października 2016 Autor Zgłoś Udostępnij Opublikowano 24 Października 2016 Ok. Potrzebuję 2 godzinki i wrzucam log:)EDIT: Wrzucam log z Adv AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2016 Zgłoś Udostępnij Opublikowano 24 Października 2016 AdwCleaner znalazł ogromną ilość szczątków adware. Po pierwsze: nie zauważyłam, że nie odinstalowałeś poprzednio programu MyFreeCodec (i AdwCleaner go właśnie wykrywa), więc wdróż to. Następnie po deinstalacji uruchom ponownie AdwCleaner, tym razem dobierz po kolei opcje Skanuj + Oczyść i dostarcz wynikowy log. Odnośnik do komentarza
Arturoos1990 Opublikowano 24 Października 2016 Autor Zgłoś Udostępnij Opublikowano 24 Października 2016 Log wynikowy AdwCleanerC0.txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2016 Zgłoś Udostępnij Opublikowano 24 Października 2016 Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. 2. Zlikwiduj drobny błąd WMI posługując się instrukcjami Microsoftu: KLIK. 3. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. To wszystko. Odnośnik do komentarza
Arturoos1990 Opublikowano 24 Października 2016 Autor Zgłoś Udostępnij Opublikowano 24 Października 2016 Jak zawsze wielkie dzięki !! Odnośnik do komentarza
Rekomendowane odpowiedzi