Aviator Opublikowano 2 Maja 2017 Zgłoś Udostępnij Opublikowano 2 Maja 2017 (edytowane) Cześć, Mam od kilku dni problem z systemem. Uporczywie czyszczę go AdwCleanerem i próbuję zdziałać coś z AVG, ale przy każdym odpaleniu przeglądarki coś nowego się pojawia - czasem są to podszywające się wirusy pod skrótami firefoxa i chrome, teraz moja domyślna wyszukiwarka została podmieniona na govome2.inspsearch... Zapamiętałem nazwe jednego pliku ze skanu AdwCleanerem - iSafeKrnl, a pozostałe to loteria. Zamieszczam logi i proszę o pomoc z likwidacją problemu. Pozdrawiam! EDIT: Odświeżam logi. Addition.txt FRST.txt GMER.txt Shortcut.txt Edytowane 2 Maja 2017 przez Aviator Łączę. Czekamy na Miszela. Odnośnik do komentarza
Miszel03 Opublikowano 3 Maja 2017 Zgłoś Udostępnij Opublikowano 3 Maja 2017 Nie dostarczyłeś raportu z AdwCleaner, więc musimy powtórzyć działanie.Nie, to nie Rootkit, a nowoczesne adware, które podmieniło program Mozilla FireFox (oraz nieistniejący Google Chrome) na swoją szkodliwa, prefabrykowaną kopie z reklamami etc.To jedna strona medalu, która wydaję się być łatwo do leczenia i tym się w ogóle nie przejmuję. Martwi mnie ten wpis w Harmonogramie zadań: Task: {F16ED5B1-D2D9-4410-A00A-AF75326949F0} - \Microsoft\Windows\Maintenance\WinSAT -> Brak pliku widziałem podobną modyfikacje przy infekcji Vbklip / Banatrix. Hmm...nawet jeśli to FRST sygnalizuję brak pliku do celowego. No nic poczekam na wynik z MBAM. Pod koniec dezynfekcja obowiązkowa zmiana haseł we wszystkich serwisach logowania, a już w szczególności w banku. P.S: Kasuję plik instalacyjny SpyHunter, bo to wątpliwa aplikacja, niepolecana.Do poczytania: KLIK. 1. Włącz funkcję przywracanie systemu (ale niczego nie przywracaj). 2. Otwórz Notatnik w nim wklej:CloseProcesses:CreateRestorePoint:Task: {D4BC4E2C-2536-4C00-A27B-A457F94CB84B} - \Reuksy -> Brak pliku Task: {DF334C75-B544-4A39-9609-51E7A98F1F72} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () Task: {E303E5C5-B4A5-41C9-AF16-81EE101B675D} - \AutoPico Daily Restart -> Brak pliku Task: {F16ED5B1-D2D9-4410-A00A-AF75326949F0} - \Microsoft\Windows\Maintenance\WinSAT -> Brak pliku RemoveDirectory: C:\Program Files (x86)\MIOHKU\S-1-5-21-3106282050-108205753-2009622092-1002\Software\Classes\regfile: regedit.exe "%1" FirewallRules: [{45176380-FD23-4D33-B4B7-4F8DB5420A5A}] => (Allow) C:\Program Files (x86)\Everness\Application\chrome.exeFirewallRules: [{22FE8A08-25A2-4C23-904D-4614CE6512B8}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exeFirewallRules: [{3BD0FCB0-CD6E-4284-953A-158D9B94F934}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exeRemoveDirectory: C:\Program Files (x86)\EvernessRemoveDirectory: C:\Program Files (x86)\FirefoxHKLM-x32\...\Run: [] => [X]HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1HKLM\...\Policies\Explorer: [NoResolveSearch] 1HKU\S-1-5-21-3106282050-108205753-2009622092-1002\...\Run: [AdobeBridge] => [X]HKLM\...\Providers\q2cq9u9l: C:\Program Files (x86)\Stitught Adapter\local64spl.dllRemoveDirectory: C:\Program Files (x86)\Stitught AdapterShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuGroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia GroupPolicyScripts: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3106282050-108205753-2009622092-1002\Software\Microsoft\Internet Explorer\Main,Start Page = R2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [108544 2017-04-26] () [brak podpisu cyfrowego]R2 SNARE; C:\Users\Vaengar\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]R2 GameExplorerUpdate; C:\ProgramData\Microsoft\Windows\GameExplorer\Resources.dll [113664 2017-04-19] () [brak podpisu cyfrowego]R2 WinSAPSvc; C:\Users\Vaengar\AppData\Roaming\WinSAPSvc\WinSAP.dll [513536 2017-05-02] (win) [brak podpisu cyfrowego] S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X]S3 WiseBootAssistant; C:\BAZA\Wise Care 365\BootTime.exe [X]S2 ZAMSvc; "C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe" /service [X]U4 CscService; Brak ImagePathU4 dcpsvc; Brak ImagePathU4 DiagTrack; Brak ImagePathU4 Fax; Brak ImagePathS0 FNETHYRAMAS; System32\drivers\FNETHYRAMAS.SYS [X]U4 IEEtwCollectorService; Brak ImagePathU4 lfsvc; Brak ImagePathU4 MapsBroker; Brak ImagePathS3 MSICDSetup; \??\G:\CDriver64.sys [X]U4 napagent; Brak ImagePathS3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X]U4 PeerDistSvc; Brak ImagePathU4 RetailDemo; Brak ImagePathU4 TimeBroker; Brak ImagePathU4 vmicheartbeat; Brak ImagePathU4 vmickvpexchange; Brak ImagePathU4 vmicrdv; Brak ImagePathU4 vmicshutdown; Brak ImagePathU4 vmictimesync; Brak ImagePathU4 vmicvss; Brak ImagePathU4 WbioSrvc; Brak ImagePathU4 WcsPlugInService; Brak ImagePathU4 wercplsupport; Brak ImagePathU4 WerSvc; Brak ImagePathU4 WPCSvc; Brak ImagePathU4 XblAuthManager; Brak ImagePathU4 XblGameSave; Brak ImagePathU4 XboxNetApiSvc; Brak ImagePathS1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]2017-04-27 22:49 - 2017-04-27 22:49 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\Vaengar\Downloads\SpyHunter-Installer.exeC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnkC:\Users\Vaengar\Desktop\Gry\Just Cause 3.lnkC:\Users\Vaengar\Desktop\Gry\Middle Earth - Shadow of Mordor.lnkC:\Users\Vaengar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Arturia\Spark VDM\Manual.lnkC:\Users\Vaengar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnkC:\Users\Vaengar\Desktop\firefox.exe.lnkC:\Users\Vaengar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\firefox.exe.lnkC:\Users\Vaengar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.lnkEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą lub jakąkolwiek inną zaufaną przeglądarkę jako domyślną. To wymagany krok, aby usunąć modyfikacje infekcji. 4. Pomimo wcześniejszych akcji: zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). everness;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Aviator Opublikowano 3 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 3 Maja 2017 Wykonałem wszystkie kroki AdwCleaner wykrył 3 infekcje - załączam logi z skanowania i oczyszczania Malwarebytes AntiMalware znalazło 24 zagrożenia FRST.txt Addition.txt Shortcut.txt AdwCleaner - Skan.txt AdwCleaner - Oczyszczanie.txt SearchReg.txt mbar-log-2017-05-03 (12-14-49).txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 4 Maja 2017 Zgłoś Udostępnij Opublikowano 4 Maja 2017 1. Zagrożenia wykryte przez MBAM daj do kasacji. Dostarcz raport z tego działania. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Everness R2 SNAREA; C:\Users\Vaengar\AppData\Local\SNAREA\Snare.dll [826368 2017-05-03] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] RemoveDirectory: C:\Users\Vaengar\AppData\Local\SNAREA C:\Users\Vaengar\AppData\Roaming\Microsoft\Word\Nowy%20OpenDocument%20Dokument%20tekstowy305872102102719150\Nowy%20OpenDocument%20Dokument%20tekstowy.odt.lnk C:\Program Files\Google\Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\User\AppData\Local\Google\Chrome DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Podsumuj obency stan systemu oraz zrób log FRST (już bez Addition i Shortcut). Pokaż też plik Fixlog. Odnośnik do komentarza
Aviator Opublikowano 4 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 4 Maja 2017 Logi po wykonanych krokach mbar-log-2017-05-04 (14-01-53).txt Fixlog.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 5 Maja 2017 Zgłoś Udostępnij Opublikowano 5 Maja 2017 Całość pomyślnie wykonana*. Ponownie proszę o podsumowanie stanu systemu. * - przeglądarka Google Chrome widoczna w logu FRST jest martwa i nie mogę jej usunąć, nie sugerować się. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się