damianp Opublikowano 11 Lutego 2017 Zgłoś Udostępnij Opublikowano 11 Lutego 2017 Witam, przy każdy starcie systemu automatycznie włącza się Chrome mimo, że jest ustawiony aby się nie wyłączał. Jak wyłączę i włączę chrome pokazuje się komunikat z tym adresem "C:\Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" - nie działą tez przycisk na karcie chrome z aplikacjami - klikam i nic się nie dzieje, tak samo jak w ikonkę z kontem. Jakiś czas temu przez przypadek kliknąłem w jakieś okno z wirusem i jest syf, proszę pomóżcie! Odnośnik do komentarza
Rucek Opublikowano 12 Lutego 2017 Zgłoś Udostępnij Opublikowano 12 Lutego 2017 Zapoznaj się proszę z zasadami działu:1. https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/2. https://www.fixitpc.pl/forum-38/announcement-2-wa%C5%BCne-oprogramowanie-emuluj%C4%85ce-nap%C4%99dy/3. https://www.fixitpc.pl/forum-38/announcement-1-wa%C5%BCne-u%C5%BCytkownicy-uprawnieni-do-pomocy/Przeczytaj wszystko przed wykonaniem działań by było wiadomo co robić.Postępując zgodnie z powyższymi instrukcjami - edytuj post i dołącz wymagane logi do tematu w postaci załączników ".txt".Jeśli nie ma możliwości dodania załączników .txt - wklej logi tutaj: wklej.orgProgramy FRST i GMER - zapisz na pulpicie, na pulpicie pojawią się też wtedy wyniki skanowania FRST.Łącznie mają być 4 logi: FRST [FRST.txt, Addition.txt, Shortcut.txt], oraz GMER [tworzysz plik GMER.txt i wklejasz do niego wynik skanowania].Jak coś nie będzie chciało się uruchomić - to odpal system w trybie awaryjnym i wtedy spróbuj zrobić logi.Jeśli z czymś będzie problem - pisz w poście.Po wrzuceniu logów nie dokonuj już żadnych zmian na kompie - by logi były aktualne.Jak coś zmieniasz/dodajesz w temacie - to używaj opcji "edytuj" by był porządek.Czekaj cierpliwie na pomoc (są opóźnienia) - a potem dokładnie czytaj instrukcje - by nie marnować czasu osoby, która będzie udzielała Ci pomocy. Odnośnik do komentarza
damianp Opublikowano 21 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2017 Cześć, przesyłam moje pliki txt i co teraz bo kompletnie nie wiem co zrobić ?! Addition.txt FRST.txt Shortcut.txt GMERr.txt Odnośnik do komentarza
Rucek Opublikowano 21 Lutego 2017 Zgłoś Udostępnij Opublikowano 21 Lutego 2017 Teraz cierpliwie czekaj na pomoc. Odnośnik do komentarza
Miszel03 Opublikowano 21 Lutego 2017 Zgłoś Udostępnij Opublikowano 21 Lutego 2017 W systemie kolosalny bałagan, masa infekcji. Siedzą dosłownie na sobie. Nowoczesne adware Elex, fałszywa przeglądarka Mozilla FireFox i wiele, wiele innych. Zapomniałbym: na routerze są ustawione rosyjskie adresy. Traktuje to jako modyfikacje infekcyjną i daję to do korekty. Jeśli to jest ustawienie celowo to pomiń pkt. 1, a ze skryptu z pkt. 2 usuń linjkę CMD: ipconfig /flushdns.Mam ogromną prośbę: gdybyś mógł przypomnieć sobie skąd ostatnio coś pobierałeś itp. To ważne, bo jeśli jest to serwis, o którym myślę to ostro przeginają i zrobię im aferę na tym ich forum.1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony wykonaj poniższe działania.2. Przez panel sterowania odinstaluj: Adware / PUP: amuleC, Body Text Feathering, cleaner 1.0.1, Update for PriceFountain, WinSnare. Zbędniki: Akamai NetSession Interface. 3. Otwórz Notatnik w nim wklej:CloseProcesses:CreateRestorePoint:HKU\S-1-5-21-642869367-1592473142-3323770084-1000\...\ChromeHTML: -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\CupfaceTask: {611061C1-8DF3-433D-982C-092391135454} - System32\Tasks\Microsoft\Windows\Multimedia\MailruSetup => C:\Users\oem\AppData\Local\MailruSetup\MailruSetup.exe [2016-10-21] () WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\6dc87d5b8be063a4\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\361178be4aa3110f\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultDataShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/FirewallRules: [{7E8C8C42-4906-4316-BC82-143C231CEECE}] => (Allow) C:\Program Files (x86)\Cupface\Application\chrome.exeFirewallRules: [{1A8DF41A-B61C-434F-A328-9A27E08AC912}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exeFirewallRules: [{B40BDFA0-A664-4803-AC8A-E44700CA8573}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exeRemoveDirectory: C:\Program Files (x86)\FirefoxHKLM\...\Providers\vh9ggz5t: C:\Program Files (x86)\Clokisevuboly Reports\local64spl.dll [290816 2017-01-20] ()C:\Program Files (x86)\Clokisevuboly ReportsShellExecuteHooks: Brak nazwy - {7BCBF2F8-9E93-11E6-BA23-64006A5CFC23} - -> Brak plikuShellExecuteHooks: Brak nazwy - {D6A4F024-A5A8-11E6-9A93-64006A5CFC23} - -> Brak plikuShellExecuteHooks: Brak nazwy - {5EBD559E-A5BA-11E6-B9FD-64006A5CFC23} - -> Brak plikuShellExecuteHooks: Brak nazwy - {FFC5BCD0-A5C1-11E6-B87D-64006A5CFC23} - -> Brak plikuShellExecuteHooks: Brak nazwy - {73538FB6-AB7F-11E6-9B77-64006A5CFC23} - -> Brak plikuShellExecuteHooks: Brak nazwy - {C37C42DA-DC66-11E6-A37E-64006A5CFC23} - -> Brak plikuShellExecuteHooks: Brak nazwy - {0AAE96C8-DE2A-11E6-9E44-64006A5CFC35} - -> Brak plikuShellExecuteHooks: Brak nazwy - {036CBE24-DE3B-11E6-95A0-64006A5CFC23} - -> Brak plikuShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak plikuGroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-642869367-1592473142-3323770084-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ShellExecuteHooks: Brak nazwy - {58B532E2-DE3B-11E6-8BCE-64006A5CFC23} - -> Brak plikuHKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-642869367-1592473142-3323770084-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}SearchScopes: HKU\S-1-5-21-642869367-1592473142-3323770084-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}SearchScopes: HKU\S-1-5-21-642869367-1592473142-3323770084-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = CHR HomePage: Default -> hxxp://www.startpageing123.com/?type=hp&ts=1487675442&z=8b662479ca4e8ce41d2527egfzbbcm6q6mfwdz3z1q&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525CHR StartupUrls: Default -> "hxxp://www.startpageing123.com/?type=hp&ts=1487675442&z=8b662479ca4e8ce41d2527egfzbbcm6q6mfwdz3z1q&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525" CHR DefaultSearchURL: Default -> hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}CHR DefaultSearchKeyword: Default -> startpageing123R2 bilibili; C:\Program Files (x86)\bilibili\bilibili.dll [122880 2017-02-14] () [brak podpisu cyfrowego]R2 cepyzuri; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns226E.tmp [474624 2017-02-21] () [brak podpisu cyfrowego]R2 Convxxxx; C:\Users\oem\AppData\Roaming\cgjcg\UvConverter.exe [376832 2017-02-06] () [brak podpisu cyfrowego]R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [162992 2017-02-17] ()R2 mevucezu; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns8CB9.tmp [427520 2017-02-21] () [brak podpisu cyfrowego]R2 sobubigo; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns7A9D.tmp [429056 2017-02-16] () [brak podpisu cyfrowego]R2 venolici; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns5B5D.tmp [432640 2017-02-12] () [brak podpisu cyfrowego]R2 vomiqyqy; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns7E86.tmp [421376 2017-02-19] () [brak podpisu cyfrowego]R2 vunupehe; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns3CFF.tmp [386048 2017-02-17] () [brak podpisu cyfrowego]R2 WinSAPSvc; C:\Users\oem\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-21] (TODO: ) [brak podpisu cyfrowego]R2 zigipyro; C:\Users\oem\AppData\Local\1ED023C0-1487680745-11DD-BB38-10BF48B8C1EB\qnshC38F.tmp [158720 2015-12-26] () [brak podpisu cyfrowego]S2 dykewulo; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns9D01.tmp [X]R2 gemeloki; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\prote927aa13-8b59-4155-bcc8-b9f29f322c0b.tmpfs [X]S2 MOJEMOJE; "E:\MOJE\MOJEMOJE.exe" 388837891c4f496ea6203a5f71b2a421 [X]S2 RóżneDokumenty; "E:\Dokumenty\RóżneDokumenty.exe" affe6dc7e5264e7e8e5695737342bee0 [X]S2 RóżneFotolia; "D:\Różne\RóżneFotolia.exe" 3e19779b2974487e881c2174c0562504 [X]S2 serverss; C:\Windows\Temp\5CD5.tmp [X]U0 aswVmm; Brak ImagePathS3 catchme; \??\C:\ComboFix\catchme.sys [X]S1 ESProtectionDriver; \??\C:\Windows\system32\drivers\mbae64.sys [X]S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X]S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X]S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X]S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]U3 uxldapod; \??\C:\Users\oem\AppData\Local\Temp\uxldapod.sys [X] C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Encore CS6.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Extension Manager CS6.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Prelude CS6.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe SpeedGrade CS6.lnkReg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /fReg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /fCMD: ipconfig /flushdnsCMD: dir /a "C:\Program Files"CMD: dir /a "C:\Program Files (x86)"CMD: dir /a "C:\Program Files\Common Files\System"CMD: dir /a "C:\Program Files (x86)\Common Files\System"CMD: dir /a C:\ProgramDataCMD: dir /a C:\Users\oem\AppData\LocalCMD: dir /a C:\Users\oem\AppData\LocalLowCMD: dir /a C:\Users\oem\AppData\RoamingHosts:EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj bloker reklam o podlozu nieinfekcyjnym, do tego celu polecam rozszerzenie do przeglądarki uBlock Origin. Ustaw przeglądarkę Google Chrome jako domyślną, bądź jakąkolwiek inną. To musi zostać zrobione, by cofnąć modyfikację infekcji. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). cupface Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
damianp Opublikowano 21 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2017 Zrobiłem print z DNS czy dobrze bo ja nie mam routera tylko przenośny z PLAY i w opcjach PLAY nie znalazłem nigdzie DNS - załącznik Zrobiłem te skanowanie z Orange ale ja nie wiem czy to działa u mnie na PLAY - nie znam się na tym akurat ale było napisane, że wszystko jest zabezpieczone - załącznik Czy wszystko jest dobrze i mogę zaczynać pkt 2 i resztę ? Odnośnik do komentarza
damianp Opublikowano 21 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2017 Przesyłam SearchReg i AdwCleaner i pkt 7..co teraz ? Mam ogromną prośbę: gdybyś mógł przypomnieć sobie skąd ostatnio coś pobierałeś itp. To ważne, bo jeśli jest to serwis, o którym myślę to ostro przeginają i zrobię im aferę na tym ich forum. Wiesz co, ciężko powiedzieć, ta cała infekcja jest od około 2 miesięcy, może Ciebie by nakierowało okno, które mi bardzo często wyskakiwało i od tego okna się wszystko zaczęło - przypadkowo kliknąłem "tak" i się zaczęło piekło... SearchReg.txt AdwCleanerC17.txt Addition1.txt FRST1.txt Shortcut1.txt Odnośnik do komentarza
Miszel03 Opublikowano 22 Lutego 2017 Zgłoś Udostępnij Opublikowano 22 Lutego 2017 Sprawa z routerem pomyślnie wykonana. Powiedz mi teraz precyzyjne, które punkty wykonałeś i w jakiej kolejności. Odnośnik do komentarza
damianp Opublikowano 22 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2017 Wykonałem wszystkie po kolei. Komputer działa już zupełnie inaczej, nic nie wyskakuje ale Chrome (tylko z tej przeglądarki korzystam) włącza się od razu po włączeniu komputera. Wydaje mi się, że wszystko jest w porządku... a coś jeszcze muszę zrobić?? Odnośnik do komentarza
Miszel03 Opublikowano 23 Lutego 2017 Zgłoś Udostępnij Opublikowano 23 Lutego 2017 OK, dostarcz jeszcze tylko zaległy raport wynikowy (plik Fixlog). Odnośnik do komentarza
damianp Opublikowano 23 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2017 Okej, proszę bardzo dajcie znać czy coś jeszcze trzeba wyczyścić. Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 23 Lutego 2017 Zgłoś Udostępnij Opublikowano 23 Lutego 2017 Wcześniej prosiłem tylko o skan za pomocą AdwCleaner, ale niech już będzie. W cale nie jest kolorowo. Infekcje nie dają za wygraną, ale z Twojej strony może to tak wyglądać, bo te najgorsze już uległy. W skypcie popatrz na folder i sprawdź czy, któregoś z nich nie kojarzysz, bo usuwam je na czuja (wydaję mi się, że są od infekcji). P.S: Przepraszam za zamieszanie spowodowane infekcją router'a - źle zinterpretowałem dane. Infekcja była z poziomu systemu, a nie z poziomu routera. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CupfacescDeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\CupfaceC:\Program Files\LXI4ITSVJCC:\Program Files\R24ILDVVAVC:\Program Files\vh9ggz5tC:\Program Files (x86)\0ddhdwimC:\Program Files (x86)\0ktpwyfgC:\Program Files (x86)\1jaz2inhC:\Program Files (x86)\1s2nd0fnC:\Program Files (x86)\2g9h28f1C:\Program Files (x86)\2u43cjukC:\Program Files (x86)\32k33cdfC:\Program Files (x86)\3ylghbrcC:\Program Files (x86)\6qh3dz1yC:\Program Files (x86)\7n6le65tC:\Program Files (x86)\8xe0v5k4C:\Program Files (x86)\a5a217b2-40da-4d70-ae27-166efeb42edcC:\Program Files (x86)\b86pvy7zC:\Program Files (x86)\bilibiliC:\Program Files (x86)\bsq97ozkC:\Program Files (x86)\f09er35sC:\Program Files (x86)\fzelt79jC:\Program Files (x86)\ig4me4xoC:\Program Files (x86)\hzgzy8maC:\Program Files (x86)\ig4me4xoC:\Program Files (x86)\k5n4hznuC:\Program Files (x86)\l7c9u1a7C:\Program Files (x86)\mu2h48zpC:\Program Files (x86)\n91hhz4cC:\Program Files (x86)\o0asda6aC:\Program Files (x86)\ro7ts729C:\Program Files (x86)\ttv2723fC:\Program Files (x86)\w6tmhbqpC:\Program Files (x86)\wfnkb0ymC:\Program Files (x86)\yb6mr4y7C:\Program Files (x86)\ypimrgzvC:\ProgramData\fjcfiC:\ProgramData\icfibC:\ProgramData\ttffC:\Users\oem\AppData\Local\CupfaceC:\Users\oem\AppData\Local\FirefoxC:\Users\oem\AppData\Local\STvYAyZaPhLEC:\Users\oem\AppData\Local\t5Za44SPXuUC:\Users\oem\AppData\Roaming\cgjcgC:\Users\oem\AppData\Roaming\FirefoxHKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}CHR HomePage: Default -> hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525CHR StartupUrls: Default -> "hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525"R2 WinSAPSvc; C:\Users\oem\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-21] (TODO: ) [brak podpisu cyfrowego]R2 WinSnare; C:\Users\oem\AppData\Roaming\WinSnare\WinSnare.dll [779264 2017-02-21] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]C:\Users\oem\AppData\Roaming\WinSAPSvcC:\Users\oem\AppData\Roaming\WinSnareS2 cosymiju; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns8FE4.tmp [X]2017-02-17 21:09 - 2017-02-17 21:09 - 00000000 ____D C:\Program Files (x86)\cvbs52017-02-16 21:19 - 2017-02-16 21:19 - 00000000 ____D C:\Program Files (x86)\cvbs42017-02-16 19:22 - 2017-02-16 19:22 - 00000000 ____D C:\Program Files (x86)\cvbs32017-02-15 22:29 - 2017-02-15 22:29 - 00000000 ____D C:\Program Files (x86)\cvbs22017-02-15 18:29 - 2017-02-15 18:29 - 00000000 ____D C:\Program Files (x86)\cvbs12017-02-14 20:02 - 2017-02-14 20:02 - 00000000 ____D C:\Program Files (x86)\cvbs0Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\cleaner /fReg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WinSnare /fTask: {FA24D42F-9E9E-4750-9669-5B12EA206311} - System32\Tasks\{34C6FF04-D56D-424A-91FF-86C543223A98} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe"CMD: netsh firewall reset CMD: netsh advfirewall resetAlternateDataStreams: C:\Users\oem\AppData\Local\t5Za44SPXuU:u2oHFVRSt9MlOE5rtI [2112]AlternateDataStreams: C:\Users\oem\AppData\Local\Temp:gAMrn0yNFZcT0bH1q8Rs [2186]AlternateDataStreams: C:\Users\oem\AppData\Local\Temporary Internet Files:6CSt1ff303hKokiclHJu887 [1980]AlternateDataStreams: C:\Users\oem\AppData\Local\Temporary Internet Files:qgBULsA1egaVbVkOFw1MRqWIHn [2448]MSCONFIG\startupreg: cleaner => C:\Users\oem\AppData\Roaming\UPUpdata\cleaner.exeDeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\oem\AppData\Local\MozillaC:\Users\oem\AppData\Roaming\MozillaC:\Users\oem\AppData\Roaming\ProfilesEmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Użyj raz jeszcze AdwCleanera, teraz już możesz podejść do dezynfekcji od razu. 3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
damianp Opublikowano 23 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2017 Podsyłam pliki tekstowe ale z MalewareBytes AntiMaleware ma 5 mega, nie wejdzie mi tutaj - gdzie podesłać ? Addition.txt AdwCleanerC18.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 24 Lutego 2017 Zgłoś Udostępnij Opublikowano 24 Lutego 2017 Przekopiuj jego zawartość na serwis wklejkowy wklej.org i dostarcz link do wklejki. Odnośnik do komentarza
damianp Opublikowano 24 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2017 Pierwszy raz się spotykam jak wyszukiwarka zacina się przy wklejaniu tekstu - błąd 502. Wrzuciłem an wetransfer.com, podaje link: https://wetransfer.com/downloads/70d1007d72d81eb3531d1e903c9e22f120170224211143/f3ac90a34b93a1cbc9eade1f1067110c20170224211143/fd854c W dalszym ciągu ściąga mi fałszywą Mozillę, bo ja tego nie instaluję i Chrom sam się uruchamia przy starcie systemu. W tym programie wykryło zagrożeń około 40 tysięcy - ja nie wiem czy to prawda czy fake bo ściągnąłem program pełny ale nie dla komercyjnych spraw i nie wiem czy to rzetelnie nalicza błędy czy nalicza za dużo aby skusić do kupna oryginału. Nie lubię mieć triali czy programów dla własnego użytku czy już nie wspomnę o piratach, ja zajmuje się grafiką i mam swoje pakiety adobe oryginały i ten program trochę mnie denerwuje jak co chwile wyskakuje mi, czy nie chciałbym ulepszyć do pełnej wersji... Odnośnik do komentarza
Conor29134 Opublikowano 24 Lutego 2017 Zgłoś Udostępnij Opublikowano 24 Lutego 2017 i ten program trochę mnie denerwuje jak co chwile wyskakuje mi, czy nie chciałbym ulepszyć do pełnej wersji... Malwarebytes jest w 100% legit wykrycia też są poprawne ten malware elex jest zasysany przez Ghokswa. Liczba wykryć też jest normalna. Odnośnik do komentarza
damianp Opublikowano 24 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2017 Malwarebytes jest w 100% legit wykrycia też są poprawne ten malware elex jest zasysany przez Ghokswa. Liczba wykryć też jest normalna. Skoro tak mówisz to Ci wierzę Czyli Malewarebytes Free też jest dobrym rozwiązaniem na infekcje? czy dopiero Premium potrafi dokładniej chronić ? Odnośnik do komentarza
Conor29134 Opublikowano 24 Lutego 2017 Zgłoś Udostępnij Opublikowano 24 Lutego 2017 Skoro tak mówisz to Ci wierzę Czyli Malewarebytes Free też jest dobrym rozwiązaniem na infekcje? czy dopiero Premium potrafi dokładniej chronić ? Za free działa jako skaner na żądanie. Wersja Pro ma ochronę w czasie rzeczywistym. W skrócie: Pro chroni przed zainfekowaniem a Free pomaga w usunięciu syfu który już znajduje się na komputerze(niekoniecznie aktywnego). Odnośnik do komentarza
damianp Opublikowano 26 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2017 Michel03 - i jak, coś jeszcze mam zrobić? Odnośnik do komentarza
Miszel03 Opublikowano 5 Marca 2017 Zgłoś Udostępnij Opublikowano 5 Marca 2017 Zrób nowy zestaw raportów FRST. Odnośnik do komentarza
damianp Opublikowano 5 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2017 Okej, przesyłam. Wcześniej Malewarem nic nie usuwałem tj pisaliście. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 7 Marca 2017 Zgłoś Udostępnij Opublikowano 7 Marca 2017 Wcześniej Malewarem nic nie usuwałem tj pisaliście. OK. Jak myślałem, adware wróciło po tym ja za pierwszym razem prawie wyczyściłem Ci system. Wróciło, bo pominąłem kilka elementów. Teraz prędziutko je dobijemy i uporamy się z problemem. 1. Przez panel sterowania odinstaluj adware / PUP: amuleC BikaQ Rss cleaner 1.0.1 WinSnare 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-642869367-1592473142-3323770084-1000\...\ChromeHTML: -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Birdjob RemoveDirectory: C:\Users\oem\AppData\Local\Birdjob Task: {5595ADF0-07B1-490D-B9BD-A40B98F660FB} - System32\Tasks\Zuzach Engine => C:\Program Files (x86)\Aterishwerwi\tizoch.exe [2017-01-20] (Glarysoft Ltd) Task: {57539305-5284-4E18-AE79-764D662001BF} - System32\Tasks\Gipareedese Reports => C:\Program Files (x86)\Jerqetainrutodom\prerjght.exe [2017-01-22] (Glarysoft Ltd) Task: {6BAF7544-DC5A-4A76-AE29-A87B3023C133} - System32\Tasks\Stkersethafige Verfier => C:\Program Files (x86)\Pharudom\cokaward.exe [2017-01-22] (Glarysoft Ltd) Task: {9C8E0227-701C-4A75-8088-67DBD297D4F4} - System32\Tasks\Clokisevuboly Reports => C:\Program Files (x86)\Momicultckerticult\nobent.exe [2017-01-20] (Glarysoft Ltd) ShortcutWithArgument: C:\Users\oem\Documents\Favorites\Desktop\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Local\Google\Chrome\User Data\Default\Web Applications\_crx_hmjkmjkepdijhoojdojkdfohbdgmmhki\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=hmjkmjkepdijhoojdojkdfohbdgmmhki ShortcutWithArgument: C:\Users\oem\AppData\Local\Birdjob\User Data\Default\Web Applications\_crx_hmjkmjkepdijhoojdojkdfohbdgmmhki\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=hmjkmjkepdijhoojdojkdfohbdgmmhki ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\6dc87d5b8be063a4\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\361178be4aa3110f\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\oem\AppData\Roaming\Firefox RemoveDirectory: C:\Users\oem\AppData\Local\Firefox FirewallRules: [TCP Query User{EBFD28C5-1D1C-4181-BDE5-60F2C369CB8B}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe FirewallRules: [uDP Query User{CC27FC5B-16C6-4166-A170-C2C4709D2E0E}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe FirewallRules: [TCP Query User{3D4D3835-D575-40B7-A95A-32ADD2CF2204}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe FirewallRules: [uDP Query User{20ABD473-AF06-48AA-99C2-38E9D6FB62F5}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe FirewallRules: [{EDC7CBEC-5940-4ED4-9177-6D1ADBB1311F}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{949AE83D-CB21-45CA-9379-449D4E2948F8}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 CHR HomePage: Default -> hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 CHR DefaultSearchURL: Default -> hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} CHR DefaultSearchKeyword: Default -> startpageing123 R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [167600 2017-02-24] () R2 WinSAPSvc; C:\Users\oem\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-03-03] (TODO: ) [brak podpisu cyfrowego] C:\Users\oem\AppData\Roaming\WinSAPSvc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Illustrator CS6 (64 Bit).lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\oem\AppData\Local\Mozilla C:\Users\oem\AppData\Roaming\Mozilla C:\Users\oem\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\oem\AppData\Local CMD: dir /a C:\Users\oem\AppData\LocalLow CMD: dir /a C:\Users\oem\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw przeglądarkę Google Chrome jako domyślną, bądź jakąkolwiek inną. To musi zostać zrobione, by cofnąć modyfikację infekcji. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się zastosuj opcję Oczyść. Dostarcz raport z tego działania. 5. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to wszystko daj do usuwania. Dostarcz raport z przeprowadzenia tego działania. 6. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). birdjob Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. 6. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się Odnośnik do komentarza
damianp Opublikowano 9 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2017 Pliki od Antimaleware są znowu za duże. Wrzucam an wetransfer.com https://wetransfer.com/downloads/8e8d1ae0d9f8c0196481c0842bc5d4a420170309154035/fd2f8b Addition.txt AdwCleanerC0.txt Fixlog.txt FRST.txt SearchReg.txt Shortcut.txt Odnośnik do komentarza
damianp Opublikowano 27 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2017 (edytowane) halo ?! Edytowane 27 Marca 2017 przez Miszel03 Odpowiem jutro. //Miszel03 Odnośnik do komentarza
damianp Opublikowano 21 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 21 Kwietnia 2017 Wrzucam jeszcze raz raporty z FRST64 i GMER tj prosiłeś Addition.txt FRST.txt Shortcut.txt GMER2.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się