jupi Opublikowano 16 Czerwca 2017 Zgłoś Udostępnij Opublikowano 16 Czerwca 2017 Witam 2 dni temu złapałem jakiegoś syfa. Większość usunąłem przy pomocy ADWcleanera ale zostało coś o nazwie MAOHA. Nie może sobie z tym poradzić. Po każdym czyszczeniu jest spokój na godzinę lub 2 i znowu infekuje Chrome. Logi z FRST w załączniku. Bardzo proszę o szybką pomoc. Tomek Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2017 Zgłoś Udostępnij Opublikowano 16 Czerwca 2017 Jest tu więcej infekcji, nie tylko Maoha. Skrypt we WMI infekuje skróty przeglądarki w określonych odstępach czasu, są też zasady grupy ustawione blokujące określone funkcje Chrome. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe R2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [130072 2017-02-16] (深圳市猫哈网络科技发展有限公司) R2 mptpmdxm; C:\Windows\SysWow64\mptpmdxm.dll [460072 2017-06-14] () R1 cytdsk; C:\WINDOWS\System32\drivers\cytdsk.sys [195496 2017-06-13] () R1 JszipProtect; C:\Program Files (x86)\Maoha\JiSuZip\JsZipProtect64.sys [39256 2016-12-27] () R1 LanmaMaster; C:\WINDOWS\system32\drivers\lanmamaster.sys [2978920 2016-11-11] () [brak podpisu cyfrowego] R2 UefGdstor; C:\WINDOWS\system32\drivers\UefGdstor.sys [192552 2016-11-11] () R1 WiserIso; C:\WINDOWS\System32\Drivers\vcdrom.sys [25432 2016-12-27] () Task: {EE6EDC50-E002-43E5-855B-D16EE1FB9364} - System32\Tasks\CloneList => Rundll32.exe "C:\Program Files\CloneList\CloneList.dll",xkYjNSAWtNj ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司) ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-646645915-3493183111-878668481-1001\Software\Microsoft\Internet Explorer\Main,Start Page = DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\CloneList C:\Program Files (x86)\Maoha C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\WindowsTM C:\ProgramData\Cache C:\ProgramData\WinCacheData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩 C:\Users\lucca\AppData\Local\InstallationConfiguration.xml C:\Users\lucca\AppData\Local\installer.dat C:\Users\lucca\AppData\Local\test_db_cara.db C:\Users\lucca\AppData\Roaming\Nvu C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\IPCSearch.lnk C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\IPCSearcher.exe.lnk C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\lucca\Desktop\IPCSearch.lnk C:\WINDOWS\System32\drivers\cytdsk.sys C:\WINDOWS\system32\drivers\lanmamaster.sys C:\WINDOWS\system32\drivers\UefGdstor.sys C:\WINDOWS\System32\Drivers\vcdrom.sys C:\Windows\SysWow64\mptpmdxm.dll CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome Ustawienia > karta Rozszerzenia > odinstaluj Tables. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. Odnośnik do komentarza
jupi Opublikowano 17 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2017 W załączniku fixlog i nowe logi z FRST. Wrzucam też logi z ADWcleanera Wszystkich jest kilkadziesiąt, wrzuciłem z dnia dzisiejszego. przed naprawą FRST i kilka po.. ADW cały czas znajduje jakieś zagrożenie o nazwie Lanmamaster. Nie może sobie poradzić z usunięciem. Addition.txt FRST.txt Fixlog.txt AdwCleanerS10.txt AdwCleanerC10.txt AdwCleanerS9.txt AdwCleanerC9.txt AdwCleanerS8.txt AdwCleanerC8.txt AdwCleanerS7.txt Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2017 Zgłoś Udostępnij Opublikowano 17 Czerwca 2017 Miałeś tylko dostarczyć logi z AdwCleaner sprzed pojawienia się na forum (czyli z wczoraj lub wcześniej), a nie uruchamiać program przed i po naprawie FRST. Kolizja ze skryptem FRST i zaciemnianie wyników. Obecnie trzymaj się tylko operacji z FRST, gdy będę potrzebować odczyt z AdwCleaner, poproszę o niego. FRST nie był w stanie ubić sterownika UefGdstor (w ogóle nie wykrywany przez AdwCleaner). Natomiast LanmaMaster nie jest obecny w dostarczonym raporcie FRST, ale pokazuje go nowszy log z AdwCleaner (czyli sterownik mógł wrócić). Ja się jednak trzymam odczytu z FRST a nie AdwCleaner, najwyżej podam potem kolejną poprawkę. Kolejne podejście: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: U2 mptpmdxm; C:\Windows\SysWow64\mptpmdxm.dll [460072 2017-06-14] () R2 UefGdstor; C:\WINDOWS\system32\drivers\UefGdstor.sys [192552 2016-11-11] () C:\ProgramData\Cache C:\WINDOWS\system32\drivers\UefGdstor.sys C:\WINDOWS\SysWOW64\mptpmdxm.dll Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Wejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut, oraz GMER. Dołącz też plik fixlog.txt. Odnośnik do komentarza
jupi Opublikowano 17 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2017 Przepraszam. Wszystko wykonane teraz wg twojej instrukcji. Logi w załączniku. Gmer wykrył jakiegoś rootkita... nic z tym nie robiłem. Addition.txt FRST.txt Fixlog.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2017 Zgłoś Udostępnij Opublikowano 17 Czerwca 2017 "Rootkit" wykryty przez GMER to sterowniki tymczasowe Windows Defender relatywne do aktualizacji bazy danych. Wyniki do zignorowania. Poprzednie zadania wykonane pomyślnie, ale rzeczywiście LanmaMaster wrócił w czasie między logami FRST a AdwCleaner. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R1 LanmaMaster; C:\WINDOWS\system32\drivers\lanmamaster.sys [2957416 2016-11-11] () [brak podpisu cyfrowego] C:\ProgramData\WinCacheData C:\Users\Public\Documents\XMUpdate C:\WINDOWS\system32\lanmamasterHelp.dll C:\WINDOWS\system32\drivers\lanmamaster.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
jupi Opublikowano 19 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2017 Logi w załączniku. Chyba jest już czysto Dziękuję za pomoc FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 19 Czerwca 2017 Zgłoś Udostępnij Opublikowano 19 Czerwca 2017 Wszystko pomyśnie usunięte. Na koniec zastosuj DelFix. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się