gator303 Opublikowano 28 Lutego 2017 Zgłoś Udostępnij Opublikowano 28 Lutego 2017 Witam. Mam następujący problem. Pobrałem grę z internetu i podczas jej instalacji odszedłem od komputera. Gdy powróciłem instalacja miała się ku końcowi aczkolwiek razem z nią zainstalowało się milion innych rzeczy, razem z jakimiś chińskimi programami. Ogólnie zaczęły same otwierać się reklamy w firefoxie i jakiejś innej przeglądarce która sama się zainstalowała i usunęły mi się zakładki z google chroma. Próbowałem przeskanować komputer esetem ale chyba nie daje rady, ponieważ wykrył troszkę wirusów ale problem nie ustąpił do końca. Reklamy przestały się samoczynnie otwierać ponieważ eset je blokuje. Aczkolwiek podczas każdego uruchomienia chroma wyskakuje problem związany z czymś takim Kemgadeojglibflomicgnfeopkdffink. Wykonałem skanowanie programem GMER i FRST. Logi z FRST dodaje w załącznikach a z programu GMER niestety nie mogę dodać bo wyskakuje komunikat, że nie mam takich uprawnień. Tak więc skan z programu GMER wstawiłem tutaj :http://pastebin.com/fpBiSQhm. Proszę o pomoc bo nie poradzę sobie sam. Jeśli trzeba jeszcze jakieś skany czy coś to proszę powiedzieć jakim programem, ponieważ nie bardzo orientuję się w zaawansowanym odinfekowywaniu. A i jeszcze jedno skanowałem kompa programami adaware i adw cleaner ale też nie dają sobie rady. Jeszcze raz proszę o pomoc i pozdrawiam. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 1 Marca 2017 Zgłoś Udostępnij Opublikowano 1 Marca 2017 A i jeszcze jedno skanowałem kompa programami adaware i adw cleaner ale też nie dają sobie rady. Dostarcz raporty z tych działań. W systemie widoczny kolosalny bałagan spowodowany nowoczesnymi infekcjami adware. Najwyższy czas uprzątnąć to wypisko. P.S: Na przyszłość nie zaznaczaj opcji "MD5 List", bo jest ona mi zbędną. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: Adware / PUP: SafeFinder, Traffic Exchange.Następnie spróbuj alternatywą metodą odinstalować (uruchamiając pliki o nazwie zbliżonej do uninstall.exe) z poziomu niżej wymienionych folderów. C:\Program Files (x86)\UCBrowser C:\Program Files\żěŃą C:\Program Files (x86)\QForlLgs0EYm Updater 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0F85B90E-DF19-4B9B-A8D5-66FE28C58AFD} - System32\Tasks\QForlLgs0EYm => qforllgs0eym.exe Task: {1993EA93-792D-4088-99F2-5C4BF6BC9C78} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-28] (UCWeb Inc) Task: {9ECB4862-7499-44C0-9165-941F13E2135A} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-02-28] (UC Web Inc.) Task: {CA96C101-3522-4CCD-8A76-1B80B333B395} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-28] (UCWeb Inc) Task: {E6B89740-96EF-42E0-9B63-82B777361269} - System32\Tasks\58R656h8568i777 => Rundll32.exe "C:\ProgramData\58R656h8568i777\58R656h8568i777.dll",RhiBTBgLj Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe RemoveDirectory: C:\Program Files (x86)\UCBrowser RemoveDirectory: C:\Users\Daniel\AppData\Local\UCBrowser C:\ProgramData\58R656h8568i777 WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\Windows\system32\drivers:x64 [1496610] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1221154] FirewallRules: [{526A456C-3720-4FD6-A9E9-FF80FE7AE33F}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe HKLM\...\Providers\0hvzx1eq: C:\Program Files (x86)\Butspplikule System\local64spl.dll C:\Program Files (x86)\Butspplikule System ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-02-28] () RemoveDirectory: C:\Program Files\żěŃą GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4075855626-25370417-906772903-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4075855626-25370417-906772903-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości R2 QForlLgs0EYm Updater; C:\Program Files (x86)\QForlLgs0EYm Updater\QForlLgs0EYm Updater.exe [313344 2017-02-22] () [brak podpisu cyfrowego] C:\Program Files (x86)\QForlLgs0EYm Updater R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) S3 catchme; \??\C:\ComboFix\catchme.sys [X] 2017-02-28 13:51 - 2017-02-28 13:51 - 0054272 _____ () C:\Users\Daniel\AppData\Roaming\ApplicationHosting.dat 2017-02-28 13:51 - 2017-02-28 13:51 - 0072787 _____ () C:\Users\Daniel\AppData\Roaming\Dento-Home.tst 2017-02-28 13:51 - 2017-02-28 13:51 - 0126464 _____ () C:\Users\Daniel\AppData\Roaming\lobby.dat 2017-02-28 13:51 - 2017-02-28 13:51 - 1892491 _____ () C:\Users\Daniel\AppData\Roaming\Sandax.tst CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Daniel\AppData\Local CMD: dir /a C:\Users\Daniel\AppData\LocalLow CMD: dir /a C:\Users\Daniel\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ze względu na modyfikacje adware, trzeba kompleksowo wymienić profile w przeglądarce Google Chrome, w tym celu wykonaj poniższą instrukcję. Otwórz przeglądarkę Google Chrome, następnie przejdź do Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj nową osobę, zaloguj się na nią, okno poprzedniej osoby zamknij > wejdź ponownie do opcji i skasuj wszystkie poprzednie Osoby. 4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
gator303 Opublikowano 1 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 1 Marca 2017 Witam. Na wstępie dziękuję za zainteresowanie się moim problemem i Pańską pomoc. Od razu przejdę do rzeczy. Raport z adwcleanera załączam w załączniku natomiast raportu z adaware nie jestem w stanie znaleźć, ponieważ usunąłem ten program. Najprościej będzie jak będę też odpisywał odnośnikami także przechodzę do rzeczy. 1. Usunąłem SafeFinder w panelu sterowania aczkolwiek wyskoczyło tylko okienko czy na pewno chce usunąć, kliknąłem tak i okienko znikło po czym nie wyskoczył żaden proces dezinstalacjii (nie wiem czy na pewno się skasowało). Natomiast Traffic Exchange nie mogę znaleźć w panelu. W folderze z UC Browser, żěŃą nie mogę niestety znaleźć żadnego pliku do dezinstalacjii. W folderze z QForlLgs0EYm Updater znalazłem plik do dezinstalacjii i wszystko przebiegło ok, na końcu wyskoczył komunikat, że program został usunięty. 2. Zrobione wszystko przebiegło bez problemu. Plik załączam w załączniku. 3.Zrobiłem tak jak napisałeś, aczkolwiek po usunięciu obecnego profilu i utworzeniu nowego nastąpiła zmiana wyszukiwarki a w lewym górnym rogu było logo SafeFinder więc chyba nie został pokonany do końca ten program. Usunąłem ten dodatek i ustawiłem strone wyszukiwania na google i jest ok narazie. Problem związany z Kemgadeojglibflomicgnfeopkdffink już nie występuje przy starcie przeglądarki. 4.Zrobione wszystko tak jak napisałeś. 5.Zrobiłem tak jak napisałeś. Pliki w załącznikach. 6.Tak jak napisałeś. Pliki w załącznikach. Dodam jeszcze, że ESET wyświetla komunikaty co jakiś czas, że znajduje wirusy w pamięci komputera, nie wiem czy wykonać nim skanowanie czy przeszkodzi to w procesie naprawy także na razie nie robię nic i czekam na Twoją opinię. Dzięki za dotychczasową pomoc, jednocześnie proszę o dalszą, ponieważ chciałbym już do końca odinfekować mój komputer. Pozdrawiam. AdwCleanerC3.txt AdwCleanerS0.txt AdwCleanerS1.txt AdwCleanerS2.txt Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 3 Marca 2017 Zgłoś Udostępnij Opublikowano 3 Marca 2017 Dodam jeszcze, że ESET wyświetla komunikaty co jakiś czas, że znajduje wirusy w pamięci komputera, nie wiem czy wykonać nim skanowanie czy przeszkodzi to w procesie naprawy także na razie nie robię nic i czekam na Twoją opinię. Poproszę o raport, może być screen ekranu. 5.Zrobiłem tak jak napisałeś. Pliki w załącznikach. Prosiłem tylko o skan, a nie o skan i dezynfekcję. Już trudno, niech będzie. Klucz w rejestrze uniemożliwa Ci zobaczenie tego programu, więc go usuwam (wcześniej nie zauważyłem i przez to musimy powtarzać część zadań). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Traffic Exchange (x32 Version: 2.1.0 - Microleaves) Hidden ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4" S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] RemoveDirectory: C:\Program Files (x86)\UCBrowser EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj: Traffic Exchange. 3. Upewnij się, że AdwCleaner (jest nowa aktualizacja, więc pobierz od nowa) już niczego nie wykrywa. Tym razem od razu możesz podjąć akcję dezynfekcji. 4. Powtórz pkt. 3 z mojego poprzedniego posta. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
gator303 Opublikowano 4 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2017 Dziękuję za zainteresowanie i dalszą pomoc. Przechodzę do rzeczy 1.Zrobione wszystko tak jak napisałeś. 2. Niestety tutaj poległem. Nie mogę tego znaleźć w panelu ani też na dysku. 3. Zrobiłem tak jak napisałeś. Wykryło 2 wirusy, w załącznikach dodaje raporty. 4. .Zrobiłem tak jak pisałeś. Ale przy każdej próbie utworzenia nowej osoby w polu ustawień dotyczących wyszukiwarki wyskakuje takie coś: „Kontrolę nad tym ustawieniem ma rozszerzenie Wize Search SafeFinder.” Za każdym razem to odinstalowuje, ale to znowu pojawia się samo. 5. Przeskanowałem, raport w załącznikach. 6. Przeskanowałem, raporty w załącznikach. Dodatkowo załączam 2 screeny z tego co co jakiś czas wyłapuje ESET. Proszę o dalszą pomoc. Pozdrawiam AdwCleanerC4.txt AdwCleanerS3.txt Fixlog.txt Malwarebytes raport.txt Odnośnik do komentarza
Miszel03 Opublikowano 4 Marca 2017 Zgłoś Udostępnij Opublikowano 4 Marca 2017 Wszystkie zagrożenia wykryte przez Malwarebytes usuń (i potem jeszcze jeden skan w celu upewnienia, się, że nic już znajdują. Jak znajduję to daj wszystko do kasacji), dostarcz raport z tego działania oraz nowy zestaw raportów FRST. Jeśli chodzi o wynik z ESET to kliknij w podlinkowany wyraz Plik i daj z niego ścieżkę. Odnośnik do komentarza
gator303 Opublikowano 5 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2017 Okej zrobiłem tak jak napisałeś, za pierwszym razem malwarebytes wykrył dużo zagrożeń, usunąłem je, a za drugim już zero. Raporty dodałem w załącznikach. Natomiast komunikat z ESETA o wykrywanym wirusie przestał wyskakiwać od usunięcia wirusów przez malwarebytes, ale jeśli wyskoczy dodam nowego screena. Dzięki za pomoc. Jeszcze proszę o sprawdzenie czy na pewno się ze wszystkim uporałem. Dzięki i pozdrawiam. Addition.txt FRST.txt malwarebytes raport.txt Shortcut.txt Odnośnik do komentarza
gator303 Opublikowano 12 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2017 Mógłby ktoś sprawdzić te skany i dać mi znać czy to już wszystko ? Z góry dzięki za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się