Calmstar Opublikowano 20 Czerwca 2017 Zgłoś Udostępnij Opublikowano 20 Czerwca 2017 Witam, od jakiegoś czasu przeglądarka chrome i inne dziwnie się zachowują. Mianowicie mimo adblockera czasem wyświetlają się reklamy w okienku "Advertising" na całą stronę. Kliknięcie na stronę czasem powoduję otwarcie dziwnego linku z niechcianymi informacjami itp. oraz czasem otwierana strona zawiesza się. Chciałem zainstalować program anti malware niestety po ściągnięciu instalacji i próbie włączenia pliku instalacyjnego wyświetla się komunikat "Żądane zasoby są w użyciu" taki komunikat wyświetla się tylko dla instalek różnych programów antywirusowych ( próbowałem na wielu ) Załączam logi z FRST oraz OTL , pełne skanowanie GMER-em powoduje blue screena, ale będę dalej próbował ( załączam początkowy scan z GMER-a) Pozdrawiam , Edit: dokładam scan z GMER-a FRST.txt Addition.txt Shortcut.txt gmer.txt GMER scan.txt Odnośnik do komentarza
Miszel03 Opublikowano 20 Czerwca 2017 Zgłoś Udostępnij Opublikowano 20 Czerwca 2017 System jest zainfekowany infekcją Trojan.SmartSerives blokującą oprogramowanie zabezpieczające. Widoczne są również istotne instalacje adware. 1. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj: Browser-Security. Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\.scr: EAGLESCR => "C:\EAGLE 8.0.1\eagle.exe" "%1" <===== UWAGA HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [cpx] => "C:\Users\Kacper\AppData\Local\ntuserlitelist\cpx\cpx.exe" -starup <===== UWAGA HKLM-x32\...\Run: [svcvmx] => C:\Users\Kacper\AppData\Local\ntuserlitelist\svcvmx\svcvmx.exe [884224 2017-04-21] () C:\Users\Kacper\AppData\Local\ntuserlitelist HKU\S-1-5-21-4043991316-322300738-1598774976-1001\...\Run: [NEFPMCZBZG.exe] => C:\Users\Kacper\AppData\Local\Temp\65-8a05c-481-70c91-cd38301bfb72a\NEFPMCZBZG.exe m_5 L_1 <===== UWAGA HKU\S-1-5-21-4043991316-322300738-1598774976-1001\...\StartupApproved\Run: => "NEFPMCZBZG.exe" GroupPolicy: Ograniczenia <======= UWAGA R2 Dataup; C:\Users\Kacper\AppData\Local\ntuserlitelist\dataup\dataup.exe [77824 2017-01-05] () [Brak podpisu cyfrowego] <==== UWAGA R2 windowsmanagementservice; C:\Users\Kacper\AppData\Local\fdceag\ct.exe [689152 2017-05-17] () [Brak podpisu cyfrowego] <==== UWAGA C:\Users\Kacper\AppData\Local\fdceag S4 NvStreamSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe" [X] S3 niwdk; Brak ImagePath S3 niimaqk; system32\drivers\niimaqk.sys [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] U3 uxroqfow; \??\C:\Users\Kacper\AppData\Local\Temp\uxroqfow.sys [X] <==== UWAGA Unlock: HKLM\SYSTEM\ControlSet001\Services\drmkpro64 R5 drmkpro64; EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj (pod koniec rozwiązywania problemów) rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Calmstar Opublikowano 20 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2017 Pkt 1. nie było dostępnego Browser-Security Pkt 2. Zrobione, logi załączone ( Pkt 4.) Pkt 3. Zrobione Mozilla ok , chrome nie chciał zainstalować dodatku , przerywało download. Shortcut.txt FRST.txt Fixlog.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Już moglibyśmy kończyć temat, gdyby nie to, że głowna gwiazda wieczoru, czyli Trojan.SmartService to twardy zawodnik. Spróbujemy potraktować skyptem wykonanym z poziomu Tryby Awaryjnego. Reszta działań została pomyślnie wykonana, a uBlock może być blokowany przez omawianego nieproszonego gościa. Browser-Security zniknął również z raportów, więc to była tylko resztka. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM-x32\...\Run: [cpx] => "C:\Users\Kacper\AppData\Local\ntuserlitelist\cpx\cpx.exe" -starup <===== UWAGA HKLM-x32\...\Run: [svcvmx] => "C:\Users\Kacper\AppData\Local\ntuserlitelist\svcvmx\svcvmx.exe" -starup RemoveDirectory: C:\Users\Kacper\AppData\Local\ntuserlitelist S2 Dataup; C:\Users\Kacper\AppData\Local\ntuserlitelist\dataup\dataup.exe [X] <==== UWAGA S2 windowsmanagementservice; C:\Users\Kacper\AppData\Local\fdceag\ct.exe [X] <==== UWAGA RemoveDirectory: C:\Users\Kacper\AppData\Local\fdceag Unlock: HKLM\SYSTEM\ControlSet001\Services\drmkpro64 R5 drmkpro64; EmptyTemp: Z klawiatury CTRL+S, by zapisać zmiany. Wejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt. * Przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Calmstar Opublikowano 21 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 skrypt wykonał się bez problemu , załączam pliki Edit. problem z ublockiem nie zniknął, oraz nadal nie mogę żadnego antywirusa zainstalować FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Bez wątpienie to gadzina niezła jest, bo znowu nie chcę się usunąć (nałożyła blokady). Teraz się uda na bank. 1. Odładuj pamięciowe elementy Trojan.SmartService za pomocą narzędzia RKill (nie wolno Ci po tym zabiegu zrestartować systemu!). 2. Wykonaj skrypt z mojego poprzedniego posta (pkt. 1). Odnośnik do komentarza
Calmstar Opublikowano 21 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Niestety RKill też nie chce się uruchomić Odnośnik do komentarza
Miszel03 Opublikowano 22 Czerwca 2017 Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 1. Uruchom Registry DeleteEx *. Zaznacz opcję "Recursively delete all subkeys". W pasku adresów wklej poniższy klucz i usuń go. HKLM\SYSTEM\CurrentControlSet\Services\drmkpro64 Zresetuj system. 2. Wykonaj skrypt FRST, ten sam, co w pkt. 1 mojego 1 posta. Dostarcz Fixlog. 3. Zrób nowy zestaw raportów FRST. * Jeśli będzie problem to usuń, następnie pobierz jeszcze raz i przed uruchomieniem zmień nazwę np. na asd123 (i zostawiasz .exe). Odnośnik do komentarza
Calmstar Opublikowano 22 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 Niestety "Failed to delet registry key" usunąłem i pobrałem jeszcze raz , zmieniłem nazwę i nadal to samo . Odnośnik do komentarza
Miszel03 Opublikowano 22 Czerwca 2017 Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 Jedyne co mi jeszcze przychodzi do głowy, żeby usunąć gada to chyba jedynie z poziomu środowiska zewnętrznego WinRe (wtedy obrona klucza nam może skoczyć). Skonsultuje się z picasso i nie wykluczone, że ona przejmie sterty. Odnośnik do komentarza
picasso Opublikowano 22 Czerwca 2017 Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 Szkoda, że nie widziałam tego tematu wcześniej, to szybko by poszło usuwanie. drmkpro64 to znany rootkit blokujący programy podpisane cyfrowo. Jest potrzebna specjalna niepodpisana cyfrowo wersja narzędzia usuwającego, orientowana na infekcje rootkit. 1. Uruchom specjalną wersję Malwarebytes Anti-rootkit. Wykonaj skan i usuwanie. Dostarcz log końcowy narzędzia. 2. Następnie zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Odnośnik do komentarza
Calmstar Opublikowano 22 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 1. Udało się usunąć chociaż były problemy. Mianowicie przy pierwszym uruchomieniu tyle tego znalazł że aż się zawiesił program.. odnajdywał ok 3000 infekcji typu [clicker] w folderze [\AppData\Local\llssoft] .. wykorzystałem jeszcze jeden program MalwareBytes AdwCleaner który usunął całkowicie ten folder, później znowu uruchomiłem Anti-rootkita i już dokończył skanowanie bez problemu nie znajdując tak porażającej ilości [clickerów] 2. Skany poniżej Dzięki przeogromne za pomoc i poświęcony czas ! Sam nigdy nie byłbym w stanie dojść do takiego etapu. FRST.txt Addition.txt AdwCleanerC0.txt mbar-log-2017-06-22 (16-31-46).txt mbar-log-2017-06-22 (17-09-39).txt mbar-log-2017-06-22 (17-24-09).txt Odnośnik do komentarza
picasso Opublikowano 23 Czerwca 2017 Zgłoś Udostępnij Opublikowano 23 Czerwca 2017 Wg raportów wszystko usunięte. Natomiast mam uwagę co do tego kwiatka: 2017-06-20 18:38 - 2017-06-20 18:38 - 01594072 _____ ( ) C:\Users\Kacper\Downloads\uBlock Origin 1.12.4 dla Google Chrome.exe 2017-06-20 18:38 - 2017-06-20 18:38 - 00003354 _____ C:\Users\Kacper\Downloads\uBlock Origin 1.12.4 dla Google Chrome.html To na pewno nie jest oryginalny instalator uBlock Origin (nie występuje w postaci EXE tylko w formacie pod konkretną przeglądarkę), i wygląda na śmiecia typu "Asystent pobierania" jakiegoś portalu. uBlock Origin i to w nowszej wersji 1.13.2 dostępny dla głównych linii przeglądarek na stronie domowej projektu: KLIK. Do wglądu też ogólna lista oprogramowania: KLIK. Działania końcowe: 1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres gazeta.pl (o ile nie był wprowadzany ręcznie, to może być wtręt sponsorowany), następnie przełącz z powrotem na "Nową kartę". 2. Drobny kosmetyczny skrypt na szczątkowe wpisy oraz usuwający wszystkie stare pluginy z Firefox (od wersji FF 52 jedyny obsługiwany plugin zewnętrzny to Adobe Flash, reszta niewykrywalna). Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: HKU\S-1-5-21-4043991316-322300738-1598774976-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Kacper\Downloads\rkill.scr [2030536 2017-06-21] (Bleeping Computer, LLC) HKLM\...\StartupApproved\Run: => "TUCCDUtil" HKU\S-1-5-21-4043991316-322300738-1598774976-1001\...\StartupApproved\Run: => "NIRegistrationWizard" Task: {384C9C45-F183-461F-8162-99C8490D5081} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe GroupPolicyScripts: Ograniczenia <======= UWAGA DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\!KillBox RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\Users\Kacper\AppData\Local\F-Secure RemoveDirectory: C:\Users\Kacper\AppData\Local\FSDART RemoveDirectory: C:\Users\Kacper\Desktop\mbar RemoveDirectory: C:\Users\Kacper\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Kacper\Downloads\FRST-OlderVersion StartBatch: del /q C:\Users\Kacper\AppData\Local\report del /q C:\Users\Kacper\Downloads\SpyHunter-Installer.exe del /q C:\Users\Kacper\Downloads\uBlock*.* del /q C:\Windows\system32\Drivers\mbamchameleon.sys del /q C:\Windows\system32\Drivers\MBAMSwissArmy.sys netsh advfirewall reset EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. Z folderu Pobrane dokasuj ręcznie przez SHIFT+DEL (omija Kosz) wszystkie inne używane ostatnio narzędzia usuwające których nie zaadresuje DelFix. 4. Poniżej wyliczone programy do deinstalacji i zastąpienia najnowszymi wersjami: KLIK. Wątek o wymianie uTorrent na Qbittorent jak najbardziej aktualny. ==================== Zainstalowane programy ====================== Adobe Flash Player 24 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 24.0.0.221 - Adobe Systems Incorporated) Adobe Reader XI - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated) Apple Software Update (HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.) Java 8 Update 101 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180101F0}) (Version: 8.0.1010.13 - Oracle Corporation) Java SE Development Kit 8 Update 101 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0180101}) (Version: 8.0.1010.13 - Oracle Corporation) Obsługa programów Apple (HKLM-x32\...\{46F044A5-CE8B-4196-984E-5BD6525E361D}) (Version: 2.3.6 - Apple Inc.) QuickTime 7 (HKLM-x32\...\{FF59BD75-466A-4D5A-AD23-AAD87C5FD44C}) (Version: 7.79.80.95 - Apple Inc.) Odnośnik do komentarza
Calmstar Opublikowano 23 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2017 Fix zakończył się tylko zaraz potem uruchomiłem Delfix-a i usunął fixlog :/ Foldery poczyszczone , programy aktualizuje właśnie. W zamian za fixloga.. dołączam jeszcze skany z FRST ale po zachowaniu przeglądarek widzę że już jest wszystko w normie. Dzięki Wielkie ! Odnośnik do komentarza
picasso Opublikowano 23 Czerwca 2017 Zgłoś Udostępnij Opublikowano 23 Czerwca 2017 Nowe logi z FRST już zbędne i je usuwam. Brak zmian mających znaczenie do oceny. I w związku z tym że znowu uruchomiłeś FRST, ponownie poczęstuj się DelFix by skasował komponenty FRST. Na koniec do usunięcia plik C:\DelFix.txt. Odnośnik do komentarza
Calmstar Opublikowano 23 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2017 Ok, Jeszcze raz dzięki za pomoc ! Odnośnik do komentarza
Rekomendowane odpowiedzi