VincentVega Opublikowano 25 Czerwca 2017 Zgłoś Udostępnij Opublikowano 25 Czerwca 2017 Witam! Od ostatniej pomocy minęło sporo czasu. Komp śmigał aż miło (za co raz jeszcze dziękuję) do czasu. Zapewne przez moją , bądź domowników nieuwagę zaczęły wkradać się reklamy , z którymi sobie na dzień dzisiejszy poradzić już nie mogę. Zainstalowany ostanio Malwarebytes - wersja próbna, nie rozwiązał sprawy. Choć reklam i przekierowań na niechciane strony ubyło to komunikaty programu nie pozwalają na normalną obsługę. Reklamy i przekierowania są wszędzie i za każdym kliknęciem myszki. Chciałbym ściślej zinterpretować problem ale na poziomie mojej wiedzy to jest wszystko co mogę napisać. Mam również problem z dołączeniem raporu GMER ponieważ antyvirus AVAST , pomimo tego ,że wyłączony blokuje mi wykonanie skanowania pełnego (...zablokowane przez moduł samoobrony gmer.sys (PID4)....) - czy muszę usunąć oprogramowanie AVAST? Licząc na pomoc ponownie - Pozdrawiam Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Czerwca 2017 Zgłoś Udostępnij Opublikowano 25 Czerwca 2017 Raport z GMER'a sobie odpuść, przejdziemy do pracy bez niego. System jest zainfekowany dwoma typami szkodników, jeden z nich to adware uruchamiane przez cztery zadania w Harmonogramie zadań, a drugi z nich to malware w autostarcie uruchamiający update.vbs. Zajmować się również będę pustymi wpisami. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: Task: {01880733-B61E-4ED1-8F81-99F968A46B77} - System32\Tasks\TVGWw73UpNjdHLjNh => C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh.exe Task: C:\WINDOWS\Tasks\TVGWw73UpNjdHLjNh.job => C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh.exe Task: {BA910380-03FA-48FE-B4E7-60A90B8D5FB9} - System32\Tasks\d5cqW7eqkPZlTSVnJkx => C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx.exe Task: C:\WINDOWS\Tasks\d5cqW7eqkPZlTSVnJkx.job => C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx.exe C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh.exe C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx.exe Task: {0E80B95A-573D-4F4B-8DA1-52F950D12DE6} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {1BBC05D5-2903-47FA-BAAB-44FA79A1CF16} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {30B50382-C87F-4C54-958A-2BC103EF0E47} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3974609A-E197-4299-93C2-496CE797B9D8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {59A1AFBC-3BF6-4879-AF34-F7BC0A8A5D6B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {5F748EAC-40EC-4044-A3FE-22C060646F06} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {8C882FFE-C3E8-4D37-A01F-80C576D4729E} - \CCleanerSkipUAC -> Brak pliku Task: {8D14784C-DE20-4B76-88CB-0687D26DA9D0} - \Lenovo\Lenovo Service Bridge\S-1-5-21-118853160-3530397755-141892092-1000 -> Brak pliku Task: {924FB4FC-8F15-4B1F-B3C4-09A2A16352F5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {940B0152-F55C-4E49-8884-7B46CFC53425} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {BF619A6B-7FB7-4041-9F2F-7D87025AD7D3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {CC5640CE-10E9-4202-96CE-19F5A156C304} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D723238F-CD8D-4B9D-9500-474CB057D346} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DAD14618-1FA3-4FFE-AFAD-2025B1D36804} - \PMTask -> Brak pliku Task: {E63AC8F5-0BA0-4DAF-9427-0E403A9FEA56} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku MSCONFIG\startupreg: GoogleChromeAutoLaunch_8A4663CD3A7F445C9256F906889C2ACF => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window MSCONFIG\startupreg: update => wscript.exe //B "C:\Users\VINCEN~1\AppData\Local\Temp\update.vbs" HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe Startup: C:\Users\VincentVega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.vbs [2015-02-03] () C:\Users\VincentVega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.vbs U3 idsvc; Brak ImagePath C:\Users\VincentVega\Pictures\Prywatne\Foto\Ślub Marleny i Artura\101EOS1D\Light Alloy.lnk C:\Users\VincentVega\AppData\Roaming\Microsoft\Windows\Start Menu\War Robots.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (w tym AdBlock, bo uBlock Origin jest wg mnie lepszy). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Uruchom AdwCleaner z opcji Szukaj (nie stosuj opcji Oczyść) i dostarcz raport znajdujący się w C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Azddition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
VincentVega Opublikowano 25 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2017 Dziękuję bardzo za sszybką reakcję na mój problem. Po wykonaniu zaleconych czynności, dołączam pliki. FRST.txt Addition.txt AdwCleanerS3.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Czerwca 2017 Zgłoś Udostępnij Opublikowano 25 Czerwca 2017 A gdzie posiałeś plik Fixlog? Odnośnik do komentarza
VincentVega Opublikowano 25 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2017 Przepraszam. To chyba to... EDIT: Jednak chyba nie bo jest z katalogu LOGS. Załączam właściwy. Sorki. Fixlog_25-06-2017 21.05.16.txt Fixlog_25-06-2017 21.05.16.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Czerwca 2017 Zgłoś Udostępnij Opublikowano 25 Czerwca 2017 Posty łącze w jedną całość. Używaj opcji Edytuj. Te Fixlogi są takie same i niczym się nie różnią. Są poprawne, dzięki. AdwCleaner nic nie wykrył, więc z adware system już wyczyszczony. Przechodzimy do poprawek względem malware oraz kompleksowego skanu antywirusowego. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: HKU\S-1-5-21-118853160-3530397755-141892092-1000\...\StartupApproved\StartupFolder: => "update.vbs" 2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 _____ () C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx 2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh Hosts: Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, więc robisz tylko komplet aktualizacji). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Niepokojom mnie notowania odmów dostępu w Dzienniku Zdarzeń. Wykonaj sprawdzanie sfc /scannow i dostarcz przefiltrowane wyniki: KLIK. 4. Dostarcz plik Fixlog i nowy zestaw raportów FRST + Additon. Odnośnik do komentarza
VincentVega Opublikowano 25 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2017 AntiMalwarebytes niczego nie wykrył. Sprawdziłem sfc , na 100% wynik był taki: Windows Resource Protection did not find any integrity violations, lecz logów dostarczyć nie mogę (napewno robię coś źle , ....ale proszę absolutnie się nie denerwować...), ponieważ wyskakuje mi takie coś: PS C:\Users\VincentVega> findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt" out-file : Nie można odnaleźć części ścieżki „C:\Users\VincentVega\%userprofile%\Desktop\sfc.txt. At line:1 char:1 + findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\s ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : OpenError: ( [Out-File], DirectoryNotFoundException + FullyQualifiedErrorId : FileOpenFailure,Microsoft.PowerShell.Commands.OutFileCommand PS C:\Users\VincentVega> Fixlog.txt raport AntiMalwarebytes.txt FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Czerwca 2017 Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 (napewno robię coś źle , ....ale proszę absolutnie się nie denerwować...) Spokojnie, gdybym miał się denerwować przy każdym temacie, że ktoś czegoś nie umie wykonać to już dawno trafiłbym do wariatkowa Rozumiem, że czasem ktoś czegoś nie potrafi i trzeba mu poszerzyć instrukcję. Wszystko pomyślnie wykonane. Wynik SFC sugeruję, że błędy w Dzienniku Zdarzeń nie są powiązane z Windows (brak wykrytych usterek, więc log mnie już nie interesuję). System wyczyszczony. Jak podsumowujesz obecną sytuację? Odnośnik do komentarza
VincentVega Opublikowano 26 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 System wyczyszczony. Jak podsumowujesz obecną sytuację? Wszystko śmiga , aż miło. Przeglądarka chodzi płynnie i nie ma irytujących reklam. Jakiś czas temu wymieniłem wiatrak bo stary padł i byłem pewien ,że taki mam zamulony sprzęt , bo wsadziłem "taniego i głośnego chińczyka" , który nie dawał rady. Jednak się myliłem. Cieszę się , że pomogliście mi ponownie z robalami sam sobie bym NIGDY nie poradził. Pozdrawiam serdecznie. Odnośnik do komentarza
Miszel03 Opublikowano 26 Czerwca 2017 Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 To się cieszę. Kończymy. Zastouj DelFix oraz dodatkowo zaktualizuj Windows i oprogramowanie zewnętrzne. Odnośnik do komentarza
VincentVega Opublikowano 26 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 Dezynfekcja oraz aktualizacje wykonane. Dziękuję. DelFix.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Widziałem Twój post w dziale Dotacji - bardzo dziękuje za pomoc w utrzymani serwisu w imieniu całego zespołu Fixitpc! Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi