Skocz do zawartości

Wirus Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk


Rekomendowane odpowiedzi

Witam, przy każdy starcie systemu automatycznie włącza się Chrome mimo, że jest ustawiony aby się nie wyłączał.

 

Jak wyłączę i włączę chrome pokazuje się komunikat z tym adresem "C:\Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" - nie działą tez przycisk na karcie chrome z aplikacjami - klikam i nic się nie dzieje, tak samo jak w ikonkę z kontem. Jakiś czas temu przez przypadek kliknąłem w jakieś okno z wirusem i jest syf, proszę pomóżcie!

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zapoznaj się proszę z zasadami działu:
1. https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
2. https://www.fixitpc.pl/forum-38/announcement-2-wa%C5%BCne-oprogramowanie-emuluj%C4%85ce-nap%C4%99dy/
3. https://www.fixitpc.pl/forum-38/announcement-1-wa%C5%BCne-u%C5%BCytkownicy-uprawnieni-do-pomocy/

Przeczytaj wszystko przed wykonaniem działań by było wiadomo co robić.
Postępując zgodnie z powyższymi instrukcjami - edytuj post i dołącz wymagane logi do tematu w postaci załączników ".txt".
Jeśli nie ma możliwości dodania załączników .txt - wklej logi tutaj: wklej.org
Programy FRST i GMER - zapisz na pulpicie, na pulpicie pojawią się też wtedy wyniki skanowania FRST.
Łącznie mają być 4 logi: FRST [FRST.txt, Addition.txt, Shortcut.txt], oraz GMER [tworzysz plik GMER.txt i wklejasz do niego wynik skanowania].
Jak coś nie będzie chciało się uruchomić - to odpal system w trybie awaryjnym i wtedy spróbuj zrobić logi.
Jeśli z czymś będzie problem - pisz w poście.
Po wrzuceniu logów nie dokonuj już żadnych zmian na kompie - by logi były aktualne.
Jak coś zmieniasz/dodajesz w temacie - to używaj opcji "edytuj" by był porządek.
Czekaj cierpliwie na pomoc (są opóźnienia) - a potem dokładnie czytaj instrukcje - by nie marnować czasu osoby, która będzie udzielała Ci pomocy.

Odnośnik do komentarza
  • 2 tygodnie później...

W systemie kolosalny bałagan, masa infekcji. Siedzą dosłownie na sobie. Nowoczesne adware Elex, fałszywa przeglądarka Mozilla FireFox i wiele, wiele innych. Zapomniałbym: na routerze są ustawione rosyjskie adresy. Traktuje to jako modyfikacje infekcyjną i daję to do korekty. Jeśli to jest ustawienie celowo to pomiń pkt. 1, a ze skryptu z pkt. 2 usuń linjkę CMD: ipconfig /flushdns.

Mam ogromną prośbę: gdybyś mógł przypomnieć sobie skąd ostatnio coś pobierałeś itp. To ważne, bo jeśli jest to serwis, o którym myślę to ostro przeginają i zrobię im aferę na tym ich forum.

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony wykonaj poniższe działania.

2. Przez panel sterowania odinstaluj:

  • Adware / PUP: amuleC, Body Text Feathering, cleaner 1.0.1, Update for PriceFountain, WinSnare.
  • Zbędniki: Akamai NetSession Interface.

3. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\...\ChromeHTML: -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Cupface
Task: {611061C1-8DF3-433D-982C-092391135454} - System32\Tasks\Microsoft\Windows\Multimedia\MailruSetup => C:\Users\oem\AppData\Local\MailruSetup\MailruSetup.exe [2016-10-21] () WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\6dc87d5b8be063a4\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\361178be4aa3110f\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
FirewallRules: [{7E8C8C42-4906-4316-BC82-143C231CEECE}] => (Allow) C:\Program Files (x86)\Cupface\Application\chrome.exe
FirewallRules: [{1A8DF41A-B61C-434F-A328-9A27E08AC912}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{B40BDFA0-A664-4803-AC8A-E44700CA8573}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Firefox
HKLM\...\Providers\vh9ggz5t: C:\Program Files (x86)\Clokisevuboly Reports\local64spl.dll [290816 2017-01-20] ()
C:\Program Files (x86)\Clokisevuboly Reports
ShellExecuteHooks: Brak nazwy - {7BCBF2F8-9E93-11E6-BA23-64006A5CFC23} -  -> Brak pliku
ShellExecuteHooks: Brak nazwy - {D6A4F024-A5A8-11E6-9A93-64006A5CFC23} -  -> Brak pliku
ShellExecuteHooks: Brak nazwy - {5EBD559E-A5BA-11E6-B9FD-64006A5CFC23} -  -> Brak pliku
ShellExecuteHooks: Brak nazwy - {FFC5BCD0-A5C1-11E6-B87D-64006A5CFC23} -  -> Brak pliku
ShellExecuteHooks: Brak nazwy - {73538FB6-AB7F-11E6-9B77-64006A5CFC23} -  -> Brak pliku
ShellExecuteHooks: Brak nazwy - {C37C42DA-DC66-11E6-A37E-64006A5CFC23} -  -> Brak pliku
ShellExecuteHooks: Brak nazwy - {0AAE96C8-DE2A-11E6-9E44-64006A5CFC35} -  -> Brak pliku
ShellExecuteHooks: Brak nazwy - {036CBE24-DE3B-11E6-95A0-64006A5CFC23} -  -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  -> Brak pliku
GroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-642869367-1592473142-3323770084-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ShellExecuteHooks: Brak nazwy - {58B532E2-DE3B-11E6-8BCE-64006A5CFC23} -  -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-642869367-1592473142-3323770084-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
SearchScopes: HKU\S-1-5-21-642869367-1592473142-3323770084-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
SearchScopes: HKU\S-1-5-21-642869367-1592473142-3323770084-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = 
CHR HomePage: Default -> hxxp://www.startpageing123.com/?type=hp&ts=1487675442&z=8b662479ca4e8ce41d2527egfzbbcm6q6mfwdz3z1q&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
CHR StartupUrls: Default -> "hxxp://www.startpageing123.com/?type=hp&ts=1487675442&z=8b662479ca4e8ce41d2527egfzbbcm6q6mfwdz3z1q&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525" 
CHR DefaultSearchURL: Default -> hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
CHR DefaultSearchKeyword: Default -> startpageing123
R2 bilibili; C:\Program Files (x86)\bilibili\bilibili.dll [122880 2017-02-14] () [brak podpisu cyfrowego]
R2 cepyzuri; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns226E.tmp [474624 2017-02-21] () [brak podpisu cyfrowego]
R2 Convxxxx; C:\Users\oem\AppData\Roaming\cgjcg\UvConverter.exe [376832 2017-02-06] () [brak podpisu cyfrowego]
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [162992 2017-02-17] ()
R2 mevucezu; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns8CB9.tmp [427520 2017-02-21] () [brak podpisu cyfrowego]
R2 sobubigo; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns7A9D.tmp [429056 2017-02-16] () [brak podpisu cyfrowego]
R2 venolici; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns5B5D.tmp [432640 2017-02-12] () [brak podpisu cyfrowego]
R2 vomiqyqy; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns7E86.tmp [421376 2017-02-19] () [brak podpisu cyfrowego]
R2 vunupehe; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns3CFF.tmp [386048 2017-02-17] () [brak podpisu cyfrowego]
R2 WinSAPSvc; C:\Users\oem\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-21] (TODO: ) [brak podpisu cyfrowego]
R2 zigipyro; C:\Users\oem\AppData\Local\1ED023C0-1487680745-11DD-BB38-10BF48B8C1EB\qnshC38F.tmp [158720 2015-12-26] () [brak podpisu cyfrowego]
S2 dykewulo; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns9D01.tmp [X]
R2 gemeloki; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\prote927aa13-8b59-4155-bcc8-b9f29f322c0b.tmpfs [X]
S2 MOJEMOJE; "E:\MOJE\MOJEMOJE.exe" 388837891c4f496ea6203a5f71b2a421 [X]
S2 RóżneDokumenty; "E:\Dokumenty\RóżneDokumenty.exe" affe6dc7e5264e7e8e5695737342bee0 [X]
S2 RóżneFotolia; "D:\Różne\RóżneFotolia.exe" 3e19779b2974487e881c2174c0562504 [X]
S2 serverss; C:\Windows\Temp\5CD5.tmp [X]
U0 aswVmm; Brak ImagePath
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S1 ESProtectionDriver; \??\C:\Windows\system32\drivers\mbae64.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X]
S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X]
S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X]
S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]
U3 uxldapod; \??\C:\Users\oem\AppData\Local\Temp\uxldapod.sys [X] C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Encore CS6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Extension Manager CS6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Prelude CS6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe SpeedGrade CS6.lnk
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: ipconfig /flushdns
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\oem\AppData\Local
CMD: dir /a C:\Users\oem\AppData\LocalLow
CMD: dir /a C:\Users\oem\AppData\Roaming
Hosts:
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

4. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj bloker reklam o podlozu nieinfekcyjnym, do tego celu polecam rozszerzenie do przeglądarki uBlock Origin.
  • Ustaw przeglądarkę Google Chrome jako domyślną, bądź jakąkolwiek inną. To musi zostać zrobione, by cofnąć modyfikację infekcji. 

5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

cupface

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

6. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Zrobiłem print z DNS czy dobrze bo ja nie mam routera tylko przenośny z PLAY i w opcjach PLAY nie znalazłem nigdzie DNS - załącznik

Zrobiłem te skanowanie z Orange ale ja nie wiem czy to działa u mnie na PLAY - nie znam się na tym akurat ale było napisane, że wszystko jest zabezpieczone - załącznik

 

Czy wszystko jest dobrze i mogę zaczynać pkt 2 i resztę ?

 

 

post-18934-0-84150000-1487691811_thumb.jpg

post-18934-0-29730000-1487692038_thumb.jpg

post-18934-0-24890000-1487692039_thumb.jpg

Odnośnik do komentarza

Przesyłam SearchReg i AdwCleaner i pkt 7..co teraz ?

 

 

 

Mam ogromną prośbę: gdybyś mógł przypomnieć sobie skąd ostatnio coś pobierałeś itp. To ważne, bo jeśli jest to serwis, o którym myślę to ostro przeginają i zrobię im aferę na tym ich forum.

Wiesz co, ciężko powiedzieć, ta cała infekcja jest od około 2 miesięcy, może Ciebie by nakierowało okno, które mi bardzo często wyskakiwało i od tego okna się wszystko zaczęło - przypadkowo kliknąłem "tak" i się zaczęło piekło...

SearchReg.txt

AdwCleanerC17.txt

Addition1.txt

FRST1.txt

Shortcut1.txt

Odnośnik do komentarza

Wcześniej prosiłem tylko o skan za pomocą AdwCleaner, ale niech już będzie. 
 



 
W cale nie jest kolorowo. Infekcje nie dają za wygraną, ale z Twojej strony może to tak wyglądać, bo te najgorsze już uległy. W skypcie popatrz na folder i sprawdź czy, któregoś z nich nie kojarzysz, bo usuwam je na czuja (wydaję mi się, że są od infekcji).
 
P.S: Przepraszam za zamieszanie spowodowane infekcją router'a - źle zinterpretowałem dane. Infekcja była z poziomu systemu, a nie z poziomu routera.
 
1. Otwórz Notatnik w nim wklej:
 
CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Cupfacesc
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Cupface
C:\Program Files\LXI4ITSVJC
C:\Program Files\R24ILDVVAV
C:\Program Files\vh9ggz5t
C:\Program Files (x86)\0ddhdwim
C:\Program Files (x86)\0ktpwyfg
C:\Program Files (x86)\1jaz2inh
C:\Program Files (x86)\1s2nd0fn
C:\Program Files (x86)\2g9h28f1
C:\Program Files (x86)\2u43cjuk
C:\Program Files (x86)\32k33cdf
C:\Program Files (x86)\3ylghbrc
C:\Program Files (x86)\6qh3dz1y
C:\Program Files (x86)\7n6le65t
C:\Program Files (x86)\8xe0v5k4
C:\Program Files (x86)\a5a217b2-40da-4d70-ae27-166efeb42edc
C:\Program Files (x86)\b86pvy7z
C:\Program Files (x86)\bilibili
C:\Program Files (x86)\bsq97ozk
C:\Program Files (x86)\f09er35s
C:\Program Files (x86)\fzelt79j
C:\Program Files (x86)\ig4me4xo
C:\Program Files (x86)\hzgzy8ma
C:\Program Files (x86)\ig4me4xo
C:\Program Files (x86)\k5n4hznu
C:\Program Files (x86)\l7c9u1a7
C:\Program Files (x86)\mu2h48zp
C:\Program Files (x86)\n91hhz4c
C:\Program Files (x86)\o0asda6a
C:\Program Files (x86)\ro7ts729
C:\Program Files (x86)\ttv2723f
C:\Program Files (x86)\w6tmhbqp
C:\Program Files (x86)\wfnkb0ym
C:\Program Files (x86)\yb6mr4y7
C:\Program Files (x86)\ypimrgzv
C:\ProgramData\fjcfi
C:\ProgramData\icfib
C:\ProgramData\ttff
C:\Users\oem\AppData\Local\Cupface
C:\Users\oem\AppData\Local\Firefox
C:\Users\oem\AppData\Local\STvYAyZaPhLE
C:\Users\oem\AppData\Local\t5Za44SPXuU
C:\Users\oem\AppData\Roaming\cgjcg
C:\Users\oem\AppData\Roaming\Firefox
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
CHR HomePage: Default -> hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
CHR StartupUrls: Default -> "hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525"
R2 WinSAPSvc; C:\Users\oem\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-21] (TODO: ) [brak podpisu cyfrowego]
R2 WinSnare; C:\Users\oem\AppData\Roaming\WinSnare\WinSnare.dll [779264 2017-02-21] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]
C:\Users\oem\AppData\Roaming\WinSAPSvc
C:\Users\oem\AppData\Roaming\WinSnare
S2 cosymiju; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns8FE4.tmp [X]
2017-02-17 21:09 - 2017-02-17 21:09 - 00000000 ____D C:\Program Files (x86)\cvbs5
2017-02-16 21:19 - 2017-02-16 21:19 - 00000000 ____D C:\Program Files (x86)\cvbs4
2017-02-16 19:22 - 2017-02-16 19:22 - 00000000 ____D C:\Program Files (x86)\cvbs3
2017-02-15 22:29 - 2017-02-15 22:29 - 00000000 ____D C:\Program Files (x86)\cvbs2
2017-02-15 18:29 - 2017-02-15 18:29 - 00000000 ____D C:\Program Files (x86)\cvbs1
2017-02-14 20:02 - 2017-02-14 20:02 - 00000000 ____D C:\Program Files (x86)\cvbs0
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\cleaner /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WinSnare /f
Task: {FA24D42F-9E9E-4750-9669-5B12EA206311} - System32\Tasks\{34C6FF04-D56D-424A-91FF-86C543223A98} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe"
CMD: netsh firewall reset 
CMD: netsh advfirewall reset
AlternateDataStreams: C:\Users\oem\AppData\Local\t5Za44SPXuU:u2oHFVRSt9MlOE5rtI [2112]
AlternateDataStreams: C:\Users\oem\AppData\Local\Temp:gAMrn0yNFZcT0bH1q8Rs [2186]
AlternateDataStreams: C:\Users\oem\AppData\Local\Temporary Internet Files:6CSt1ff303hKokiclHJu887 [1980]
AlternateDataStreams: C:\Users\oem\AppData\Local\Temporary Internet Files:qgBULsA1egaVbVkOFw1MRqWIHn [2448]
MSCONFIG\startupreg: cleaner => C:\Users\oem\AppData\Roaming\UPUpdata\cleaner.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\oem\AppData\Local\Mozilla
C:\Users\oem\AppData\Roaming\Mozilla
C:\Users\oem\AppData\Roaming\Profiles
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Użyj raz jeszcze AdwCleanera, teraz już możesz podejść do dezynfekcji od razu. 
 
3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Pierwszy raz się spotykam jak wyszukiwarka zacina się przy wklejaniu tekstu - błąd 502. Wrzuciłem an wetransfer.com, podaje link:

https://wetransfer.com/downloads/70d1007d72d81eb3531d1e903c9e22f120170224211143/f3ac90a34b93a1cbc9eade1f1067110c20170224211143/fd854c

 

W dalszym ciągu ściąga mi fałszywą Mozillę, bo ja tego nie instaluję i Chrom sam się uruchamia przy starcie systemu.

 

W tym programie wykryło zagrożeń około 40 tysięcy - ja nie wiem czy to prawda czy fake bo ściągnąłem program pełny ale nie dla komercyjnych spraw i nie wiem czy to rzetelnie nalicza błędy czy nalicza za dużo aby skusić do kupna oryginału. Nie lubię mieć triali czy programów dla własnego użytku czy już nie wspomnę o piratach, ja zajmuje się grafiką i mam swoje pakiety adobe oryginały i ten program trochę mnie denerwuje jak co chwile wyskakuje mi, czy nie chciałbym ulepszyć do pełnej wersji...

Odnośnik do komentarza

Skoro tak mówisz to Ci wierzę :)

 

Czyli Malewarebytes Free też jest dobrym rozwiązaniem na infekcje? czy dopiero Premium potrafi dokładniej chronić ?

Za free działa jako skaner na żądanie.

Wersja Pro ma ochronę w czasie rzeczywistym.

W skrócie: Pro chroni przed zainfekowaniem a Free pomaga w usunięciu syfu który już znajduje się na komputerze(niekoniecznie aktywnego).

Odnośnik do komentarza

Wcześniej Malewarem nic nie usuwałem tj pisaliście.

 

OK.

 


 

Jak myślałem, adware wróciło po tym ja za pierwszym razem prawie wyczyściłem Ci system. Wróciło, bo pominąłem kilka elementów. Teraz prędziutko je dobijemy i uporamy się z problemem. 

 

1. Przez panel sterowania odinstaluj adware / PUP:

  • amuleC 
  • BikaQ Rss 
  • cleaner 1.0.1 
  • WinSnare 
2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\...\ChromeHTML: -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Birdjob
RemoveDirectory: C:\Users\oem\AppData\Local\Birdjob
Task: {5595ADF0-07B1-490D-B9BD-A40B98F660FB} - System32\Tasks\Zuzach Engine => C:\Program Files (x86)\Aterishwerwi\tizoch.exe [2017-01-20] (Glarysoft Ltd)
Task: {57539305-5284-4E18-AE79-764D662001BF} - System32\Tasks\Gipareedese Reports => C:\Program Files (x86)\Jerqetainrutodom\prerjght.exe [2017-01-22] (Glarysoft Ltd)
Task: {6BAF7544-DC5A-4A76-AE29-A87B3023C133} - System32\Tasks\Stkersethafige Verfier => C:\Program Files (x86)\Pharudom\cokaward.exe [2017-01-22] (Glarysoft Ltd)
Task: {9C8E0227-701C-4A75-8088-67DBD297D4F4} - System32\Tasks\Clokisevuboly Reports => C:\Program Files (x86)\Momicultckerticult\nobent.exe [2017-01-20] (Glarysoft Ltd)
ShortcutWithArgument: C:\Users\oem\Documents\Favorites\Desktop\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Local\Google\Chrome\User Data\Default\Web Applications\_crx_hmjkmjkepdijhoojdojkdfohbdgmmhki\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=hmjkmjkepdijhoojdojkdfohbdgmmhki
ShortcutWithArgument: C:\Users\oem\AppData\Local\Birdjob\User Data\Default\Web Applications\_crx_hmjkmjkepdijhoojdojkdfohbdgmmhki\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=hmjkmjkepdijhoojdojkdfohbdgmmhki
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\6dc87d5b8be063a4\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\361178be4aa3110f\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\oem\AppData\Roaming\Firefox
RemoveDirectory: C:\Users\oem\AppData\Local\Firefox
FirewallRules: [TCP Query User{EBFD28C5-1D1C-4181-BDE5-60F2C369CB8B}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe
FirewallRules: [uDP Query User{CC27FC5B-16C6-4166-A170-C2C4709D2E0E}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe
FirewallRules: [TCP Query User{3D4D3835-D575-40B7-A95A-32ADD2CF2204}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe
FirewallRules: [uDP Query User{20ABD473-AF06-48AA-99C2-38E9D6FB62F5}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe
FirewallRules: [{EDC7CBEC-5940-4ED4-9177-6D1ADBB1311F}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{949AE83D-CB21-45CA-9379-449D4E2948F8}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
CHR HomePage: Default -> hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525
CHR DefaultSearchURL: Default -> hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms}
CHR DefaultSearchKeyword: Default -> startpageing123
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [167600 2017-02-24] ()
R2 WinSAPSvc; C:\Users\oem\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-03-03] (TODO: ) [brak podpisu cyfrowego]
C:\Users\oem\AppData\Roaming\WinSAPSvc
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Illustrator CS6 (64 Bit).lnk
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\oem\AppData\Local\Mozilla
C:\Users\oem\AppData\Roaming\Mozilla
C:\Users\oem\AppData\Roaming\Profiles
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\oem\AppData\Local
CMD: dir /a C:\Users\oem\AppData\LocalLow
CMD: dir /a C:\Users\oem\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Ustaw przeglądarkę Google Chrome jako domyślną, bądź jakąkolwiek inną. To musi zostać zrobione, by cofnąć modyfikację infekcji. 
4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się zastosuj opcję Oczyść. Dostarcz raport z tego działania.

 

5. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to wszystko daj do usuwania. Dostarcz raport z przeprowadzenia tego działania.

 

6. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

birdjob

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

 

6. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się

Odnośnik do komentarza
  • 3 tygodnie później...
  • 4 tygodnie później...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...