Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Nie mogę pobrac Malwarebytes anti malware

Jetson

Przez Jetson
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Miszel03

Miszel03

Opublikowano
Opublikowano

Problem wynika ze szkodliwej modyfikacji pliku Hosts w związku z czym reguły Hosts resetuję. Dodatkowo: kasacja szczątek po Tencent, martwych wpisów oraz czyszczenie lokalizacji danych tymczasowych. 

Mam jednak jedno pytanie, czy Tryb testu został włączony celowo? Ja go wyłączam, ale w razie problemów po wyłączeniu proszę wykonać procedurę opisaną w spoilerze pod pkt. 1.

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

  

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => -> Brak pliku
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTray.exe" /regrun
HKLM-x32\...\Run: [BlueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKU\S-1-5-21-1244533767-2505366996-2244784048-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yandex.ru/?win=227&clid=2261233
SearchScopes: HKU\S-1-5-21-1244533767-2505366996-2244784048-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=227&clid=2261234&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1244533767-2505366996-2244784048-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=227&clid=2261234&text={searchTerms}
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\mntemp
C:\ProgramData\rxsmznjf.zcp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk
C:\Users\Marcin\AppData\Roaming\GiftBag.db
C:\Users\Marcin\AppData\Roaming\msregsvv.dll
C:\Users\Grzegorz\Desktop\Google Chrome.lnk
C:\Users\Bogusia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

 

 

Jeśli wyłączenie Trybu testu spowoduję problemy wykonaj poniższa procedurę włączenia go ponownie:

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

  


testsigning on:


Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (to również jest etap sprawdzenie czy nic już nie blokuję tego programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Dostarcz pliki Fixlog i nowy raport FRST oraz Addition, już bez Shortcut.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Tak, skrypt powyżej zmodyfikowałam. Wycięłam też ze skryptu sprawdzanie na VirusTotal poniższego pliku, to plik Asus i domyślnie nie ma producenta.

 

Task: {D612682F-3494-4EFA-A4E8-32C578F10D30} - System32\Tasks\ASUS\RunDAOD => C:\Windows\DAODx.exe [2009-03-30] ()

 

Przy okazji dodałam kilka innych wpisów w ramach kosmetyki (tak, usuwanie strony Google, bo obecnie jest obsługiwany tylko wariant https).

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. To raczej wyglądało jak pozostałość po większej infekcji. Natomiast to co znalazł MBAM nie jest ważne. Wykrył rozszerzenie adware w martwym profilu Google Chrome. Chrome odinstalowane i wcześniej w skrypcie dostawiłam puste skróty i inne elementy. Usuń cały katalog:

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

  

RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Marcin\AppData\Local\Google
RemoveDirectory: C:\Users\Marcin\Desktop\Stare dane programu Firefox

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

 

2. Swoją drogą, jest tu ogromna ilość kont użytkowników, na razie był sprawdzany tylko Marcin:

  

Bogusia (S-1-5-21-1244533767-2505366996-2244784048-1004 - Administrator - Enabled) => C:\Users\Bogusia
eyik (S-1-5-21-1244533767-2505366996-2244784048-1017 - Administrator - Enabled) => C:\Users\eyik
Grzegorz (S-1-5-21-1244533767-2505366996-2244784048-1003 - Administrator - Enabled) => C:\Users\Grzegorz
Marcin (S-1-5-21-1244533767-2505366996-2244784048-1000 - Administrator - Enabled) => C:\Users\Marcin
yyyy (S-1-5-21-1244533767-2505366996-2244784048-1018 - Administrator - Enabled) => C:\Users\yyyy

 

Logi pobrane z konkretnego konta pokazują inne profile przeglądarek i inne wpisy strony HKCU/HKU.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...