brdm2001 Opublikowano 9 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2017 Witam Młodociany kuzyn łaził gdzieś po internetach i złapał dwa "fajne" trojany Win32/Dynamer!ac oraz Win32/Peals.B!cl . Komp został przeskanowany programami typu HitmanPro i CCCleaner część problemów została usunięta, ale myślę że coś gdzieś zostało. Proszę o sprawdzenie i pomoc w usunięciu pozostałości. Z góry dziękuję. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 11 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 11 Sierpnia 2017 System nie jest jeszcze w poprawnym stanie. Widać instalacje adware oraz ślady po armagedonie spowodowanym przez infekcje integrujące w przeglądarki. Ponad to adresy bieżące listowane w logu Addition wskazują na zagraniczne adresy, pierwszy z nich jest izraelski (KLIK), a drugi z nich holenderski (KLIK). Przechodzimy do działań. 1. Deinstalacje. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: Online Application. Sugeruję odinstalować Spybot - Search & Destroy, ze względu na to, że program jest nierozwijany i przestarzały. 2. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/ HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "2MCZnON8Tl6x.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "37KOQqAQae.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "j1LkzafQH4R.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "J8GpEik.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "JgMe7NUxOu.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "KjDd9jT.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "nQbN74y1.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "RzjZbsik36Eujx.exe" HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\...\StartupApproved\Run: => "tNdFcO3pJU3t.exe" Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) GroupPolicy: Ograniczenia - Chrome Tcpip\..\Interfaces\{7d787c6e-aec5-4e13-a5a6-38648d1c18ef}: [NameServer] 82.163.142.8,95.211.158.136 CHR HKU\S-1-5-21-2955219956-3132580845-1462893379-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pnfdifjinnoooocgmbdioahcpaplhbhb] - C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Console RAR manual.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Console RAR manual.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenie Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Wyczyść przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
brdm2001 Opublikowano 12 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 12 Sierpnia 2017 Zrobione. Mam jeszcze przy okazji pytanie o program PC Clean Plus, znalazłem go przy przeszukiwaniu ProgramFiles i jest on zainstalowany w czasie działania "łowcy trojanów", myślę by go wywalić, ale nie znalazłem go na liście programów zainstalowanych. W necie znalazłem o nim kilka informacji (nawet takie że jest to wirus) i raczej się nie przyda, Moje pytanie raczej powinno brzmieć czy jest jakiś godny polecenia program do deinstalacji niepotrzebnych śmieci, jakoś temu z pod Windy nie do końca wierze. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2017 Mam jeszcze przy okazji pytanie o program PC Clean Plus, znalazłem go przy przeszukiwaniu ProgramFiles i jest on zainstalowany w czasie działania "łowcy trojanów", myślę by go wywalić, ale nie znalazłem go na liście programów zainstalowanych. W necie znalazłem o nim kilka informacji (nawet takie że jest to wirus) i raczej się nie przyda, Ja go kwalifikuję jako adware / PUP. Na Bleeping Computer w języku angielskim dostępny jest jego opis - KLIK. Nie widzisz go na liście zainstalowanych programów, bo omawiany komponent jest szczątkowy. Kasuję go (i przy okazji inne resztki - do wglądu w pkt. 1). Moje pytanie raczej powinno brzmieć czy jest jakiś godny polecenia program do deinstalacji niepotrzebnych śmieci, jakoś temu z pod Windy nie do końca wierze. Zacznę od tego, że program Program Install and Uninstall Troubleshooter to narzędzie rozwiązujące potencjalne problemy z deinstalacją. Zastosowałem go w tym przypadku ze względu na to, że program Online Application nałożył na siebie flagę Hidden, co uniemożliwia z poziomu Panelu Sterowania jego modyfikacje. Jeśli chodzi o programy, które odinstalowują program autorskim sposobem celem wykasowania go w całości z systemu to niestety, ale nic nie polecę, bo po prostu z nich nie korzystam. Wg mnie jeśli będziesz pozbywał się danego programu z systemu poprzez Panel Sterownia bądź autorski deinstalator (najczęściej dostępny pod nazwą uninstall.exe w C:\Program Files (x86)\NAZWA PROGRAMU lub C:\Program Files\NAZWA PROGRAMU) to będzie to sposób poprawny. Oprogramowanie zabezpieczające możesz traktować dedykowanymi deinstalatorami za strony producenta. Wszystko pomyślnie wykonane i system wyczyszczony. Teraz zadaję poprawki do wykonania oraz kroki zabezpieczające system. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\pccleanplus C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\UCBrowser C:\Users\admin\AppData\Roaming\UCChannel C:\Users\admin\AppData\Roaming\baidu 2017-08-12 17:30 - 2017-08-12 17:30 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking 2017-08-01 21:11 - 2017-08-01 21:11 - 000011568 _____ () C:\Users\admin\AppData\Local\InstallationConfiguration.xml 2017-08-01 21:11 - 2017-08-01 21:11 - 000140800 _____ () C:\Users\admin\AppData\Local\installer.dat 2017-08-01 21:11 - 2017-08-01 22:33 - 001847296 _____ () C:\Users\admin\AppData\Local\po.db EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zainstaluj blokery reklam w przeglądarkach. Rekomenduję rozszerzenie uBlock Origin ze względu na lekkość, stabilność, wydajność i skuteczność. 3. Zaktualizuj system Windows oraz wszystkie ważne programy - KLIK. 4. Napisz jak podsumowujesz obecną sytuację i zrób nowy log FRST i Addition w momencie, w którym będziesz podłączony do Internetu - muszę sprawdzić jak się mają sprawy z DNS. Odnośnik do komentarza
brdm2001 Opublikowano 17 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2017 PC nie okazuje dziwnych zachowań. Kuzyn twierdzi, że na stronie gdzie coś się wcześniej działo teraz jest cisza i spokój. Ale widzę, że czeka mnie jeszcze aktualizacja rutera - nie zgadzały się ustawienia DNS (muszę troszkę poszukać, bo chyba nie ma już aktualizacji do tego modelu). Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 17 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2017 O kurde, pominąłem jedną infekcje. Adresy DNS są już w porządku, ale jeśli aktualizacja do routera jest dostępna to proszę ją wdrążyć. Jeszcze będzie to: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\Windows\C_KE763.dat [2035200 2017-07-29] (Micrasaft Carparation) C:\Windows\C_KE763.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Po tym chyba będziemy kończyć, więc profilaktycznie przeskanuj całościowo system za pomocą Malwarebytes AntiMalware, jeśli coś wykryję niczego nie usuwaj, a dostarcz raport. Odnośnik do komentarza
brdm2001 Opublikowano 18 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2017 Widzę, że zostało jednak jeszcze kilka wpisów w rejestrze oraz folderów z podejrzaną zawartością.Dołączam plik ze skanowania Malwarebytes AntiMalware. Malwarebytes.txt Odnośnik do komentarza
Miszel03 Opublikowano 18 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2017 To resztki po infekcjach. Wszystkie zagrożenia proszę dać do kasacji, a następnie ponownie uruchomić komputer i potwierdzić czy na pewno wszystko działa już poprawnie. Jeśli tak to proszę użyć DelFix i to będzie na tyle. Odnośnik do komentarza
brdm2001 Opublikowano 18 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2017 Wykasowane wszystko, ale jeszcze wyskoczyło mi coś takiego (załączyłem jako plik), to było nie jedyny taki komunikat (zdążyłem tylko z tym jednym), różniły się tylko nazwą domeny. Odnośnik do komentarza
Miszel03 Opublikowano 18 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2017 To jakby...infekcja pliku systemowego, ale na pewno nie poprzez jego podmianę, bo z raportów: C:\Windows\system32\svchost.exe => Plik podpisany cyfrowo C:\Windows\SysWOW64\svchost.exe => Plik podpisany cyfrowo Załącz nowe raport FRST i daj wynik przefiltrowany wynik z SFC (opcja sfc scannow). Rozumiem, że cała reszta już w porządku? Odnośnik do komentarza
brdm2001 Opublikowano 19 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 19 Sierpnia 2017 Dodaje plik z FRST - przy próbie przefiltrowania SFC "krzyczy" o braku części ścieżki - znalazłem w folderze "C:\Windows\Logs\CBS" ale zajmuje on 4,5 MB (tu jest limit do 2 mega a na wklej nie przyjmuje tak wiele tekstu).tak więc jest jakaś możliwość jego przesłania lub zmniejszenia, czy go przesłać w częściach? Dodatkowo w czasie użytkowania strony znanej i używanej od dłuższego czasu wyskoczył komunikat - załączony jako "printskrin". Co do reszty to jest względnie cisza, czyli uBlock blokuje wszystkie reklamy - zastanawia mnie czemu na adresie, który dostałem od Ciebie ten z PCWorld o blokowaniu fałszywych DNS program blokuje aż 35 żądań. Czy to jest normalne?I na koniec dodam, DNS jest w porządku - sprawdzony przeze mnie na ruterze. OK udało się zmniejszyć plik CBS - dołączony do reszty. Mogę dodać, że po skanie pojawił się komunikat "Windows Resource Protection did not find any integrity violations" FRST.txt CBS.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się