Gibon Opublikowano 5 Czerwca 2017 Zgłoś Udostępnij Opublikowano 5 Czerwca 2017 Witam, Ostatnimi czasy wydaje mi się, że mój komputer działa wolniej niż powinien i podczas korzystania z pełnoekranowych aplikacji jestem dosyć często wyrzucany do pulpitu bez przyczyny.Przeskanowałem komputer 2 antywirusami i usunąłem zagrożenia co nie przyniosło skutku, MalwareBytes również nic nie znalazło.Kiedy zeskanowałem komputer AdwCleanerem w rejestrach znalazło parę zagrożeń, spróbowałem je usunąć niestety program w połowie przestawał działać, stwiedziłem, że wygoogluje te nazwy i z tego co znalazłem tylko to wydaje się być wirusem "hku s-1-5-21", niestety nie potrafiłem znaleźć tematu, który byłby mi w stanie pomóc.Chciałbym podkreślić, że próbując uruchomić AdwCleanera moim oczom ukazał się komunikat znadujący się poniżej w miniaturach, żeby uruchomić program musiałem przenieść go na pulpit i zrobić to za pomocą cmd.Załączam również pliki tekstowe po zeskanowaniu programem FRST. Prosiłbym o pomoc w znalezieniu rozwiązania. FRST.txt Addition.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2017 Zgłoś Udostępnij Opublikowano 5 Czerwca 2017 Kiedy zeskanowałem komputer AdwCleanerem w rejestrach znalazło parę zagrożeń, spróbowałem je usunąć niestety program w połowie przestawał działać, stwiedziłem, że wygoogluje te nazwy i z tego co znalazłem tylko to wydaje się być wirusem "hku s-1-5-21", niestety nie potrafiłem znaleźć tematu, który byłby mi w stanie pomóc. "HKU\S-1-5-21-*" to nie wirus tylko normalny identyfikator konta użytkownika, obecny w każdym Windows. Problem leży gdzie indziej, malware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów, dlatego m.in. AdwCleaner nie działa (blokada certyfikatu Malwarebytes). Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: StartBatch: netsh advfirewall reset reg export HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates C:\Users\Gibon\Desktop\cert.reg EndBatch: HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (U) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (U) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (U) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (U) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (U) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (U) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (U) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (U) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (U) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (U) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (U) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (U) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\Run: [AMDDVR] => "C:\Program Files\AMD\CNext\CNext\amddvr.exe" HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\Run: [AceStream] => C:\Users\Gibon\AppData\Roaming\ACEStream\engine\ace_engine.exe SearchScopes: HKU\S-1-5-21-1068828578-3051605171-1808777383-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = IE trusted site: HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\hola.org -> hxxp://hola.org CHR HomePage: Default -> hxxps://www.google.com/?trackid=sp-006 CHR StartupUrls: Default -> "hxxps://www.google.com/?trackid=sp-006" DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\_acestream_cache_ C:\ProgramData\23134L12724y42610N90718 C:\ProgramData\24706L95268y64492N99499 C:\ProgramData\70954L64362y73548N59425 C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\SoftwareUpdateTemp.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Video Downloader professional. To niezaufane rozszerzenie, powiązane z aktywnością adware. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstał też plik cert.reg, shostuj go gdzieś i podaj link do tego pliku. Odnośnik do komentarza
Gibon Opublikowano 5 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2017 Zrobiłem wszystko z zaleceniami. Tutaj plik cert: https://megawrzuta.pl/download/1ee5dd408ed82f00116b8eefb8e76444.html Edit: Dodam tylko, że AdwCleaner działa już bez zarzutu i usunąłem wszystkie zagrożenia, które wykrył. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2017 Zgłoś Udostępnij Opublikowano 5 Czerwca 2017 Wszystko pomyślnie usunięte, AdwCleaner i inne programy zabezpieczające odblokowane, obecnie brak oznak infekcji. Jeśli nadal system wolno działa, problem nie leży w infekcji. I sugeruję deinstalację Baidu Antivirus, który pojawił się w trakcie próby rozwiązania problemu. Jest to przeciętny i nierozwijany (w wersji anglojęzycznej) antywirus, powiązany też z kontrowersyjnymi technikami instalacji PUP (np. AdwCleaner usuwa niektóre komponenty Baidu). Na Windows 10 nie jest nawet potrzebny dodatkowy AV, wbudowany Windows Defender spełnia rolę całkiem dobrze. Poza tym, w Dzienniku zdarzeń są notowalne błędy związane z tym software: Dziennik System:=============Error: (06/05/2017 08:07:07 PM) (Source: Service Control Manager) (EventID: 7000) (User: )Description: Nie można uruchomić usługi Baidu Hook Base z powodu następującego błędu:Urządzenie dołączone do komputera nie działa. Po wykonaniu deinstalacji potrzebne nowe raporty FRST (bez Shortcut), by potwierdzić, że wszystkie startowe obiekty Baidu zostały odinstalowane. Odnośnik do komentarza
Gibon Opublikowano 5 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2017 Antywirus usunąłem i włączyłem usługę Windows Defender. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 6 Czerwca 2017 Zgłoś Udostępnij Opublikowano 6 Czerwca 2017 Do usunięcia szczątki po Baidu. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx64.dll -> Brak pliku Task: {3C078223-94F7-447C-A454-2CE0D63E53EF} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Baidu Security RemoveDirectory: C:\ProgramData\Baidu RemoveDirectory: C:\ProgramData\Baidu Security RemoveDirectory: C:\Users\Gibon\AppData\LocalLow\BAVData RemoveDirectory: C:\Users\Gibon\AppData\Roaming\Baidu RemoveDirectory: C:\Users\Gibon\AppData\Roaming\BavMini RemoveDirectory: C:\Users\Gibon\Downloads\FRST-OlderVersion RemoveDirectory: C:\Users\Public\Documents\Baidu StartBatch: del /q C:\Users\Gibon\Downloads\cert.reg del /q C:\Windows\system32\bdhookx64.dll del /q C:\Windows\system32\BdSandboxDll64.dll del /q C:\Windows\system32\Drivers\Bprotect.sys.1496687251 del /q C:\Windows\system32\Drivers\Bfilter.sys.1496687249 del /q C:\Windows\system32\Drivers\Bfmon.sys.1496687249 del /q C:\Windows\system32\Drivers\bnbasex64.sys.1496687250 del /q C:\Windows\system32\Drivers\bndef64.sys.1496687251 del /q C:\Windows\SysWOW64\bdhookx86.dll del /q C:\Windows\SysWOW64\BdSandboxDll32.dll EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. I podsumuj jak działa obecnie system. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się