DebaGTX Opublikowano 16 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2017 Piszę drugi raz tego posta bo forum działa fatalnie - mimo faktu bycia zalogowanym nie mogłem dodać logów a przy próbie dodania tematu wyskoczył komunikat o braku uprawnień. Dostałem komputer do odwirusowania. Był zainstalowany Avast. Zużycie dysku 100%. Chrome po wejściu przekierowywał na funnysearchengine.com. System proponował otwarcie linków w takich przeglądarkach jak: fdFFHBX oraz ghokswa Browser Zastosowałem: 1. AdwCleaner - kilka wykrytych 2. usunąłem podejrzany program - amuleC 3. Malwarebytes - 260 wykrytych, często pojawiał się Adware.Elex 4. Chrome Cleanup Tool (po zastosowaniu tego nadal pozostała wyszukiwarka mysearch123.com, która automatycznie ustawiała się na domyślną) 5. AdwCleaner - 1 wykryty - i problem z mysearch123 się rozwiązał Jednak myślę że nadal coś złego siedzi w systemie, dlatego przesyłam logi EDIT: Przy dodawaniu pliku shortcut: The page was not displayed because the request entity is too large.Wrzuciłem zawartość na pastebin: https://pastebin.com/PgiTX5qy to samo na wklej: http://wklej.org/id/3238069/ Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 16 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2017 Wymagane raporty poprawnie dostarczone, więc tamtą dyskusję na ich temat kasuję, by nie rozciągać tematu pomocy. W systemie widać pozostałości po adware, jak i aktywnych jej znajomych Widoczna fałszywka przeglądarki Mozilla FireFox oraz trzy inne klony również podszywające się pod przeglądarkę, ale tym razem zainstalowaną - Google Chrome. Raczej powinniśmy się szybko z tym uporać. Do poczytania na przyszłość dla pacjenta, jak uniknać podobnych sytuacji: Portale z oprogramowaniem / Instalatory - na co uważać. P.S: Od ComboFix z dala, to program tylko do specjalistów (a widzę go w Twoim katalogu pobierania!) - KLIK. 1. Przez Panel Sterowania odinstaluj: Oprogramowanie adware / PUP: AlphaGo (będzie wymienione podwójnie na liście, więc deinstalujesz oba), WINSNARE. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku C:\Program Files (x86)\Firefox C:\Users\LawendoweSpa\AppData\Local\Firefox C:\Users\LawendoweSpa\AppData\Roaming\Firefox IFEO\taskmgr.exe: [Debugger] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {503D5AA2-D2D2-499D-B90B-DF31A80953A1} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3086125673-826957410-2058139994-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450257336&from=zzgbkk123&uid=st500lt012-1dg142_s3pb09lc&z=2c903c6fa664b667079b86cg1zawce0ocw4m1c1cdw&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKU\S-1-5-21-3086125673-826957410-2058139994-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe C:\Program Files (x86)\Bagsarah C:\Users\LawendoweSpa\AppData\Local\Bagsarah C:\Users\LawendoweSpa\AppData\Roaming\Bagsarah 2017-08-15 15:40 - 2017-02-07 17:48 - 000000000 ____D C:\Users\LawendoweSpa\AppData\Local\3 2017-08-15 15:40 - 2017-02-07 15:48 - 000000000 ____D C:\Users\LawendoweSpa\AppData\Local\1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall.lnk C:\Users\LawendoweSpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\chrome.lnk C:\Program Files (x86)\WinZipper C:\Program Files (x86)\Guntony C:\Users\LawendoweSpa\AppData\Local\Guntony C:\Users\LawendoweSpa\AppData\Roaming\Guntony C:\Users\LawendoweSpa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\839f680194ff9273\ghokswa.lnk C:\Users\LawendoweSpa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1818532532_pl.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_2846494135_pl.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_3731308582_pl.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\AD2F1837.HPPrinterControl_v10z8vjag6ke6\AD2F1837.HPPrinterControl.lnk DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKCU\Software\Bagsarah DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bagsarah DeleteKey: HKCU\Software\Guntony DeleteKey: HKLM\SOFTWARE\WOW6432Node\Guntony CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\LawendoweSpa\AppData\Local CMD: dir /a C:\Users\LawendoweSpa\AppData\LocalLow CMD: dir /a C:\Users\LawendoweSpa\AppData\Roaming CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostaną usunięte wszystkie skróty fałszywych przeglądarek. Odtwórz w wybranych miejscach skróty do prawdziwego Google Chrome. Uruchom przeglądarkę i wyczyść ją z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje. Ustaw przeglądarkę jako domyślną. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). firefox;bagsarah;guntony;ghokswa Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
DebaGTX Opublikowano 16 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2017 Po wykonaniu wszystkich akcji (z tym, że użyłem też Chrome Cleanup Tool) nadal zauważyłem okienko z zapytaniem czym otwierać linki i na liście były ghokswa, fdFFHBX, oraz pozostałość po fejkowym Firefoxie. Addition.txt FRST.txt SearchReg.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 17 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2017 Po wykonaniu wszystkich akcji (z tym, że użyłem też Chrome Cleanup Tool) nadal zauważyłem okienko z zapytaniem czym otwierać linki i na liście były ghokswa, fdFFHBX, oraz pozostałość po fejkowym Firefoxie. Czy ja prosiłem o używanie tego narzędzia? Wykonuj kroki tylko i wyłącznie, które ja zaleciłem, bo zaczną się komplikację. Wszystko pomyślnie wykonane, teraz poprawki dot. adware (po nich pewnie już wszystkie resztki znikną) oraz skan narzędziem dedykowanym do usuwania infekcji Adware. Wcześniej zapomniałem dopisać, że plik Hosts jest uszkodzony, a właściwie go nie - przywracam go. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Clients\StartMenuInternet\FIREFOX.EXE DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\797cd6e_0 DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|FirefoxURL_http DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|FirefoxURL_https DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|FirefoxHTML_.pdf DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\OpenWithList|b DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\Firefox.exe DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\FirefoxHTML DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\FirefoxURL DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Mozilla\Firefox\TaskBarIDs|C:\Program Files (x86)\Firefox DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\RegisteredApplications|Firefox DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.OGA\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.OGG\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.OGV\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.pdf\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.WEBM\OpenWithProgids|FirefoxHTML DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b38f5baf_0 DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Bagsarah\Application\chrome.exe DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\2a1c05ea_0 DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Guntony\Guntony\chrome.exe DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Clients\StartMenuInternet\ghokswaHTM DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\d3fa6788_0 DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_.shtml DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_.xht DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_.xhtml DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_http DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_https DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\ghokswa Browser\ghokswa\chrome.exe DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\RegisteredApplications|ghokswaHTM DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.htm\OpenWithProgids|ghokswaHTM DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.html\OpenWithProgids|ghokswaHTM DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.shtml\OpenWithProgids|ghokswaHTM DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.xht\OpenWithProgids|ghokswaHTM DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.xhtml\OpenWithProgids|ghokswaHTM DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\ghokswaHTM C:\Program Files (x86)Elex-tech Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Oczyść) i dostarcz log z folderu C:\AdwCleaner. 3. Dostarcz plik Fixlog. Odnośnik do komentarza
DebaGTX Opublikowano 17 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2017 Ostatnia prosta Fixlog.txt AdwCleanerS2.txt Odnośnik do komentarza
Miszel03 Opublikowano 17 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2017 Tak, ten folder znaleziony przez AdwCleaner daj do kasacji (używając opcji Oczyść). On by się usunął w skrypcie, ale źle wpisałem ścieżek, ucięło mi znak "\". Właściwie moglibyśmy już kończyć, ale te szczątki w rejestrze, nie chcą mi się usunąć, więc poproszę o ponowne wykonanie pkt. 4 z mojego pierwszego posta. Dodatkowo dostarcz jeszcze nowe FRST i Addition. Jak podsumowujesz obecną sytuację? Odnośnik do komentarza
DebaGTX Opublikowano 17 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2017 Zrobiłem oczyszczenie AdwCleanerem, system uruchamiał się ponownie i wszedł w opcje: "scanning and repairing drive"... ciągle 0%. Wyłączyłem, włączyłem ponownie - tym razem komunikat: "Naprawianie błędów dysku. Wykonanie tej czynności może zając ponad godzinę." Więc będę czekać.. Odnośnik do komentarza
Miszel03 Opublikowano 17 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2017 Jak to przejdzie, to dostarcz jeszcze raporty wymagane przez dział Hardware, bo może masz coś z dyskiem. Trzeba sprawdzić, w każdym razie te działania tutaj są bez związku z tym incydentem. Odnośnik do komentarza
DebaGTX Opublikowano 17 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2017 Jakoś uruchomiłem komputer omijając te skanowanie bo przez ponad 2 godziny się nie wykonało. fDFFHBX nadal znajduję się na liście programów będących przeglądarkami. Dzisiaj popołudniu wkleję logi, jeśli system się uruchomi. Odnośnik do komentarza
DebaGTX Opublikowano 18 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2017 Dwa screeny z CrystalDiskInfo bo się nie chciało wszystko na ekranie zmieścić. FRST.txt Addition.txt SearchReg.txt Odnośnik do komentarza
Groszexxx Opublikowano 22 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2017 Miszel musi przenieść temat do hardware, bo ewidentnie jest problem z dyskiem. Moim zdaniem poważnym i można się powoli rozglądać za zakupem nowego, ale nim się cokolwiek kupi - najpierw trzeba zrobić rutynowe zerowanie. To niestety spowoduje utratę wszystkich danych na dysku. Po zerowaniu ponowny skan. Polecam program Victorie 4.47 i jakieś zewnętrzne środowisko w postaci Windowsa PE. Albo stary Hiren's Boot albo jakieś produkcje Siergieja Strelca. Odnośnik do komentarza
DebaGTX Opublikowano 22 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 22 Sierpnia 2017 Jako, że nie jest to mój laptop to nie zamierzam aż tak bardzo ingerować - to co dalej się z nim stanie pozostawiam do decyzji właścicielowi. Dziękuje wszystkim za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się