tomazzo9 Opublikowano 6 Stycznia 2017 Zgłoś Udostępnij Opublikowano 6 Stycznia 2017 (edytowane) WitamZakażony komputer z strony gdzie podany został trefny link z wirusem.po uruchomieniu zarażonej instalki komputer sie zwiesił.O ponownym uruchomieniu nie było mowy i musiałem reperować system boot owy z dysku instalacyjnego Windowsa.Poczynione pełne skanowanie przez avasta, Malwarebytes' Anti-Malware.Niestety nie potrafiły one do końca pozbyć się wszystkiego.Z góry uprzejmie dziękuję z pomoc. EDIT: To jeszcze dodam ten skan z Malwarebytes Anti-Malware scanG.txt FRST.txt Addition.txt Shortcut.txt MBAM-log-2017-01-09 (00-29-00).txt Edytowane 9 Stycznia 2017 przez Rucek Łączę posty. Odnośnik do komentarza
Miszel03 Opublikowano 9 Stycznia 2017 Zgłoś Udostępnij Opublikowano 9 Stycznia 2017 W systemie niewątpliwie widać infekcje, które wydają się łatwe do wyleczenia. Komentując zaś wynik z MBAM to praktycznie nic nie wykryto, jakieś "witaminki" z pamięci podręcznej związane z PUP.Optional.Yontoo. Oprócz oczywistych detekcji, to wygląda mi na infekcje: Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ClWindows Media Centerert.vbs [2017-01-02] () InternetURL: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Center.URL -> URL: file:///C:/Users/Tommy/AppData/Roaming/Climfhkkt.exe Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Centerts.js [2017-01-02] () ponieważ data utworzenia, sama nazwa, możliwość otworzenia pliku w przeglądarce, rozszerzenia oraz występowanie w tym miejscu w raportach wygląda bardzo podejrzanie. Jeśli Ty byś to kojarzył to mi powiedz i nie wykonuj poniższych zadań. 1. Spróbuj uruchomić ten deinstalator: C:\Program Files\easyMule\Uninstall.exe 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKU\S-1-5-21-365035492-1695249228-1794944439-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-365035492-1695249228-1794944439-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 IFEO\addrbook.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brctrcen.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brinstck.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brmfcwnd.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brolink0.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brscutil.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\driverbooster.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\pcfxset.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\unins000.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmnetcfg.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmplayer.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmware.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ClWindows Media Centerert.vbs [2017-01-02] () InternetURL: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Center.URL -> URL: file:///C:/Users/Tommy/AppData/Roaming/Climfhkkt.exe Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Centerts.js [2017-01-02] () GroupPolicy\User: Restriction ? GroupPolicyUsers\S-1-5-21-365035492-1695249228-1794944439-1006\User: Restriction GroupPolicyUsers\S-1-5-21-365035492-1695249228-1794944439-1005\User: Restriction HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2013-04-10] S1 A2DDA; \??\C:\EEK\RUN\a2ddax86.sys [X] S3 cleanhlp; \??\C:\EEK\Run\cleanhlp32.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S3 lvupdtio; \??\C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] Task: {6B40D41A-9031-4040-BADE-7D61D426ABDA} - System32\Tasks\{4BF10F89-DE1C-4FC6-A245-D6398973D473} => pcalua.exe -a "C:\Program Files\easyMule\Uninstall.exe" -d C:\Users\Tommy\AppData\Local\Temp\easymule AlternateDataStreams: C:\ProgramData\Temp:2B11E0DF [236] AlternateDataStreams: C:\ProgramData\Temp:A73B0434 [109] AlternateDataStreams: C:\ProgramData\Temp:CB0AACC9 [124] C:\Users\Tommy\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.coupontime00.coupontime.co_0.localstorage C:\Users\Tommy\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.coupontime00.coupontime.co_0.localstorage-journal EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Wyczyść przeglądarkę FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Przeskanuj system za pomocą programu HitmanPro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
tomazzo9 Opublikowano 10 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2017 oto nowe logi Addition.txt Fixlog.txt FRST.txt Shortcut.txt HP_20170110_2026.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Stycznia 2017 Zgłoś Udostępnij Opublikowano 25 Stycznia 2017 1. Wszystkie detekcje z HitmanPro daj do usuwania. 2. Dostarcz zaległy raport ze skanowanie AdwCleaner i zrób nowe raporty FRST, powiedz mi jeszcze czy udało Ci się przywodzić pkt. 1? Odnośnik do komentarza
tomazzo9 Opublikowano 25 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 25 Stycznia 2017 Niestety nie mogę znaleźć ścieżki z punktu 1. Program HitmanPro nie może usuwać w wersji próbnej, spróbowałem samemu ale tylko zdołałem usunąć pliki z rozszerzeniem exe ze wszystkich dysków. HitmanPro_20170125_2307.txt AdwCleanerS2.txt Addition_25-01-2017 23.01.17.txt FRST_25-01-2017 23.01.17.txt Shortcut_25-01-2017 23.01.17.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Stycznia 2017 Zgłoś Udostępnij Opublikowano 26 Stycznia 2017 Niestety nie mogę znaleźć ścieżki z punktu 1. Program HitmanPro nie może usuwać w wersji próbnej, spróbowałem samemu ale tylko zdołałem usunąć pliki z rozszerzeniem exe ze wszystkich dysków. Podziwiam, za chęć robienia tego ręcznie ( ). W wersji próbnej jest to program tylko do skanowania, ale jak podasz jakiś adres email to masz za darmo 15 dniowy okres próbny - jak go aktywujesz usuń znalezione zagrożenia za pomocą tego właśnie narzędzia. Komentując zaś raport AdwCleaner to wszystkie detekcje daj do usunięcia (używając opcji Oczyść). Po wykonaniu powyższych zadań dostarcz nowe raporty. Odnośnik do komentarza
tomazzo9 Opublikowano 26 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Stycznia 2017 Tylko ze u mnie ten okres 15 dniowy dawno sie skanczyl. To jest komercyjny program AdwCleanerS3.txt HitmanPro_20170126_2211.txt Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Na przyszłość: opcja "Zgłoś" przy każdym poście nie służy do przypominania mi o temacie. To jest opcja, której można użyć tylko i wyłącznie gdy widzisz jakieś zachowania łamiące regulamin forum. Jeśli nie odpowiadam w temacie naprawdę długo to należy do mnie napisać PW lub napisać post w tym temacie: KLIK. 1. Wszystkie następne zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). Dostarcz raport z tego działania.2. Zrób nowy zestaw raportów FRST, by nie pracować na starych logach. Odnośnik do komentarza
tomazzo9 Opublikowano 3 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Przepraszam następnym razem bede pamietal. Oczywiscie juz wszystkie detekcje w adwCleaner wybralem do kasacji. Addition_03-02-2017 21.11.58.txt FRST_03-02-2017 21.11.58.txt Shortcut_03-02-2017 21.11.58.txt AdwCleanerS3.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się