ullortnaci Opublikowano 12 Maja 2017 Zgłoś Udostępnij Opublikowano 12 Maja 2017 Witam. Po usunięciu wirusa, który tworzył na pulpicie nowe ikony programów, w Google Chrome nie działa odtwarzanie filmów. Nie działa też instalowanie na nowo Google Chrome. Do tego Chrome jest w folderze "Bagsarah". Obecnie działa tylko Chrome w wersji bez instalacji. Poniżej logi, byłby także GMER, ale wywołuje on BSOD i nie da rady zrobić logów. Shortcut: http://wklej.org/id/3111718/ Addition: http://wklej.org/id/3111719/ FRST: http://wklej.org/id/3111720/ Z góry dziękuję za wszelką udzieloną pomoc w rozwiązaniu problemu. Odnośnik do komentarza
Miszel03 Opublikowano 13 Maja 2017 Zgłoś Udostępnij Opublikowano 13 Maja 2017 System jest zainfekowany przez adware. Widoczne są dwie fałszywki Mozilli FireFox oraz Google Chrome (= choć nie ma oryginalnej wersji). Nie będę się rozpisywać, bo codziennie widzę tu to samo. Portale z oprogramowaniem / Instalatory - na co uważać 1. Spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) z poziomu tego folderu: C:\Program Files (x86)\UCBrowser. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0C1D3284-F9EB-44E0-A7F7-3CC3A7352B0A} - System32\Tasks\Semogh Log => C:\Program Files (x86)\Haqayjoby\fujedom.exe [2017-05-11] (Google Inc.) Task: {B6E4A906-D5D6-4BE8-AD33-C0F5C02D0EC7} - System32\Tasks\Microsoft\Windows\DeviceSettings\Grersk => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=ST3500418AS_5VMCCGMVXXXX5VMCCGMV&d=20170511 /q Task: {02C2A22A-C29D-4D83-8BD7-259FE956A523} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-05-11] (UC Web Inc.) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => RemoveDirectory: C:\Program Files (x86)\Haqayjoby RemoveDirectory: C:\Program Files (x86)\UCBrowser AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914] AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458] FirewallRules: [{158FBB2C-7DB1-4EA0-8AF3-4E10CC2D8C78}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe FirewallRules: [{28B582FF-A45E-4734-B6B1-E08CB917A5A1}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{E4F68CA9-4FA9-42E4-BE4E-F74481E2F6B1}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Bagsarah RemoveDirectory: C:\Program Files (x86)\Firefox HKLM\...\Providers\s06ycus6: C:\Program Files (x86)\Semogh Log\local64spl.dll [313856 2017-05-11] () C:\Program Files (x86)\Semogh Log IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe ShellExecuteHooks: Brak nazwy - {4EA8E362-3172-11E7-AE20-64006A5CFC23} - C:\Users\Milosz\AppData\Roaming\Przuherderse\Thicole.dll -> Brak pliku C:\Users\Milosz\AppData\Roaming\Przuherderse ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司) C:\Program Files (x86)\Maoha GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia S2 NPASRE; C:\Users\Milosz\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego] S2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [X] R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Milosz\Desktop\Tor Browser\Start Tor Browser.lnk C:\Users\Milosz\Desktop\Pulpit\Mozilla Firefox.lnk C:\Users\Milosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\test\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\User\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
ullortnaci Opublikowano 13 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2017 Nie udało się odinstalować programem - chińskie znaki, do tego nic się nie dzieje po użyciu. Usunąłem foldery i został tylko jeden - Security. Logi: ADW: http://wklej.org/id/3112313/ Fixlog: http://wklej.org/id/3112314/ Addition: http://wklej.org/id/3112315/ FRST: http://wklej.org/id/3112316/ SearchReg: http://wklej.org/id/3112317/ Shortcut: http://wklej.org/id/3112318/ + Z czego wynika to, że zwykły antywirus nie jest w stanie usunąć tych wirusów? Odnośnik do komentarza
Miszel03 Opublikowano 12 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2017 Witam, poproszę o nowy zestaw raportów FRST. Przepraszam za poźną odpowiedź. + Z czego wynika to, że zwykły antywirus nie jest w stanie usunąć tych wirusów? Wynika to z tego, że oprogramowanie zabezpieczające praktycznie wszystkich producentów (prócz MBAM na przykład) ma kolosalny problem z detekcją infekcji adware / PUP. Te zagrożenia schodzą na drugą półkę - a to wnioskuje właśnie po problemach z detekcjami. Sam zgłaszam tygodniowo kilkadziesiąt próbek z adware / PUP do laboratorium Kasperskiego, by wyeliminować te infekcje przede wszystkim trzeba świadomości użytkowników - dlatego podaje ten artykuł o portalach z oprogramowaniem, które często są temu winne. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się