michal264 Opublikowano 23 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2017 (edytowane) Witam,Po próbie ściągnięcia napisów do filmu pojawiły się pewne problemy z komputerem:- przeglądarka google chrome zaczęła tworzyć nowe profile, dodatkowo element docelowy przeglądarki został zmieniony, nastąpiła zmiana przeglądarki domyślnej na jakąś chińską, wyszukiwarka została zmieniona na 'initialpage123', a na dodatek samoistne włączanie się jakichś dziwnych chińskich stron, dodatkowo przeglądarka potrafi się sama wyłączyć- zainstalowanie się programów, których nazwy nie potrafię przeczytać (są po chińsku), po próbie odinstalowania ich doraźnie, za pomocą pliku do dezinstalacji 'na czuja' klikając chińskie okienka udało się pozbyć ich, ale po ponownym uruchomieniu pojawiły się znów (screen w załącznikach) Zostały podjęte próby pozbycia się owych problemów za pomocą adwcleaner i JRT, lecz owe programy usuwały tylko część znalezionych błędów. Błędy usunięte pojawiały się znowu po ponownym uruchomieniu komputera (dodaję skany po czyszczeniu tymi programami).Zostały również podjęte próby usunięcia tego w panelu sterowania.Mam również problem z programem gmer, 'zablokowane przez moduł samoobrony Avast' nawet po wyłączeniu ochrony, załącznika z tego programu również nie udało się zrobić, kopiuję zawartość logu Proszę o możliwe szybką pomoc, ponieważ komputer służy mi również jako narzędzie pracy.edit: skanowanie programem gmer nie może zostać ukończone, ponieważ cały czas pojawia się blue screen, czy to na trybie awaryjnym, czy to normalnie AdwCleanerS22.txt JRT.txt Addition.txt FRST.txt Shortcut.txt gmer.txt Edytowane 24 Kwietnia 2017 przez Rucek Teraz jest ok, czekamy na Miszela. Odnośnik do komentarza
Blajo Opublikowano 24 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2017 Mam również problem z programem gmer, 'zablokowane przez moduł samoobrony Avast' nawet po wyłączeniu ochrony, załącznika z tego programu również nie udało się zrobić, kopiuję zawartość logu Kurcze też mi się to pojawiło... jeszcze na pasku był błąd było napisane samooborny zamiast samoobrony... i wyłączyłem ten moduł i wtedy udało się przeskanować... kurcze nie wiem czy nie było to celowe działanie wirusa aby dać mu działać... Odnośnik do komentarza
Miszel03 Opublikowano 24 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2017 (edytowane) System jest kolosalnie zainfekowany przez infekcje typu adware / PUP. Cześć infekcji usuwam automatycznie skryptem, bo jest to w całości możliwe. Instalacji Tencent nie ruszam, spróbujesz przez plik deinstalacyjny i przez AdwCleaner. Twój opis sytuacji pokrywa się z tym co ja widzę w systemie. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: Adware / PUP: AppHelper. Przestarzałe programy: Spybot - Search & Destroy. Następnie przejdź do poniższych folderów i przeszukaj je w poszukiwaniu pliku deinstalacyjnego (nazwa zbliżona do uninstall.exe). Jeśli go znajdziesz to go uruchom, jeśli nie to przejdź dalej. C:\Program Files (x86)\Tencent C:\Program Files (x86)\UCBrowser 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:Task: {0F12A525-C545-4C19-AC6F-CD86747AEF5D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {3460D9AB-E5DC-4374-9E7C-E4EE551E4DC1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {4D8E05AB-D346-435B-9409-657E345D75BB} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {770AEBE0-6566-4DA8-B217-5B2DABB7BB33} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {79784B90-92DA-4BE8-8BE8-485A25BC1E58} - \McAfee\McAfee Idle Detection Task -> Brak pliku Task: {948C6EA4-0401-44C4-9C40-F72AB6386D34} - \WPD\SqmUpload_S-1-5-21-2280503538-1542354952-1058851140-1001 -> Brak pliku Task: {D29C3BF5-4571-41B1-8F0C-C3291C0991AC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D5C9F630-ECCB-4AE9-8B24-3DCF047E2117} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {D68810D6-E38C-4515-A204-E40007CF450A} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {CF9756B8-FC27-48D4-B66E-4F1EC3F88BA2} - System32\Tasks\Priientpruretain Debuger => C:\Program Files (x86)\Drerrationphuceck\xdroverph.exe [2017-04-23] (Google Inc.)C:\Program Files (x86)\DrerrationphuceckRemoveDirectory: C:\Program Files (x86)\UCBrowserWMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\user0 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultDataShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\276bc18f565c8259\Michal - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=chagulybuvertainmibileShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/RemoveDirectory: C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnkAlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B [464]AlternateDataStreams: C:\ProgramData\TEMP:A1454082 [640]AlternateDataStreams: C:\ProgramData\TEMP:E25BED53 [634]HKLM-x32\...\Run: [WindowsDefender] => -Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]HKLM-x32\...\Run: [accelerator] => C:\Users\MICHA~1\AppData\Local\Temp\accelerator.exe [2419200 2017-04-23] () Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]HKU\S-1-5-21-2280503538-1542354952-1058851140-1001\...\Run: [Windows Defender] => -HKU\S-1-5-21-2280503538-1542354952-1058851140-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1HKLM\...\Providers\tiwgrh1k: C:\Program Files (x86)\Priientpruretain Debuger\local64spl.dll [311296 2017-04-23] ()C:\Program Files (x86)\Priientpruretain DebugerShellExecuteHooks: Brak nazwy - {AEEED482-2355-11E7-811E-64006A5CFC23} - C:\Users\Michał\AppData\Roaming\Grawule\Shugerchmavesy.dll -> Brak plikuShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak plikuGroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia SearchScopes: HKU\S-1-5-21-2280503538-1542354952-1058851140-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U3 aswbdisk; Brak ImagePathR3 TAOAccelerator; \??\C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys [X]2017-04-23 13:00 - 2017-04-23 13:00 - 00000000 ____D C:\Users\Michał\AppData\Local\UCBrowserC:\Users\Michał\Documents\Euro Truck Simulator 2\readme.rtf.lnkC:\Users\Michał\Desktop\Gry\Mafia II.lnkC:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnkDeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\Michał\AppData\Local\MozillaC:\Users\Michał\AppData\Roaming\MozillaC:\Users\Michał\AppData\Roaming\ProfilesHosts:EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.3. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. Na nowym profilu polecam zainstalować rozszerzenie uBlock Origin blokujące reklamy o podłożu nieinfekcyjnym. 4. Pomimo wcześniejszych akcji pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uruchomi się przycisk Oczyść kliknij go. Raport zaprezentuj na forum. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Edytowane 24 Kwietnia 2017 przez Rucek Odnośnik do komentarza
michal264 Opublikowano 24 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 24 Kwietnia 2017 1. apphelper został usuniety, spybot rowniez.2. Owe foldery też już nie istniejąNie wiem czy to możliwe, ale program malwarebytes odszukał koło 4 tysięcy zagrożeń -> skan w załącznikachedit: dodany fixlog malware log.txt AdwCleanerS25.txt Addition.txt FRST.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 24 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2017 A gdzie plik Fixlog? Co do wyniku Malwarebytes - nic szczególnego, on po prostu liczby każdy plik osobno. Np. w zainfekowanym profilu może być plik z historią wyszukiwania 1000 fraz i to już jest liczone jako zagrożenie. Odnośnik do komentarza
Rucek Opublikowano 24 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2017 Już dodane. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się