JumperKamper Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Witam Chciałbym po prosić o sprawdzenie logów. System to Windows 10 x64 Home. Problemem są jakieś śmieci zainstalowane przez moją nie uwagę. Niektóre udało mi się usunąć Adwcleanerem oraz MBAM, ale pozostałych nie udało mi się usunąć (np. jakieś yeadesktop z przeglądarki chrome). Załączone pliki. GMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 22 Czerwca 2017 Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 System jest zainfekowany przez adware. Widoczne tutaj to m.in UCBrowser, SafeFinder, Albireo. Oprócz tego są również pojedyncze modyfikacje np. polityk grup, WMI, lokalizacji itp. Dodatkowo zauważyłem w Twoim systemie martwe elementy programu SpyHunter - to wyrób o wątpliwej reputacji, więc, aby się go pozbyć w całości proponuję użyć SpyHunterClener. Chciałbym również, abyś przeczytał poniższy obszerny artykuł, który w przyszłości może ochronić Cię przed ponowną wizytą w tym dziale Portale z oprogramowaniem / Instalatory - na co uważać 1. Deinstalacje. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware SafeFinder * . Wejdź do folderu C:\Program Files (x86)\UCBrowser i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) *. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {2F28A952-D70C-4648-ADF3-5F0CCF20A304} - System32\Tasks\AutoPico Daily Restart => C:\Users\FSX\Desktop\Portable\AutoPico.exe Task: {42A1FC8E-9817-4C17-ABA5-09EA91D80489} - System32\Tasks\{B7B447C5-67E6-437D-B587-AAD0248A14A2} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Fresh-Com\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Fresh-Com\uninstall.dat" -a uninstallme 071CDB9C-B6AB-4E5C-A410-76ACBA8EA7E8 DeviceId=c46eeb73-e710-ca64-1ed0-2af895df0517 BarcodeId=51749003 ChannelId=3 DistributerName=APSFBcnmonetize Task: {621A0419-6C97-4C0A-8F18-6238D62F7E2A} - System32\Tasks\RPN RegSnap => Rundll32.exe "C:\Program Files\RPN RegSnap\RPN RegSnap.dll",FQpBZp Task: {7696A3AB-954C-4752-92CF-6E8044415A0B} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {7DB04FFB-37F1-4E50-A829-F6CB167E4504} - System32\Tasks\Symbillar Scheduler => Rundll32.exe "C:\Program Files\Symbillar Scheduler\Symbillar Scheduler.dll",GgsRxsiCn Task: {8B5FAFC9-E7E2-4C2C-86F3-976F288D95AD} - \{040A0847-0A7E-0D7A-7D11-0E04787A117A} -> Brak pliku Task: {A32EAC54-6C79-44BC-863A-118073741AA6} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe Task: {D328B67B-F9A0-4F3B-853B-2D52F3B35A04} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\iuQhMgB.dll",#1 Task: {D8013A39-8068-4CAD-B5C4-90C4A85F482D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {E1A9BD0B-096F-4D53-8148-8C3BD60E4348} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A2 => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\iuQhMgB.dll",#1 Task: C:\WINDOWS\Tasks\E3605470-291B-44EB-8648-745EE356599A.job => C:\Program Files (x86)\YubeAlckU\iuQhMgB.dll Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\Program Files\RPN RegSnap C:\Program Files\Symbillar Scheduler C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\YubeAlckU WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\FSX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\FSX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk HKLM\...\StartupApproved\Run: => "Malwarebytes TrayApp" HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\...\StartupApproved\Run: => "'4HeFx#tH0.exe" C:\Program Files\Windows Media Player\DETKPJGAUJO1C57UUH2TP90HFZAZ9UKBS8IOKS2NS0IFYPYOT HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll -> Brak pliku C:\Program Files (x86)\Maoha GroupPolicy: Ograniczenia - Chrome GroupPolicyScripts-x32: Ograniczenia GroupPolicyScripts-x32\User: Ograniczenia HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKQAGpaHsTBZ4Yi50GKpHmigIbJkSZuyGhcI3YK3Fo98afip1ql9S4JbTFNtPcuV5kqpIBUn28V0xhtFTOtBosb-Hf1o_htI45HfUY0w_ZHHvHcVLoNGuxnIO0iyAtFflu5ULmRCMHXjgQgKeO1rnNcIAhNQA,&q={searchTerms} HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> {0BBF3F7A-D636-4961-AA68-F4EB8EE7D453} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk1-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3145106597-2943682012-1353001551-1001 -> {0BBF3F7A-D636-4961-AA68-F4EB8EE7D453} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk1-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx CHR HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx S2 FSLabs Service; C:\Program Files (x86)\FlightSimLabs\FSLSpotLights\FSLService\FSLService.exe [X] S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] R1 cytdsk; C:\WINDOWS\System32\drivers\cytdsk.sys [195496 2017-06-13] () C:\WINDOWS\System32\drivers\cytdsk.sys U0 aswVmm; Brak ImagePath S1 ucdrv; \??\C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914] AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\unEZCA2.exe C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\dbg C:\Users\FSX\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\FSX\AppData\Local\agent.dat C:\Users\FSX\AppData\Local\Config.xml C:\Users\FSX\AppData\Local\Greenfax.exe C:\Users\FSX\AppData\Local\Greenfax.tst C:\Users\FSX\AppData\Local\installer.dat C:\Users\FSX\AppData\Local\Joytom.bin C:\Users\FSX\AppData\Local\Main.dat C:\Users\FSX\AppData\Local\md.xml C:\Users\FSX\AppData\Local\noah.dat C:\Users\FSX\AppData\Local\ScotString.bin C:\Users\FSX\AppData\Local\test_db_cara.db C:\Users\FSX\AppData\Local\uninstall_temp.ico C:\Users\FSX\AppData\Local\Mozilla C:\Users\FSX\AppData\Roaming\Mozilla C:\WINDOWS\SECOH-QAD.exe C:\WINDOWS\SECOH-QAD.dll C:\WINDOWS\system32\Drivers\390823F7.sys C:\WINDOWS\system32\Drivers\4B69379C.sys C:\WINDOWS\system32\Drivers\vcdrom.sys C:\WINDOWS\system32\Drivers\WinDivert64.sys CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. ------ * 1 - jeśli nie pójdzie to zrobisz to z poziomu panelu sterowania. * 2 - jeśli pojawią się problemy to pominiesz ten podpunkt, bo skrypt w następnym punkcie usunie jego widoczne elementy. Odnośnik do komentarza
JumperKamper Opublikowano 22 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 Co do deinstalacji programów to w programie Program Install and Uninstall Troubleshooter nie widać Safefinder a z panelu sterowanie w ogóle nie odpala się deinstalator. A pozostałe rzeczy działają. Załączam logi z FRST. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 22 Czerwca 2017 Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 Wszystko poprawnie wykonane, system dokładnie wyczyszczony. Wdrążam skan końcowy i weryfikacje usług. Jak wygląda sytuacja z Twojej strony?Instalacja SafeFinder jest prawdopodobnie odpadkowa. Należy skasować klucz dot. programu w Panelu.1. Otwórz CMD (Start > Wyszukaj programy i pliki > CMD.EXE) jako administrator i w oknie komend wklej: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\071CDB9C-B6AB-4E5C-A410-76ACBA8EA7E8" /f Następnie kliknij klawisz ENTER i daj wynik.2. Uruchom ponownie konsole CMD jako administrator i w oknie komend wklej: sfc /scannow Następnie kliknij klawisz ENTER, podczas skanowania nic nie rób - po prostu czekaj. Gdy skanowanie zakończy się zapisz sobie jego głowy wynik (treść wyświetlaną), a następnie pokaż mi dokładny raport wynikowy, czyli ponownie CMD i komenda: findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt" Na pulpicie powstanie plik SFC.TXT - zaprezentuj go na forum. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Odnośnik do komentarza
JumperKamper Opublikowano 22 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 Proszę log z CBS (za duży plik żeby dodać do załącznika) http://wklej.org/id/3206863/ AdwCleanerS9.txt Odnośnik do komentarza
Miszel03 Opublikowano 23 Czerwca 2017 Zgłoś Udostępnij Opublikowano 23 Czerwca 2017 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji. Zostały wykryte błahe szczątki w rejestrze, czyli teraz mogę potwierdzić, że system został wyczyszczony, więc została tylko weryfikacja integralności Windows (która poprawiam w 2 pkt). Jak podsumowujesz obecną sytuację? 2. Trzeba poprawić usunięcie klucza (pomyliłem znaki "), dodatkowo sam sobie wydobędę jednak ten raport SFc, bo ten masywny jest i nieprzefiltrowany. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{071CDB9C-B6AB-4E5C-A410-76ACBA8EA7E8} CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Odnośnik do komentarza
JumperKamper Opublikowano 23 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2017 Proszę Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się