blackerror Opublikowano 23 Marca 2017 Zgłoś Udostępnij Opublikowano 23 Marca 2017 Witam. Kilka dni temu mój komputer został zainfekowany jakimś wirusem. Objawy to porywanie przeglądarki i przekierowywanie jej na tytułową stronę, wyskakujące okienka, dziwne reklamy nawet pomimo zainstalowanego Ublocka. Skanowanie Antywirusem i programem antymalware zrobione, niby coś wykryły ale ostatecznie nic nie pomogło. Proszę o pomoc. Pozdrawiam. FRST.txt Addition.txt 12.txt Odnośnik do komentarza
Miszel03 Opublikowano 24 Marca 2017 Zgłoś Udostępnij Opublikowano 24 Marca 2017 Brakuje trzeciego obowiązkowego raportu Shortcut genrowanego przez FRST - dołącz go. Wstępnie powiem, że problem powodują infekcję, ale instrukcje podam dopiero wtedy gdy dostarczysz log Shortcut. Objawy to porywanie przeglądarki i przekierowywanie jej na tytułową stronę, wyskakujące okienka, dziwne reklamy nawet pomimo zainstalowanego Ublocka. uBlock Origin nie jest w stanie blokować reklam o podłożu infekcyjnym. Skanowanie Antywirusem i programem antymalware zrobione, niby coś wykryły ale ostatecznie nic nie pomogło. W miarę możliwości proszę dostarcz raport z tych skanowań i dezynfekcji. Odnośnik do komentarza
blackerror Opublikowano 24 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2017 Dziękuje za odpowiedź. Załączam brakujący raport. Proszę o pomoc. Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 24 Marca 2017 Zgłoś Udostępnij Opublikowano 24 Marca 2017 W systemie widać infekcję adware, czyli m.in szkodliwe proxy, fałszywą przeglądarkę Google Chrome (a właściwie jej klona) i wiele więcej. Raczej szybko się z tym uporamy. Do poczytania: KLIK. 1. Widzę w systemie szczątki po wątpliwym skanerze. Sugeruję zastosować SpyHunterCleaner w celu całkowitej eliminacji go z systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: AutoConfigURL: [s-1-5-21-829155955-1858636651-191534281-1000] => hxxp://noblok.net/wpad.dat?c274c3df9e138728d05c7bb48471fdb826555353 ManualProxies: 0hxxp://noblok.net/wpad.dat?c274c3df9e138728d05c7bb48471fdb826555353 SearchScopes: HKU\S-1-5-21-829155955-1858636651-191534281-1000 -> DefaultScope 0633EE93-D776-472f-A0FF-E1416B8B2E3A URL = S3 WacHidRouter; system32\DRIVERS\wachidrouter.sys [X] S3 wacomrouterfilter; system32\DRIVERS\wacomrouterfilter.sys [X] 2017-03-22 19:13 - 2017-03-22 19:14 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\xxx\Desktop\SpyHunter-Installer.exe ShortcutWithArgument: C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Users\xxx\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Program uruchamiający aplikacje Chrome.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\SupportTasks\1\Zarejestruj się w sieci.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\PlayTasks\0\Graj.lnk C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\AmazonAssistant.lnk C:\Users\xxx\Start Menu\Programs\SpyHunter\SpyHunter.lnk C:\Users\xxx\Start Menu\Programs\SpyHunter\Uninstall.lnk C:\Users\xxx\Links\sounddata.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks\1\Zarejestruj się w sieci.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks\0\Graj.lnk C:\Users\xxx\AppData\Local\Microsoft\Windows\GameExplorer\{D26B1DCD-44C1-4CDD-87D9-101F94FD78BB}\PlayTasks\0\Zagraj.lnk C:\Users\xxx\AppData\Local\Microsoft\Windows\GameExplorer\{A98C0F2D-6C20-4049-B3BA-D60F0E9BD570}\PlayTasks\0\Zagraj.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\xxx\AppData\Local\Mozilla C:\Users\xxx\AppData\Roaming\Mozilla C:\Users\xxx\AppData\Roaming\Profiles RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść oraz zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą lub inną przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. Skromnie sugeruję by wybrać Google Chrome właśnie. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). program uruchamiający aplikacje chrome Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
blackerror Opublikowano 24 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2017 Po kliknięciu napraw w programie FRST wyskakuje coś takiego, tworzy mi się fixlog lecz komputer nie uruchamia się ponownie. Mimo to przeglądarka wygląda na uwolnioną. Odnośnik do komentarza
Miszel03 Opublikowano 25 Marca 2017 Zgłoś Udostępnij Opublikowano 25 Marca 2017 Program wiesza się na czyszczeniu plików tymczasowych. Usuń ze skryptu dyrektywę EmptyTemp: i wykonaj skrypt jeszcze raz. Następnie możesz przejść do wykonywania dalszych działań. Odnośnik do komentarza
blackerror Opublikowano 25 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2017 Wykonałem. Załączam rejestry. SearchReg.txt Shortcut.txt Addition.txt Fixlog.txt AdwCleanerC3.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Marca 2017 Zgłoś Udostępnij Opublikowano 26 Marca 2017 Brakuje logu FRST. Odnośnik do komentarza
blackerror Opublikowano 26 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2017 Przepraszam, oto on FRST.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się