jackob209 Opublikowano 21 Stycznia 2017 Zgłoś Udostępnij Opublikowano 21 Stycznia 2017 (edytowane) Witam, ostatnio zaobserwowałem że mój laptop odmawia posłuszeństwa, domyślam się że wkradło coś się nie dobrego w ten system. Prosze o pomoc i dziekuje. GMER.txt Edytowane 21 Stycznia 2017 przez Rucek Kasuję stare logi. Odnośnik do komentarza
Miszel03 Opublikowano 21 Stycznia 2017 Zgłoś Udostępnij Opublikowano 21 Stycznia 2017 Raporty zostały wygenerowane przy użyciu przestarzałej wersji narzędzia Farbr Recovery Scan Tool (wersja sprzed kilku miesięcy). Wykonaj nowy zestaw raportów przy użyciu najnowszej wersji FRST. Odnośnik do komentarza
jackob209 Opublikowano 22 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2017 Przesyłam poprawne logi GMER.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 22 Stycznia 2017 Zgłoś Udostępnij Opublikowano 22 Stycznia 2017 Nic dziwnego, że system nie wyrabia, przy tak kolosalnym bałaganie. Mnóstwo infekcji adware / PUP. Jest tu co robić. Akcja. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:RemoveDirectory: C:\Program Files (x86)\FishhasHKLM\...\Policies\Explorer: [HideSCAHealth] 1HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\CurrentVersion\Windows: [Run] C:\Users\KubaDamaszk\AppData\Roaming\datasyst\sys.exe HKLM\...\Providers\grjsiaw4: C:\Program Files (x86)\Qazlegakepy Schedule\local64spl.dll [292352 2017-01-18] () C:\Program Files (x86)\Qazlegakepy ScheduleShellExecuteHooks: Brak nazwy - {CE1B435E-DB95-11E6-9921-64006A5CFC23} - -> Brak plikuHKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPTHKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPTHKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPTHKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPTHKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms}HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPTHKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPTSearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms}SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms}R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [583680 2017-01-19] () [brak podpisu cyfrowego] R2 Prijik; C:\Program Files (x86)\Foteingjokiy\Srhcloud.dll [138752 2017-01-18] () [brak podpisu cyfrowego]R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [485376 2017-01-20] () [brak podpisu cyfrowego]S2 ed2kidle; "C:\Program Files (x86)\amuleC2\ed2k.exe" -downloadwhenidle [X]R2 OperaFootballManager; C:\Program Files (x86)\Opera\OperaFootballManager.dll [224256 2017-01-18] () [brak podpisu cyfrowego]R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [124416 2017-01-19] () [brak podpisu cyfrowego]R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [100352 2017-01-19] () [brak podpisu cyfrowego]S4 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [982016 2017-01-18] () [brak podpisu cyfrowego]C:\ProgramData\\CloudPrinterC:\Program Files (x86)\FirefoxC:\Program Files (x86)\GubedC:\Program Files (x86)\OperaC:\Program Files (x86)\FoteingjokiyC:\ProgramData\WinSAPSvcC:\Program Files (x86)\amuleC2S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X]S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]S3 massfilter; system32\drivers\massfilter.sys [X]S3 ZTEusbnet; \SystemRoot\system32\DRIVERS\ZTEusbnet.sys [X]S3 ZTEusbnmea; \SystemRoot\system32\DRIVERS\ZTEusbnmea.sys [X]S3 ZTEusbser6k; \SystemRoot\system32\DRIVERS\ZTEusbser6k.sys [X]2017-01-18 02:12 - 2017-01-18 02:12 - 7316480 _____ () C:\Users\KubaDamaszk\AppData\Roaming\agent.dat2017-01-18 02:12 - 2017-01-18 02:12 - 0054272 _____ () C:\Users\KubaDamaszk\AppData\Roaming\ApplicationHosting.dat2017-01-18 02:12 - 2017-01-18 02:12 - 0070752 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Config.xml2017-01-18 02:11 - 2017-01-18 02:11 - 0016560 _____ () C:\Users\KubaDamaszk\AppData\Roaming\InstallationConfiguration.xml2017-01-18 02:11 - 2017-01-18 02:11 - 0140288 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Installer.dat2017-01-18 02:12 - 2017-01-18 02:11 - 0982016 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Jaytax.exe2017-01-18 02:12 - 2017-01-18 02:12 - 0072787 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Jaytax.tst2017-01-18 02:12 - 2017-01-18 02:12 - 0126464 _____ () C:\Users\KubaDamaszk\AppData\Roaming\lobby.dat2017-01-18 02:12 - 2017-01-18 02:12 - 0018432 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Main.dat2017-01-18 02:12 - 2017-01-18 02:12 - 0005568 _____ () C:\Users\KubaDamaszk\AppData\Roaming\md.xml2017-01-18 02:12 - 2017-01-18 02:12 - 0126464 _____ () C:\Users\KubaDamaszk\AppData\Roaming\noah.dat2017-01-18 02:12 - 2017-01-18 02:12 - 1938531 _____ () C:\Users\KubaDamaszk\AppData\Roaming\OntoStrong.bin2017-01-18 02:12 - 2017-01-18 02:11 - 0982016 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Stringfan.exe2017-01-18 02:12 - 2017-01-18 02:12 - 1907662 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Stringfan.tst2017-01-18 02:12 - 2017-01-18 02:12 - 0032038 _____ () C:\Users\KubaDamaszk\AppData\Roaming\uninstall_temp.icoC:\Users\KubaDamaszk\dzavwkzx.exeC:\Users\KubaDamaszk\oklghvki.exeHKU\S-1-5-21-499711634-606110142-1186871544-1001\...\ChromeHTML: -> C:\Program Files (x86)\Fishhas\Application\chrome.exe (Google Inc.) Task: {EFDCDEFF-4C3B-40ED-B143-C30C81476994} - System32\Tasks\SteamClient => C:\Users\KubaDamaszk\AppData\Roaming\Steam\SteamHelper.exe [2015-10-09] (Valve Corporation) ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPTShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Fishhas\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPTShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3373c9ebc3a5e445\Chromium.lnk -> C:\Program Files (x86)\SuperBird\superbird.exe (The Superbird Authors) -> --profile-directory=DefaultShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPTHKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Classes\regfile: regedit.exe "%1" DeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\KubaDamaszk\AppData\Local\MozillaC:\Users\KubaDamaszk\AppData\Roaming\MozillaC:\Users\KubaDamaszk\AppData\Roaming\ProfilesReg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Themes /sReg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /sReg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE /sReg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /sReg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv /sEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Obecny profil w przeglądarce Google Chrome (ChromeDefaultData) zidentyfikowany jest jako prefabrykowany (wstawiony przez nowoczesne adware) i szkodliwy. Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj nową osobę / profil, zaloguj się na nią > wejdź ponownie do sekcji Osoby i skasuj wszystkie poprzednie osoby / profile. 3. Ustaw przeglądarkę Google Chrome jako domyślną (ze względu na aktywność infekcji podszywającą się pod nią) - KLIK. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). Fishhas Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
jackob209 Opublikowano 22 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2017 proszę FRST.txt Addition.txt Shortcut.txt AdwCleanerS0.txt SearchReg.txt Fixlog.txt Odnośnik do komentarza
jackob209 Opublikowano 26 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Stycznia 2017 Komputer chodzi szybciej choć zachowuje się dziwnie kasuje przeglądarkę, ciężko jakąkolwiek zainstalować.. Nie pozwala na przywracanie systemu.. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się