kobiszyn Opublikowano 16 Grudnia 2016 Zgłoś Udostępnij Opublikowano 16 Grudnia 2016 Witam Jak w temacie, dałem się jak dzieciak napuścić na głupi wirus. Zacznę od początku: Ściągałem sobie odcinek serialu. Po pobraniu postanowiłem sprawdzić go, no i podczas odpalenia zaczęły pojawiać się artefakty itp. itd. (oczywiście jak się okaazuje wszystko zgrabnie zmontowane ) zobaczyłem w katalogu plik xvid Codec.rar czy coś takiego i bezmyślnie zainstalowałem go. Już przy instalacji zapaliła mi się lampka i anulowałem ją, ale w tle już instalowała się inna aplikacja. Jakiś clock coś tam, później następna i następna. Przeglądarka chrome oczywiście nabyła nową wtyczkę i nową stronę główną ja natomiast zamieniłem się w shitdiggera i zacząłem szukać tego w zainstalowanych aplikacjach, w aplikacjach działających w tle i w zainstalowanych do godziny temu folderach z programami. Trochę pomógł mi McAfee na szczęście, ale szkoda że bywa on tak upierdliwy w działaniu, że często wyłączam w nim działanie w czasie rzeczywistym, bo wtedy zapewne i on oszczędziłby mi tego wszystkiego. Zainstalowane rzeczy w stylu aplikacja z azjatyckimi krzaczkami wyglądająca jak przeglądarka clock coś.. online.io jakiś pochodny jego no i w tle pare instalacji jeszcze próbowało mi się odpalić. Generalnie otworzyłem szambo. Pomóżcie mi zlokalizować co jeszcze z tym zrobić. Załączam pliki FRST.txt i Addition.txt Tyle, o ile udało mi się wyrobaczyć, ale cały czas mam wrażenie, że jakieś intruzy grasują tu dalej. FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 16 Grudnia 2016 Zgłoś Udostępnij Opublikowano 16 Grudnia 2016 Raporty dostarczone, ale tylko częściowo, bo brakuje 3-ego raportu generowanego przez FRST czyli Shortcut.txt. Bez niego nie zaczniemy. Odnośnik do komentarza
kobiszyn Opublikowano 16 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2016 Dziękuję za odpowiedź, dosyłam i to Pozdrawiam Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 16 Grudnia 2016 Zgłoś Udostępnij Opublikowano 16 Grudnia 2016 W raportach widoczny kolosalny bałagan z adware, zarażone skróty LNK, podmiany Google Chrome itd. Od razu przechodzimy do działań. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {6DDD968A-9F42-4586-87A0-EB81ACD9F1CE} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe Task: {78E316D5-C79B-4453-8F55-6235945B529D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {FEE8FFAA-DBAF-4D81-A6C0-E6D607EA3FDF} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\Program Files (x86)\UCBrowser Task: {B09B556B-E4E7-4472-BC99-04AD1FC5E811} - System32\Tasks\osTip => Chrome.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ FirewallRules: [{AAE9FD5A-BCC0-49C6-9F01-3636168C666A}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{DFD3D180-28CC-4040-B08F-3D29EC6C40D2}] => C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2973696725-2151443549-252006422-1001\...\Run: [msiql] => C:\Users\kobis\AppData\Local\Temp\00013249\msiql.exe [2045952 2016-12-16] () C:\Users\kobis\AppData\Local\Temp\00013249\msiql.exe HKU\S-1-5-21-2973696725-2151443549-252006422-1001\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\chrome.exe [7204864 2016-12-06] () C:\ProgramData\WindowsMsg HKU\S-1-5-18\...\Run: [] => 0 AppInit_DLLs: C:\ProgramData\Quoteex\Big-Lam.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quoteex\Ventocore.dll => Brak pliku C:\ProgramData\Quoteex HKU\S-1-5-21-2973696725-2151443549-252006422-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms} SearchScopes: HKU\.DEFAULT -> DefaultScope {452B3649-EC7C-4B2A-8781-EC0766B65FAD} URL = SearchScopes: HKU\.DEFAULT -> {452B3649-EC7C-4B2A-8781-EC0766B65FAD} URL = Edge HomeButtonPage: HKU\S-1-5-21-2973696725-2151443549-252006422-1001 -> S2 GoogleChromeUpService; C:\ProgramData\service.exe /s GoogleChromeUpService /uid:51504 /local:br [X] R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.) SearchScopes: HKU\S-1-5-21-2973696725-2151443549-252006422-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms} 2016-12-16 13:11 - 2016-12-16 13:11 - 00003018 _____ C:\WINDOWS\System32\Tasks\osTip 2016-12-16 12:47 - 2016-12-16 13:44 - 00000324 _____ C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job 2016-12-16 12:47 - 2016-12-16 12:48 - 00002678 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdaterCore 2016-12-16 12:47 - 2016-12-16 12:47 - 00003506 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater 2016-12-16 12:46 - 2016-12-16 13:44 - 00000488 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job 2016-12-16 12:46 - 2016-12-16 12:46 - 00004444 _____ C:\WINDOWS\System32\Tasks\SecureUpdater 2016-12-16 12:46 - 2016-12-16 12:46 - 00000000 ____D C:\Users\kobis\AppData\Local\UCBrowser 2016-12-16 12:38 - 2016-12-16 12:38 - 7310848 _____ () C:\Users\kobis\AppData\Roaming\agent.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0070704 _____ () C:\Users\kobis\AppData\Roaming\Config.xml 2016-12-16 12:38 - 2016-12-16 12:38 - 0016224 _____ () C:\Users\kobis\AppData\Roaming\InstallationConfiguration.xml 2016-12-16 12:38 - 2016-12-16 12:38 - 0140288 _____ () C:\Users\kobis\AppData\Roaming\Installer.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0018432 _____ () C:\Users\kobis\AppData\Roaming\Main.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0005568 _____ () C:\Users\kobis\AppData\Roaming\md.xml 2016-12-16 12:38 - 2016-12-16 12:38 - 0126464 _____ () C:\Users\kobis\AppData\Roaming\noah.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0190394 _____ () C:\Users\kobis\AppData\Roaming\QvoTrax.bin 2016-12-16 12:39 - 2016-12-16 12:39 - 1938535 _____ () C:\Users\kobis\AppData\Roaming\Rantech.bin 2016-12-16 12:38 - 2016-12-16 12:38 - 0615424 _____ () C:\Users\kobis\AppData\Roaming\StimTop.exe 2016-12-16 12:38 - 2016-12-16 12:38 - 1907214 _____ () C:\Users\kobis\AppData\Roaming\StimTop.tst C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\5\Instrukcja do gry.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\4\Serwer dedykowany.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\3\Benchmark.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\2\Edytor.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\1\Graj w Far Cry® 2 (tryb bezpieczny).lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\0\Graj w Far Cry® 2.lnk C:\Users\kobis\Desktop\FRESH\SUPERHOT.lnk C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk DeleteKey: HKCU\Software\Mozilla\FirefoxDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Mozilla\FirefoxDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\FirefoxDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\kobis\AppData\Local\Mozilla\FirefoxC:\Users\kobis\AppData\Roaming\Mozilla\FirefoxC:\Users\kobis\AppData\Roaming\Profiles CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
kobiszyn Opublikowano 16 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2016 (edytowane) Dziękuję za wskazówki - raport z AdwCleaner u góry Poniżej dołączam logi z FRST -EDIT- Przepraszam za bałagan w poście - do wiadomości dołączam log z AdwCleanera osobno FRST.txt Shortcut.txt Addition.txt AdwCleanerC2.txt Edytowane 16 Grudnia 2016 przez kobiszyn Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się