Skocz do zawartości

Samoistne instalacje i utrata uprawnień do działań w systemie.


Gość

Rekomendowane odpowiedzi

Od pewnego czasu borykam się z paroma problemami, oto one :

1.Instalacje programów bez jakiegokolwiek działania z mojej strony.

link do skanu przykładowego programu : https://www.virustotal.com/pl/file/8976c4f7a0b166c0dcaedfaa666d45b0bb7a282a7ad4b6de41c0688c24f5e9d3/analysis/1493584990/

2.Duży spadek wydajności. Z góry napiszę że nie jest to wina hardware.

3.Brak dostępu do niektórych plików i folderów w tym systemowych, a nawet programów z panelu sterowania. (konto administratora)

post-19233-0-37280000-1493597996_thumb.png

4.Ukryte foldery i pliki w nich (jest włączona opcja pokazywania ukrytych folderów), widać je jedynie w procesach.

post-19233-0-03440000-1493598144_thumb.pngpost-19233-0-58200000-1493598143_thumb.pngpost-19233-0-89560000-1493598142_thumb.png

5.Zmiana wyglądu menu start.

6.Zmiana nazw folderów typu zdjęcia, dokumenty itd. na wersje anglojęzyczną.

7.Trzy procesy explorer.

post-19233-0-70920000-1493598395_thumb.png

Addition.txt

FRST.txt

GREG.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest zainfekowany złośliwym oprogramowaniem ciężkiego kalibru co widać po raporcie z VirusTotal oraz co widać po stronie raportów. Adware...jest...jak zawsze, ale teraz jest pobocznym problemem.

 

Leczymy system, pobieram dodatkowo informacje o uprawieniach z przykładowego folderu.

 

1. Przez panel sterowania odinstaluj:

  • Zbędniki: Akamai NetSession Interface.
Sugeruję również pozbycia się oprogramowania marki IObit. Dlaczego? To firma z szemraną przeszłością - potwierdzona kradzież bazy danych Malwarebytes. Innych kontrowersji nie wymieniam, bo są nieoficjalne i niepotwierdzone. 

 

W raportach widzę również szczątki po wątpliwym skanerze SpyHunter. Cytuje z tematu picasso:

 

SpyHunter - Skaner wątpliwej reputacji bardzo silnie forsowany w wynikach Google i stosujący techniki manipulacji skłaniające do instalacji. Na Google cała masa wysoko pozycjonowanych opisów "usuwania malware" skonstruowanych w taki sposób, by pobrać SpyHunter jako cudowny darmowy lek na daną infekcję. Po instalacji okazuje się, że jest to program płatny. Niestety SpyHunter raczej nie jest wykrywany i usuwany, gdyż każde takie podejście kończy się sprawą w sądzie - przykład z AdwCleaner.

 

To jak postąpisz to Twoja decyzja, natomiast ja sugeruję zastosować SpyHunterCleaner, aby całkowicie usunąć ten twór. 

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,C:\Users\Admin\AppData\Roaming\DCSCMIN\IMDCSC.exe
HKU\S-1-5-21-2316587192-2815210435-4262640799-1000\...\Run: [MSConfig] => C:\Users\Admin\mfbprsq.exe [48173056 2017-04-28] (Bullguard)
HKU\S-1-5-21-2316587192-2815210435-4262640799-1000\...\Run: [remcos] => C:\Users\Admin\AppData\Roaming\remcos\winmgr.exe [36864 2017-05-01] ()
HKU\S-1-5-21-2316587192-2815210435-4262640799-1000\...\Policies\Explorer\Run: [Wow6432Node] => C:\Users\Admin\AppData\Roaming\Microsoft\grihwbgd\gtvasbwc.exe [155140 2017-03-08] ()
C:\Users\Admin\AppData\Roaming\remcos
C:\Users\Admin\AppData\Roaming\Microsoft\grihwbgd
C:\Users\Admin\AppData\Roaming\DCSCMIN
C:\Users\Admin\mfbprsq.exe
HKU\S-1-5-21-2316587192-2815210435-4262640799-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
IFEO\AUpdate.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\BigUpgrade_IU.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\DSPut.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\f2p_ping.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\Feedback.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\HiPatchService_IObitDel.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\HiRezGamesDiagAndSupport.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\Install_PintoStartMenu.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\IObitDownloader.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\IObitRegister.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\IUDM.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\IUPluginNotice.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\IUService.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\IU_InstallBeforWork.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\maintenanceservice.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\NoteIcon.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\playstv.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\playstv_launcher.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\plays_encoder_server-120220.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\plays_encoder_server-122108.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\plays_encoder_server64-120220.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\plays_encoder_server64-122108.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\plays_ep64.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\plays_service.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\ScreenShot.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\SendBugReportNew.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\upload_logs.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\VideoCardCompatibility.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
IFEO\XmasPromote.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
GroupPolicyScripts: Ograniczenia 
GroupPolicyScripts-x32: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
URLSearchHook: [s-1-5-21-2316587192-2815210435-4262640799-1000] UWAGA => Brak domyślnego URLSearchHook
FF Extension: (Fast search) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\kb1gtk3k.default-1474363501998\Extensions\amcontextmenu@loucypher [2017-04-04]
S3 avchv; system32\DRIVERS\avchv.sys [X]
S1 bdfwfpf; \??\C:\Program Files\Lavasoft\Ad-Aware Antivirus\Firewall Engine\1.6.1.0\Drivers\bdfwfpf.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 gkernel; \??\C:\Users\Admin\AppData\Local\Temp\gkernel.sys [X] 
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
S3 xspirit; \??\C:\Windows\xspirit.sys [X]
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
ListPermissions: C:\Windows
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

 

3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
4. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 

 

5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...