Skocz do zawartości

Prośba o sprawdzenie logów


Rekomendowane odpowiedzi

Witam

 

Chciałbym po prosić o sprawdzenie logów.

System to Windows 10 x64 Home.

Problemem są jakieś śmieci zainstalowane przez moją nie uwagę. Niektóre udało mi się usunąć Adwcleanerem oraz MBAM, ale pozostałych nie udało mi się usunąć (np. jakieś yeadesktop z przeglądarki chrome).

 

Załączone pliki.

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest zainfekowany przez adware. Widoczne tutaj to m.in UCBrowser, SafeFinder, Albireo. Oprócz tego są również pojedyncze modyfikacje np. polityk grup, WMI, lokalizacji itp. 

 

Dodatkowo zauważyłem w Twoim systemie martwe elementy programu SpyHunter - to wyrób o wątpliwej reputacji, więc, aby się go pozbyć w całości proponuję użyć SpyHunterClener.

Chciałbym również, abyś przeczytał poniższy obszerny artykuł, który w przyszłości może ochronić Cię przed ponowną wizytą w tym dziale :) 

 

Portale z oprogramowaniem / Instalatory - na co uważać

 

1. Deinstalacje.

  • Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware SafeFinder * .
  • Wejdź do folderu C:\Program Files (x86)\UCBrowser i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) *.
  • Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.  
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Task: {2F28A952-D70C-4648-ADF3-5F0CCF20A304} - System32\Tasks\AutoPico Daily Restart => C:\Users\FSX\Desktop\Portable\AutoPico.exe
Task: {42A1FC8E-9817-4C17-ABA5-09EA91D80489} - System32\Tasks\{B7B447C5-67E6-437D-B587-AAD0248A14A2} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Fresh-Com\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Fresh-Com\uninstall.dat" -a uninstallme 071CDB9C-B6AB-4E5C-A410-76ACBA8EA7E8 DeviceId=c46eeb73-e710-ca64-1ed0-2af895df0517 BarcodeId=51749003 ChannelId=3 DistributerName=APSFBcnmonetize
Task: {621A0419-6C97-4C0A-8F18-6238D62F7E2A} - System32\Tasks\RPN RegSnap => Rundll32.exe "C:\Program Files\RPN RegSnap\RPN RegSnap.dll",FQpBZp 
Task: {7696A3AB-954C-4752-92CF-6E8044415A0B} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
Task: {7DB04FFB-37F1-4E50-A829-F6CB167E4504} - System32\Tasks\Symbillar Scheduler => Rundll32.exe "C:\Program Files\Symbillar Scheduler\Symbillar Scheduler.dll",GgsRxsiCn 
Task: {8B5FAFC9-E7E2-4C2C-86F3-976F288D95AD} - \{040A0847-0A7E-0D7A-7D11-0E04787A117A} -> Brak pliku 
Task: {A32EAC54-6C79-44BC-863A-118073741AA6} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe 
Task: {D328B67B-F9A0-4F3B-853B-2D52F3B35A04} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\iuQhMgB.dll",#1 
Task: {D8013A39-8068-4CAD-B5C4-90C4A85F482D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
Task: {E1A9BD0B-096F-4D53-8148-8C3BD60E4348} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A2 => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\iuQhMgB.dll",#1 
Task: C:\WINDOWS\Tasks\E3605470-291B-44EB-8648-745EE356599A.job => C:\Program Files (x86)\YubeAlckU\iuQhMgB.dll 
Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
C:\Program Files\RPN RegSnap
C:\Program Files\Symbillar Scheduler
C:\Program Files (x86)\UCBrowser
C:\Program Files (x86)\YubeAlckU
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\FSX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\FSX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
HKLM\...\StartupApproved\Run: => "Malwarebytes TrayApp"
HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\...\StartupApproved\Run: => "'4HeFx#tH0.exe"
C:\Program Files\Windows Media Player\DETKPJGAUJO1C57UUH2TP90HFZAZ9UKBS8IOKS2NS0IFYPYOT
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll -> Brak pliku
C:\Program Files (x86)\Maoha
GroupPolicy: Ograniczenia - Chrome 
GroupPolicyScripts-x32: Ograniczenia 
GroupPolicyScripts-x32\User: Ograniczenia 
HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKQAGpaHsTBZ4Yi50GKpHmigIbJkSZuyGhcI3YK3Fo98afip1ql9S4JbTFNtPcuV5kqpIBUn28V0xhtFTOtBosb-Hf1o_htI45HfUY0w_ZHHvHcVLoNGuxnIO0iyAtFflu5ULmRCMHXjgQgKeO1rnNcIAhNQA,&q={searchTerms}
HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> {0BBF3F7A-D636-4961-AA68-F4EB8EE7D453} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk1-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKU\S-1-5-21-3145106597-2943682012-1353001551-1001 -> {0BBF3F7A-D636-4961-AA68-F4EB8EE7D453} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk1-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx 
CHR HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
S2 FSLabs Service; C:\Program Files (x86)\FlightSimLabs\FSLSpotLights\FSLService\FSLService.exe [X]
S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] 
R1 cytdsk; C:\WINDOWS\System32\drivers\cytdsk.sys [195496 2017-06-13] () 
C:\WINDOWS\System32\drivers\cytdsk.sys
U0 aswVmm; Brak ImagePath
S1 ucdrv; \??\C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [X] 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\unEZCA2.exe
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\dbg
C:\Users\FSX\AppData\Local\69ff07055291669bb2b218.72821112
C:\Users\FSX\AppData\Local\agent.dat
C:\Users\FSX\AppData\Local\Config.xml
C:\Users\FSX\AppData\Local\Greenfax.exe
C:\Users\FSX\AppData\Local\Greenfax.tst
C:\Users\FSX\AppData\Local\installer.dat
C:\Users\FSX\AppData\Local\Joytom.bin
C:\Users\FSX\AppData\Local\Main.dat
C:\Users\FSX\AppData\Local\md.xml
C:\Users\FSX\AppData\Local\noah.dat
C:\Users\FSX\AppData\Local\ScotString.bin
C:\Users\FSX\AppData\Local\test_db_cara.db
C:\Users\FSX\AppData\Local\uninstall_temp.ico
C:\Users\FSX\AppData\Local\Mozilla
C:\Users\FSX\AppData\Roaming\Mozilla
C:\WINDOWS\SECOH-QAD.exe
C:\WINDOWS\SECOH-QAD.dll
C:\WINDOWS\system32\Drivers\390823F7.sys
C:\WINDOWS\system32\Drivers\4B69379C.sys
C:\WINDOWS\system32\Drivers\vcdrom.sys
C:\WINDOWS\system32\Drivers\WinDivert64.sys
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

3. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. 

 

------

 

* 1 - jeśli nie pójdzie to zrobisz to z poziomu panelu sterowania.

* 2 - jeśli pojawią się problemy to pominiesz ten podpunkt, bo skrypt w następnym punkcie usunie jego widoczne elementy.

Odnośnik do komentarza

Wszystko poprawnie wykonane, system dokładnie wyczyszczony. Wdrążam skan końcowy i weryfikacje usług. Jak wygląda sytuacja z Twojej strony?
Instalacja SafeFinder jest prawdopodobnie odpadkowa. Należy skasować klucz dot. programu w Panelu.

1. Otwórz CMD (Start > Wyszukaj programy i pliki > CMD.EXE) jako administrator i w oknie komend wklej:

reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\071CDB9C-B6AB-4E5C-A410-76ACBA8EA7E8" /f

 
Następnie kliknij klawisz ENTER i daj wynik.

2. Uruchom ponownie konsole CMD jako administrator i w oknie komend wklej:

 

sfc /scannow

 

Następnie kliknij klawisz ENTER, podczas skanowania nic nie rób - po prostu czekaj. 

  • Gdy skanowanie zakończy się zapisz sobie jego głowy wynik (treść wyświetlaną), a następnie pokaż mi dokładny raport wynikowy, czyli ponownie CMD i komenda:

findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt"
  • Na pulpicie powstanie plik SFC.TXT - zaprezentuj go na forum.

3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

Odnośnik do komentarza

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji.

Zostały wykryte błahe szczątki w rejestrze, czyli teraz mogę potwierdzić, że system został wyczyszczony, więc została tylko weryfikacja integralności Windows (która poprawiam w 2 pkt).

Jak podsumowujesz obecną sytuację?

 

2. Trzeba poprawić usunięcie klucza (pomyliłem znaki "), dodatkowo sam sobie wydobędę jednak ten raport SFc, bo ten masywny jest i nieprzefiltrowany.

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{071CDB9C-B6AB-4E5C-A410-76ACBA8EA7E8}
CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...