Kazetha Opublikowano 16 Października 2017 Zgłoś Udostępnij Opublikowano 16 Października 2017 Witajcie Przez swoją nieostrożność wpadłem wczoraj w sidła jakiejś złośliwej infekcji. Ku mojemu zdziwieniu gdy chciałem dziś zainstalować programy zabezpieczające (podane w tytule) system Windows blokuje instalacje pod pretekstem "bezpieczeństwa". Wszelkie inne pliki instalacyjne nie będące z rodziny antywirusowych działają normalnie. Zamieszczam zdjęcie z wyskakującego błędu oraz wymagane logi. Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 16 Października 2017 Zgłoś Udostępnij Opublikowano 16 Października 2017 Problem tytułowy tworzy infekcja adware wstawiające fałszywe certyfikaty blokujące wielu producentów oprogramowania zabezpieczającego. Poza tym widoczna są fałszywe przeglądarki pod przeglądarkę Google Chrome i Mozilla FireFox (choć ta nie jest zainstalowana). Postaram się to doprowadzić do porządku jak najszybciej, ale musisz wykonywać moje instrukcje 1:1. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers1_S-1-5-21-886091981-26357939-1909133584-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ContextMenuHandlers4_S-1-5-21-886091981-26357939-1909133584-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ContextMenuHandlers5_S-1-5-21-886091981-26357939-1909133584-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku Task: {3ECE7D90-A10A-4450-8AD8-167E6D897580} - System32\Tasks\875o48c79w170 => C:\Windows\system32\rundll32.exe "C:\ProgramData\875o48c79w170\875o48c79w170.dll",ocwfus <==== UWAGA Task: {841226FF-6E7B-497A-AA51-8E43BA4FA855} - System32\Tasks\82635f964l6515z6 => C:\Windows\system32\rundll32.exe "C:\ProgramData\82635f964l6515z6\82635f964l6515z6.dll",ftqflz <==== UWAGA Task: {8CBEE18F-9295-4674-966A-6E1FBFB8CD4E} - System32\Tasks\20507f89248l90000z7 => C:\Windows\system32\rundll32.exe "C:\ProgramData\20507f89248l90000z7\20507f89248l90000z7.dll",ftqflz <==== UWAGA Task: {B2C5E3A1-53C2-40D4-B353-163AA2C2DAB8} - System32\Tasks\6474o18c32w138 => C:\Windows\system32\rundll32.exe "C:\ProgramData\6474o18c32w138\6474o18c32w138.dll",ocwfus <==== UWAGA Task: {F8406313-537B-4A61-A719-DC9B490D2225} - System32\Tasks\1c2bfedd248d3116021ff65c7bf72052 => rundll32.exe "C:\Program Files (x86)\NVIDIA Corporation\ag74t6.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA C:\ProgramData\875o48c79w170 C:\ProgramData\82635f964l6515z6 C:\ProgramData\20507f89248l90000z7 C:\ProgramData\6474o18c32w138 C:\Program Files (x86)\NVIDIA Corporation\ag74t6.dll C:\Users\Rafał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\deb74e6ef302b553\Speed Dial [FVD] - New Tab Page, 3D, Sync.lnk HKLM\...\RunOnce: [RAFAŁ] => C:\Windows\TEMP\g951D.tmp.exe <==== UWAGA HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== UWAGA HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== UWAGA HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== UWAGA HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== UWAGA HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== UWAGA HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== UWAGA HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== UWAGA HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== UWAGA HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== UWAGA HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== UWAGA HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== UWAGA HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== UWAGA HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== UWAGA HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== UWAGA HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== UWAGA HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== UWAGA HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== UWAGA HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== UWAGA HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== UWAGA HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== UWAGA HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== UWAGA HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== UWAGA HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== UWAGA HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== UWAGA HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== UWAGA HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== UWAGA HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== UWAGA HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== UWAGA HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== UWAGA HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== UWAGA HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== UWAGA HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== UWAGA HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== UWAGA HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== UWAGA HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== UWAGA HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== UWAGA HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== UWAGA HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== UWAGA HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== UWAGA HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== UWAGA HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== UWAGA HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== UWAGA HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== UWAGA HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== UWAGA HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA GroupPolicy: Ograniczenia - Chrome <==== UWAGA HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\Run: [AdobeBridge] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Users\Rafał\AppData\Roaming\Standoor C:\Users\Rafał\AppData\Local\Standoor C:\Program Files (x86)\Standoor C:\Users\Rafał\AppData\Roaming\Firefox C:\Users\Rafał\AppData\Local\Firefox C:\Program Files (x86)\Firefox DeleteKey: HKCU\Software\Standoor DeleteKey: HKLM\SOFTWARE\WOW6432Node\Standoor DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Standoor\Application\chrome.exe <==== UWAGA S3 AndnetBus; \SystemRoot\System32\drivers\lgandnetbus64.sys [X] S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X] U0 aswVmm; Brak ImagePath S2 npf; \??\C:\Windows\system32\drivers\npf.sys [X] S2 uxstyle; \??\C:\Windows\system32\Drivers\elytsxu.sys [X] 2017-10-15 00:37 - 2017-10-15 00:37 - 000004608 _____ C:\Windows\SECOH-QAD.exe 2017-10-15 00:37 - 2017-10-15 00:37 - 000003584 _____ C:\Windows\SECOH-QAD.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II Emperor Edition\Deinstalacja programu Total War ROME II Emperor Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II Emperor Edition\Total War ROME II Emperor Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II Emperor Edition\Uninstall Total War ROME II Emperor Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stronghold Crusader 2\Stronghold Crusader 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stronghold Crusader 2\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SEGA\Total War ROME II - Emperor Edition\Deinstalacja programu Total War ROME II - Emperor Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SEGA\Total War ROME II - Emperor Edition\Total War ROME II - Emperor Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Europa Universalis IV Rights of Man\Europa Universalis IV Rights of Man.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Europa Universalis IV Rights of Man\Uninstall Europa Universalis IV Rights of Man.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Usuń Call of Duty.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Zagraj w Call of Duty dla jednego gracza (tryb awaryjny).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Zagraj w Call of Duty dla jednego gracza.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Zagraj w Call of Duty dla wielu graczy (tryb awaryjny).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Zagraj w Call of Duty dla wielu graczy.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Call of Duty - Pomoc\Czytaj To.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Call of Duty - Pomoc\Dokumentacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Call of Duty - Pomoc\Instrukcja (Wymagany Adobe Reader).lnk C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Delete Doctor\Delete Doctor.lnk C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Delete Doctor\Help.lnk C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Delete Doctor\Uninstall.lnk C:\Users\Rafał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Rafał\AppData\Local\Mozilla C:\Users\Rafał\AppData\Roaming\Mozilla C:\Users\Rafał\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Rafał\AppData\Local CMD: dir /a C:\Users\Rafał\AppData\LocalLow CMD: dir /a C:\Users\Rafał\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw tą lub jakąkolwiek inną przeglądarkę jako domyślną (powtórz akcje nawet jeśli tak jest). To wymagany krok w celu cofnięcia modyfikacji infekcji. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). standoor;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Kazetha Opublikowano 16 Października 2017 Autor Zgłoś Udostępnij Opublikowano 16 Października 2017 Z problemem pomogli mi już na innym forum, jednakże podobno uszkodzone jest u mnie jakieś "WMI". Czy da się coś z tym fantem zrobić? Przeskanowałem system Malwarebytes i Comodo, już nic nie wykrywa. Ale odnoszę wrażenie że coś może być na rzeczy jeszcze z tą przeglądarką Chrome. Wcześniej nie zwracałem na to żadnej uwagi, ale gdy otwieram na pasku skrótów przeglądarkę, to obok otwiera się jakby inna niż ta którą klikałem. Na screenie pokazuję o co chodzi: Jeszcze raz przesyłam wszystkie logi z FRST. AdwCleaner nie wykrywa żadnych infekcji. Jeżeli coś jest jeszcze nie tak, a można to naprawić, to będę wdzięczny za pomoc. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Kazetha Opublikowano 16 Października 2017 Autor Zgłoś Udostępnij Opublikowano 16 Października 2017 Dodaje jeszcze poprzedni fix i plik o który prosiłeś Fixlog.txt SearchReg.txt Odnośnik do komentarza
Miszel03 Opublikowano 17 Października 2017 Zgłoś Udostępnij Opublikowano 17 Października 2017 Cytat Z problemem pomogli mi już na innym forum, jednakże podobno uszkodzone jest u mnie jakieś "WMI". Czy da się coś z tym fantem zrobić? Zrób raport z Farbar Service Scanner. Oczywiście pomogę, bo po to tu jestem. P.S: Takie zakładanie kilku tematów z prośba o pomoc to kompletny brak szacunku dla Nas (i mówię tu o wszystkich Helperach w Polsce). Tracimy czas na przetwarzanie tematów, które już gdzieś zostały przetworzone... Odnośnik do komentarza
picasso Opublikowano 17 Października 2017 Zgłoś Udostępnij Opublikowano 17 Października 2017 W dniu 17.10.2017 o 00:17, Kazetha napisał: Z problemem pomogli mi już na innym forum, jednakże podobno uszkodzone jest u mnie jakieś "WMI". Czy da się coś z tym fantem zrobić? Fix poprzedników adresował mniej niż Miszela i temat infekcji to wcale nie został rozwiązany do końca (pominęli np. blokady w pliku Hosts wprowadzone przez infekcję certyfikatów). Miszel pociągnie ten temat, ja skomentuję tylko niektóre wątki: W kwestii WMI, ten ostatni log wykazuje także całą masę innych dziwnych "uszkodzeń" (ogromna ilość usług / sterowników w stanie "U" + "Brak podpisu cyfrowego"). Te wszystkie objawy mogą być skutkiem uruchomienia FRST w niepoprawny sposób, tzn. poprzez piaskownicę Comodo. FRST uruchomiony w taki sposób ma charakterystyczną zieloną obwódkę naokoło okna, nie ma dostępu do danych i wynikowe logi pokazują dużo dziwnych rzeczy. Tak więc zrób nowy zestaw raportów z FRST, upewniając się że FRST nie jest uruchomiony wsposób wirtualny i Comodo go nie blokuje. Cytat Ale odnoszę wrażenie że coś może być na rzeczy jeszcze z tą przeglądarką Chrome. Wcześniej nie zwracałem na to żadnej uwagi, ale gdy otwieram na pasku skrótów przeglądarkę, to obok otwiera się jakby inna niż ta którą klikałem. Na screenie pokazuję o co chodzi. Po pierwsze, jest tu układ z więcej niż jednym profilem, który może to wyjaśniać: Chrome: ======= CHR DefaultProfile: Profile 1 (...) CHR Profile: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\Default [2017-10-16] (...) CHR Profile: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\Profile 1 [2017-10-17] (...) Po drugie, są w pewnych miejscach skróty do fałszywego Chrome: Shortcut: C:\Users\Rafał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Standoor\Application\chrome.exe (Brak pliku) Zwykle w takich przypadkach usuwa się nieużywane profile w konfiguracji Osoby, następnie wszystkie skróty Chrome, a po tym ręcznie tworzy nowe. I jeszcze uwaga na koniec: był używany TFC Cleaner (TFC.exe). To narzędzie kończy kompatybilność na Windows 7, nie jest bezpieczne jego używanie na nowszych systemach (zagrożenie uszkodzeniami). Odnośnik do komentarza
Kazetha Opublikowano 17 Października 2017 Autor Zgłoś Udostępnij Opublikowano 17 Października 2017 Chyba nie do końca zrozumiałem o co chodzi z tym Google Chrome. Profil mam tylko jeden i nie widzę w opcjach żadnego innego. TFC Cleaner - chodzi Ci o taki progam jak CCleaner? Bo tylko z tego rzeczywiście korzystałem, ale nazwa TFC Cleaner nic mi kompletnie nie mówi. W chwili gdy robiłem skany FRST nie miałem zainstalowanego Comodo (a jeżeli tak to z pewnością było wyłączone). Ale dla pewności jeszcze raz wklejam nowe logi. Miszel - umieszczam również skan z programu, o który prosiłeś. Addition.txt FSS.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 17 Października 2017 Zgłoś Udostępnij Opublikowano 17 Października 2017 Cytat Chyba nie do końca zrozumiałem o co chodzi z tym Google Chrome. Profil mam tylko jeden i nie widzę w opcjach żadnego innego. Patrz pkt. 2. Picasso naświetliła Ci sytuację, więc ja zabieram się od razu do roboty. WMI zostawiam na koniec, bo są tutaj resztki infekcji i blokady, które trzeba uprzątnąć w pierwszej kolejności. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKEY_LOCAL_MACHINE\SYSTEM\VritualRoot\MACHINE\SOFTWARE\WOW6432Node\Firefox HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U0 aswVmm; Brak ImagePath 2017-10-15 00:37 - 2017-10-15 00:37 - 000003584 _____ C:\Windows\SECOH-QAD.dll 2017-10-16 19:27 - 2016-12-09 02:39 - 000000040 _____ C:\Program Files (x86)\settings.dat ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku C:\Users\Rafał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\deb74e6ef302b553\Speed Dial [FVD] - New Tab Page, 3D, Sync.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Rafał\AppData\Local\Mozilla C:\Users\Rafał\AppData\Roaming\Mozilla C:\Users\Rafał\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Rafał\AppData\Local CMD: dir /a C:\Users\Rafał\AppData\LocalLow CMD: dir /a C:\Users\Rafał\AppData\Roaming CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Postaw nowy, czysty fabrycznie profil w przeglądarce Google Chrome. Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Kazetha Opublikowano 17 Października 2017 Autor Zgłoś Udostępnij Opublikowano 17 Października 2017 Przesyłam logi. Fixlog.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 19 Października 2017 Zgłoś Udostępnij Opublikowano 19 Października 2017 Kazetha napisał: Chyba nie do końca zrozumiałem o co chodzi z tym Google Chrome. Profil mam tylko jeden i nie widzę w opcjach żadnego innego. + Miszel03 napisał: Patrz pkt. 2. Na dysku jest definitywnie więcej niż jeden profil (Default + Profile Numer). Widać też że co dopiero robiłeś próbę tworzenia kolejnego profilu (Profile 1 zmieniło się w Profile 2), ale ta operacja nie zmieniła stanu rzeczy i nadal jest więcej niż jeden folder profilu. Skoro w opcjach widzisz tylko jedną Osobę, to oznacza że poprzedni profil jest martwy i należy ręcznie usunąć katalog martwego profilu. To załączę w skrypcie poniżej. Operacje zadane w punkcie 2 tyczyły tylko bieżącego profilu (są nieaktualne po utworzeniu nowego, co właśnie uczyniłeś), nie wpływają w ogóle na ilość profilów / ich folderów na dysku. Cytat TFC Cleaner - chodzi Ci o taki progam jak CCleaner? Bo tylko z tego rzeczywiście korzystałem, ale nazwa TFC Cleaner nic mi kompletnie nie mówi. Już usunąłeś to narzędzie z dysku, ale w Twoim pierwszym logu był widoczny: 2017-10-16 13:01 - 2017-10-16 13:01 - 000448512 _____ (OldTimer Tools) C:\Users\Rafał\Downloads\TFC.exe Archiwalny opis programu na forum: KLIK. Jak mówiłam, ten program nie powinien być stosowany na nowszych systemach niż Windows 7. 1. Usunięcie pustych wpisów / odpadków. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" EndRegedit: CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku Task: {1CF04B0B-D27D-4CAD-892A-D77B2C69EF0C} - System32\Tasks\SafeZone scheduled Autoupdate 1479649039 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe Task: {703DB337-CF41-453C-A2EB-01BF44B10AA6} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-07-12] (AVAST Software) Task: {79C06A0F-BDAC-4397-BD62-46C870285ECB} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\RunOnce: [!CD] => C:\Windows\temp\dragon_setup.exe [70057568 2017-10-17] (Comodo) <==== UWAGA HKLM\...\StartupApproved\Run: => "Malwarebytes TrayApp" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "RESTART_STICKY_NOTES" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "Steam" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "BitTorrent" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\Program Files (x86)\metadata RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\NCH Software RemoveDirectory: C:\Program Files (x86)\reports RemoveDirectory: C:\ProgramData\{6E35203C-6E98-4378-8362-112CFE55C2C1} RemoveDirectory: C:\ProgramData\adaware RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\Avira RemoveDirectory: C:\ProgramData\dbg RemoveDirectory: C:\ProgramData\IObit RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\NCH Software RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\UniqueId RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Europa Universalis IV Rights of Man RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FireFly Studios RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paradox Interactive RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SEGA RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stronghold Crusader 2 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II Emperor Edition RemoveDirectory: C:\Users\Rafał\AppData\Local\AdAwareDesktop RemoveDirectory: C:\Users\Rafał\AppData\Local\AdAwareUpdater RemoveDirectory: C:\Users\Rafał\AppData\Local\drmingw RemoveDirectory: C:\Users\Rafał\AppData\Local\Firefox RemoveDirectory: C:\Users\Rafał\AppData\Local\GG RemoveDirectory: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\System Profile RemoveDirectory: C:\Users\Rafał\AppData\LocalLow\Mozilla RemoveDirectory: C:\Users\Rafał\AppData\Roaming\Avira RemoveDirectory: C:\Users\Rafał\AppData\Roaming\GG RemoveDirectory: C:\Users\Rafał\AppData\Roaming\icfib RemoveDirectory: C:\Users\Rafał\AppData\Roaming\NCH Software RemoveDirectory: C:\Users\Rafał\AppData\Roaming\New Version Available RemoveDirectory: C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Delete Doctor RemoveDirectory: C:\Windows\AutoKMS RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są na razie potrzebne. 2. Jest tu też aspekt cracka KMS: S2 KMSEmulator; C:\ProgramData\KMSAuto\bin\KMSSS.exe [301056 2015-07-24] (MDL Forum, mod by Ratiborus) [Brak podpisu cyfrowego] R2 KMSServerService; C:\Windows\KMSServerService\KMS Server Service.exe [236032 2017-10-16] (My Digital Life Forums) [Brak podpisu cyfrowego] R3 ptun0901; C:\Windows\system32\DRIVERS\ptun0901.sys [27136 2014-08-08] (The OpenVPN Project) 2017-10-15 22:36 - 2017-10-16 22:36 - 000000000 ____D C:\Windows\AutoKMS 2017-10-15 22:36 - 2017-10-15 22:36 - 000003758 _____ C:\Windows\System32\Tasks\AutoKMS 2017-10-15 22:35 - 2017-10-15 22:36 - 000000000 ____D C:\ProgramData\Microsoft Toolkit 2017-10-15 22:32 - 2017-10-15 22:32 - 000000000 ____D C:\ProgramData\KMSAuto 2017-10-15 22:18 - 2014-08-08 18:31 - 000027136 _____ (The OpenVPN Project) C:\Windows\system32\Drivers\ptun0901.sys 2017-10-15 22:18 - 2014-05-25 02:36 - 000015360 _____ C:\Windows\system32\SppExtComObjHook.dll 2017-10-15 22:18 - 2014-05-25 02:36 - 000004608 _____ C:\Windows\system32\SppExtComObjPatcher.exe 2017-10-15 22:17 - 2017-10-15 22:38 - 000000000 ____D C:\Users\Rafał\AppData\Local\MSfree Inc 2017-10-15 22:16 - 2017-10-15 22:16 - 000000000 __RHD C:\Windows\KMS Crack został już częściowo uszkodzony (prawdopodobnie przez AdwCleaner), gdyż w Harmonogramie figurowało uszkodzone zadanie AutoKMS kierujące donikąd. To zadanie załączone powyżej w skrypcie naprawy, ale resztę cracka to należy odwrócić deinstalatorem cracka. 3. Jeśli chodzi o komunikat o naruszeniu WMI, który nadal figuruje, to nadal nie jest wykluczony wpływ COMODO. Niemniej na wszelki wypadek poproszę o raport diagnostyczny z WMI Diagnosis Utility. Skrypt należy uruchomić jako Administrator, czyli po rozpakowaniu narzędzia do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji: klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się