OverTheCuckoosNest Opublikowano 1 Stycznia 2017 Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 Witam serdecznie po sylwestrowej nocy, problem wypisany w temacie mam od 2 dni, ale jakoś nie miałem głowy wcześniej o tym pisać. Przy starcie windows widnieje error, a właściwie to chyba nie zawsze jest ten sam, choć zawsze chodzi o plik regsvr32. Włączony malwarebytes co minutę-dwie pokazuje komunikat o tym, że coś zablokował i wypisanym źródłem jest właśnie plik regsvr32. Zablokowałem jeszcze ten plik przez firewall(o tym gdzieś wyczytałem, żeby nie było że coś się znam), ale te komunikaty dalej wyskakują. Wszystko to stało się przez moją chwilę głupoty, gdyż zirytowałem się komunikatami o nieoryginalnym systemie co robiło mój ekran czarnym i minimalizowało mi wszystko co użytkowałem. Tak więc ściągnąłem remove wat(widocznie z niefajnego źródła) no i wtedy się zaczeła tzw. impreza, gdyż wszystko latało, migało, włączyło się cmd i tam też literki i jakieś ładowane procenty szalały, finalnie robiąc mi z komputera mieszankę taką jak szampan mieszany z Żołądkową Gorzką wydalony z jamy ustnej w niewyjaśnionych okolicznościach. Czy na to zasłużyłem używając tymczasowo nieoryginalnej wersji? Oczywiście, ale i tak proszę o pomoc, to pierwszy i ostatni raz, obiecuje. Adwcleaner na początku wyczyścił około 40 zagrożeń, potem użyłem jeszcze Malwarebytes i po przeskanowaniu i restarcie komputera z tym związanym, było dalej zamieszanie. Do tego uszkodziło mi się ponowne użycie Adwcleaner, gdyż wyskakuje błąd. Pamiętam jeszcze uruchamiałem cmd i wpisywałem tam sfc /scannow, nie wiem o co chodzi gdzieś to wyczytałem. Ważne jest, że po tym wszystkim bylo tam napisane, że odnaleziono problemy aczkolwiek niektórych nie dało się naprawić. A i jeszcze wyczytałem, że za tym regsvr kryje się jakaś poważna luka będąca bramką dla cyberprzestępców, napisali tam że jedyne co da się zrobić to zablokować to w firewallu, to prawda że nic innego się nie da zrobić? Jeszcze malwarebytes jak skanowałem po raz kolejny znow wykrył jakies zagrożenia, tym razem Trojan.Boaxxe, to w ogóle da się ogarnąć czy jestem zmuszony robić format? Aaa przypomniało mi się, jeszcze z google przekierowuje mnie do wyszukiwarki cse.google. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
Miszel03 Opublikowano 1 Stycznia 2017 Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 System jest zainfekowany infekcją automatycznie uruchamiającą się na starcie systemu (i to jest chyba powiązane z aktywatorem Windows), ponad to system boryka się z problem ataku nowoczesnego adware (wariant Adware.Elex) m.in modyfikującego usługę Themes dodając niedomyślne ustawienie DependOnService (i to przypuszczalnie wykryło narzędzie SFC), przez które nie działa Ci w ogóle usługa kompozycji Aero. Gdyby tego było mało to przeglądarka Google Chrome jest zarażona prefabrykowanym profilem adware, więc nic dziwnego, że występują przekierowywania. Odnosząc się do pytania o format to uważam, że jest on całkowicie zbędny, bo z aktualną wiedzą jestem w stanie to wszystko wyleczyć. Zaczynamy. 1. Otwórz Notatnik w nim wklej:CloseProcesses:CreateRestorePoint:Winlogon\Notify\tukiloz-x32: C:\Users\Scrop\AppData\Local\tukiloz.dll [X]HKU\S-1-5-21-2482533737-4085879092-1565963746-1000\...\Run: [YPRPack] => regsvr32.exe C:\Users\Scrop\AppData\Local\YPRPack\zxqtilzk.dll HKU\S-1-5-18\...\Run: [] => 0HKLM\...\Providers\tvuf9a0e: C:\Program Files (x86)\Curoydrerguse Log\local64spl.dll [292352 2016-12-30] ()C:\Program Files (x86)\Curoydrerguse LogShellExecuteHooks: Brak nazwy - {9C8A04D0-CAA5-11E6-96ED-64006A5CFC23} - -> Brak plikuR3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [820224 2016-12-31] () [brak podpisu cyfrowego] S2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [X]S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X]S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]Task: {DFEEDDCE-338E-4D17-842C-96F1D9BB434E} - System32\Tasks\8n48o5q70422 => Rundll32.exe "C:\ProgramData\8n48o5q70422\8n48o5q70422.dll",noqlaf ShortcutWithArgument: C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultDataDeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\Scrop\AppData\Local\MozillaC:\Users\Scrop\AppData\Roaming\MozillaC:\Users\Scrop\AppData\Roaming\ProfilesReg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /sEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Obecny profil przeglądarki Google Chrome jest prefabrykowany i wstawiony przez adware. Należy go całkowicie skasować i założyć nowy. Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Po utworzeniu nowego profilu / osoby, zaloguj się na niego > ponownie przechodzisz to karty Ustawień, następnie do Osoby i usuwasz wszystkie poprzednie osoby. 3. Ze względu na uszkodzony AdwCleaner pobierz nowy (KLIK) i zrób raport wykrytych zagrożeń z opcji Szukaj. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Przypuszczalnie narzędzie naprawy Windows znalazło uszkodzenie właśnie w usłudze Themes. Przypuszczalnie narzędzie naprawy Windows znalazło uszkodzenie właśnie w usłudze Themes. Odnośnik do komentarza
OverTheCuckoosNest Opublikowano 1 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 Zrobiłem to co trzeba jeśli chodzi o fixlist, aczkolwiek gdy uruchamiam adwcleaner i skanuje to jest ten sam error, a mianowicie "sqlite3.dll is corrupted". Dodaje plik z fixlog może to coś Ci wyjaśni. Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 1 Stycznia 2017 Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 Nawet po reinstalacji występuję ten błąd? Na pasku AdwCleaner wybierz Plik następnej z rozwiniętego Menu kliknij w Odinstaluj i dopiero po tym działaniu pobierz AdwCleaner z podaj strony i przeprowadź pkt. 3. Odnośnik do komentarza
OverTheCuckoosNest Opublikowano 1 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 Nie wiedziałem, że to trzeba odinstalować, Twoja rada pomogła. Dodaje logi z adwcleaner. AdwCleanerS0.txt Odnośnik do komentarza
OverTheCuckoosNest Opublikowano 1 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 Dobra dalej przy uruchamianiu windowsa wyskakuje jakiś błąd, zrobiłem ponownie logi tak jak prosiłeś. AdwCleanerC0.txt Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 1 Stycznia 2017 Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 Prosiłem tylko o raport z opcji Szukaj, a nie z opcji Szukaj i Oczyść. AdwCleaner to dobre narzędzie, ale trzeba z nim uważać. Niech już będzie. 1. Nie skasowałeś poniższego profilu, więc zrób to. C:\Users\Scrop\AppData\Local\Google\Chrome\User Data\ChromeDefaultData 2. Wykonaj pełne skanowanie programem Malwarebytes (masz zainstalowany) i dostarcz napisz co wykrył, niczego nie usuwając. Odnośnik do komentarza
OverTheCuckoosNest Opublikowano 1 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 Dobra zrobiłem skan tym programem i pojawiło się kilka zagrożeń, dołączam dokument tekstowy o ile dobrze to zrobiłem. Do tego jeszcze wypisze co jest wykryte i jest opcja "poddaj wybrane kwarantannie" mam to zrobić? pup.optonial.onlineIO folder c:programdata\microleaves\traffic exchange trojan.boaxxe c:programfiles\removewat2.2.7\windows_activation.exe pup.optional.spyhunter c:users\scrop\downloads\shremover.exe HackTool.WindowsActivation c:users\scrop\downloads\win7activator v2.2.2 + WAT FIX.zip malwarloginowe.txt Odnośnik do komentarza
Miszel03 Opublikowano 1 Stycznia 2017 Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 Do kasacji: PUP.Optional.OnlineIO, C:\PROGRAMDATA\Microleaves\Traffic Exchange, Brak akcji, [694], [335288],1.0.903 PUP.Optional.SpyHunter, C:\USERS\SCROP\DOWNLOADS\SH-REMOVER.EXE, Brak akcji, [1669], [331753],1.0.903 Z tym zrobisz co chcesz, bo chyba wiesz do czego to jest. Trojan.Boaxxe, C:\PROGRAM FILES (X86)\REMOVEWAT 2.2.7\WINDOWS_ACTIVATON.EXE, Brak akcji, [80], [357022],1.0.903 HackTool.WindowsActivation, C:\USERS\SCROP\DOWNLOADS\WIN7 ACTIVATOR V2.2.2 + WAT FIX.ZIP, Brak akcji, [11906], [153298],1.0.903 Podsumuj obecną sytuację. Odnośnik do komentarza
OverTheCuckoosNest Opublikowano 1 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 Usunąłem wszystkie zaistniałe problemy, aczkolwiek po ponownym uruchomieniu systemu nadal wyskakuje jakiś error. EDIT: Oczywiście bardzo dziękuje za dotychczasową pomoc i bardzo sie to przydało, komputer od razu lepiej funkcjonuje i nie mam tego przekorowania na google. Odnośnik do komentarza
Miszel03 Opublikowano 2 Stycznia 2017 Zgłoś Udostępnij Opublikowano 2 Stycznia 2017 EDIT: Oczywiście bardzo dziękuje za dotychczasową pomoc i bardzo sie to przydało, komputer od razu lepiej funkcjonuje i nie mam tego przekorowania na google. To najważniejsze, bo to moje główne zadanie, aby w tym dziale rozwiązywać problemy infekcyjne. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe, a teraz już niepotrzebne) - KLIK. Możesz już również skasować punkty przywracania systemu, aby w przeszłości nie odtworzyć kopi ze szkodnikiem - KLIK. Teraz pozostało wyjaśnić Ci nieszczęsny error, więc tak: Ukmedia ma związek z aktywatorem Windows, a ja kompletnie nie wiem jak Ty kombinowałeś z tym aktywatorem, co robiłeś / usuwałeś, więc nie jestem w sanie Ci w tym pomóc. Odnośnik do komentarza
OverTheCuckoosNest Opublikowano 3 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 3 Stycznia 2017 Już wszystko zrobiłem co radziłeś, dziękuje za pomoc(udaną), a temat można zamknąć. Miłego dnia . Odnośnik do komentarza
Miszel03 Opublikowano 3 Stycznia 2017 Zgłoś Udostępnij Opublikowano 3 Stycznia 2017 OK. Odnośnik do komentarza
OverTheCuckoosNest Opublikowano 8 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2017 Odświeżam temat jako iż znowu są problemy. Zaczęła mi wyskakiwać zamiast google inna przeglądarka (tym razem amisites czy coś), więc zrobiłem skan malwarebytes. Ku mojemu zaskoczeniu było prawie 4 tysięcy zagrożeń, a ostatnio nic nie ściągałem, nie kombinowałem z aktywatorem windows ani nic z tych rzeczy, więc nie rozumiem o co chodzi. malwar8.txt Shortcut.txt FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 8 Stycznia 2017 Zgłoś Udostępnij Opublikowano 8 Stycznia 2017 Malwarebytes posprzątał już większość, natomiast nadal siedzi podszywka przeglądarki Google Chrome. Ku mojemu zaskoczeniu było prawie 4 tysięcy zagrożeń, a ostatnio nic nie ściągałem, nie kombinowałem z aktywatorem windows ani nic z tych rzeczy, więc nie rozumiem o co chodzi. Liczbą w ogóle się nie przejmuj, bo MBAM znajdując folder infekcji liczy każdy plik z niej jako infekcja to pomyśl co by było gdy są np. zarażone ciasteczka. A jeśli chodzi o sposób zakażenia to ktoś coś musiał zrobić (choćby pobrać coś z dobrych programów). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: S2 Reopithejatain; C:\Program Files (x86)\Rotsychwopy\Atunoentrpr.dll [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] RemoveDirectory: C:\Program Files (x86)\Coldone HKU\S-1-5-21-2482533737-4085879092-1565963746-1000\...\ChromeHTML: -> "C:\Program Files (x86)\Coldone\Application\chrome.exe" "%1" C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustaw przeglądarkę Google Chrome jako domyślną 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). coldone Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
OverTheCuckoosNest Opublikowano 10 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2017 Zrobiłem wszystko i teraz znów mam dziwny wygląd folderów i tak dalej, jakbym miał jakiś windows98 czy coś, a nie windows 7. Wiem, że to pewnie przez to że kliknąłem 'oczyść' w adwcleanerze, a chciałeś sam raport, myślami byłem gdzie indziej i kliknąłem, potem dopiero pomyślałem, przepraszam za to. Shortcut.txt SearchReg.txt FRST.txt Fixlog.txt Addition.txt AdwCleanerC0.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się