0korneliusz Opublikowano 11 Listopada 2017 Zgłoś Udostępnij Opublikowano 11 Listopada 2017 Witam, jak w temacie tak właśnie jest. Stosowałem Adwcleaner, resetowałme przeglądarek jednak to nic nie daje. Mam logi z FRST, ale nie wiem jak tu załączyć. Pozdrawiam i proszę o poradę i pomoc. Odnośnik do komentarza
Miszel03 Opublikowano 11 Listopada 2017 Zgłoś Udostępnij Opublikowano 11 Listopada 2017 Zasady działu mówią jasno jak to zrobić. Upewnij się, że masz trzy raporty: FRST, Addition i Shortcut. Dodatkowo - stosowałeś AdwCleaner. Poproszę z niego raport znajdujący się w C:\AdwCleaner. Proszę nie wklejać raportów bezpośrednio w postach. Należy skorzystać przy ich dodawaniu z opcji Załączniki. Jedynym akceptowanym formatem tekstowym w Załącznikach jest rozszerzenie TXT. Wszystkie inne formaty tekstowe są celowo wyłączone. Proszę uważnie zweryfikować czy Załączniki są wstawione prawidłowo i czy w poście widnieją pod napisem "Załączone pliki". Jeśli będzie jakikolwiek problem ze stosowaniem Załączników (ważą więcej niż przewiduje to limit, nie chcą się dołączać etc.), można ostatecznie skorzystać z serwisu wklejkowego wklej.org. Odnośnik do komentarza
0korneliusz Opublikowano 11 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2017 ok już dołaczam http://wklej.org/id/3292553/ http://wklej.org/id/3292554/ http://wklej.org/id/3292556/ http://wklej.org/id/3292559/ Odnośnik do komentarza
Miszel03 Opublikowano 11 Listopada 2017 Zgłoś Udostępnij Opublikowano 11 Listopada 2017 Raport FRST i Addition jest ucięty - popraw. Odnośnik do komentarza
0korneliusz Opublikowano 11 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2017 Raport FRST i Addition jest ucięty - popraw. http://wklej.org/id/3292586/ http://wklej.org/id/3292589/ Odnośnik do komentarza
Miszel03 Opublikowano 11 Listopada 2017 Zgłoś Udostępnij Opublikowano 11 Listopada 2017 One nadal są ucięte - musiałeś niepoprawnie wygenerować raporty. Wykonaj je jeszcze raz i dostarcz. Problem leży w skrótach argumentów (5 minut i po problemie), ale bez kompletu raportów nie przejdę do pomocy. Odnośnik do komentarza
0korneliusz Opublikowano 11 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2017 ok, oto nowe logi http://wklej.org/id/3292741/ http://wklej.org/id/3292742/ http://wklej.org/id/3292743/ Użyłem progsa RegueKiller i niby pousuwał ale po restarcie znowu jest przekierowwanie hello Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Użyłem progsa RegueKiller i niby pousuwał ale po restarcie znowu jest przekierowwanie Trudno było poczekać, prawda? Więc znowu: poproszę o nowe raport, bo te są nieaktualne i nie wiem gdzie leży problem po zastosowaniu RogueKiller. Odnośnik do komentarza
0korneliusz Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Witam podaję nowe raporty. Nie trudno poczekać, tylko sam staram się też coś robić. Nie tylko wymagać od innych. http://wklej.org/id/3292998/ http://wklej.org/id/3292999/ http://wklej.org/id/3293000/ Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Nie trudno poczekać, tylko sam staram się też coś robić. Nie tylko wymagać od innych. Rozumiem, ale w takiej sytuacji lepiej zdać się na innych, doświadczonych ludzi. RougeKiller może być bardzo niebezpieczny, jeśli wyniki zostałby źle zinterpretowane. Ale generalnie to jest bardzo dobre podejście do życia Szkodliwe argumenty dołączone pod skróty nadal są obecne, ale oprócz tego widoczne są polityki grup blokujące niektóre modyfikacje. Ponad to osobna infekcja podszywa się pod usługę svchost. Powinniśmy się z tym szybko uporać. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia C:\Windows\svchost.exe ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [152] C:\Users\majakuba\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\majakuba\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\majakuba\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\Desktop\chrome — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\chrome — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\Desktop\firefox — skrót.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\firefox — skrót.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://hao.169x.cn/?v=108 Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
0korneliusz Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Już działam, podaje nowe logi, ale jest ok wszystko super dziekuje bardzo pozdrawiam i wielki szacunek ze względu na wiedzę i umiejetności oraz chęc pomocy. http://wklej.org/id/3293056/ http://wklej.org/id/3293057/ http://wklej.org/id/3293058/ Odnośnik do komentarza
0korneliusz Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Witam ponownie to jezeli mozna to dam jeszcze lofi z drugiego lapka ten sam problem, ta sama strona. http://wklej.org/id/3293070/ http://wklej.org/id/3293071/ http://wklej.org/id/3293072/ Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Post podbijający kasuję. Nie jestem robotem. Nie siedzę tutaj 24h / 7. Komputerem drugim zajmiemy się jako skończymy pierwszy. Co z punktem 2? Odnośnik do komentarza
0korneliusz Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Sorki, malware nic nie znalazl więc nie dołaczałem loga. Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 W porządku, więc skoro z Twojego punktu widzenia problem ustąpił i z mojego system wygląda w porządku to uznaję, że możemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. KOMPUTER 2 Sprawa prezentuje się praktycznie identycznie jak w przypadku pierwszego komputera. Te same infekcje, trochę inny układ. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses:CreateRestorePoint:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IncrediMail.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\IncrediMail\IncrediMail Gallery.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\IncrediMail\IncrediMail.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\IncrediMail\Letter Creator.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\IncrediMail\Uninstall IncrediMail.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\More Games.lnkC:\Users\maja-komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\IncrediMail 2.0.lnkC:\Users\maja-komp\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnkC:\Users\maja-komp\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnkC:\Users\maja-komp\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnkShortcutWithArgument: C:\Users\maja-komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108ShortcutWithArgument: C:\Users\maja-komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108ShortcutWithArgument: C:\Users\maja-komp\Desktop\firefox — skrót.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://hao.169x.cn/?v=108ShortcutWithArgument: C:\Users\maja-komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\firefox — skrót.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://hao.169x.cn/?v=108ShortcutWithArgument: C:\Users\maja-komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://hao.169x.cn/?v=108ShortcutWithArgument: C:\Users\maja-komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://hao.169x.cn/?v=108AlternateDataStreams: C:\ProgramData\TEMP:B3D74A13 [160]R2 PowerManager; C:\Windows\svchost.exe [36352 2001-08-24] () [brak podpisu cyfrowego]C:\Windows\svchost.exePowershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
0korneliusz Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 ok, już działam. Oto nowe logi http://wklej.org/id/3293257/ http://wklej.org/id/3293259/ http://wklej.org/id/3293261/ Malware nie wykrył nic. Jest super nie ma syfu dziękuje bardzo za pomoc. Pozdrawiam Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Proszę o raport Fixlog, jedna infekcja została - nie wiedzieć czemu. Reszta pomyślnie wykonana. Poproszę też o raport ze skanu Malwarebytes - mam wątpliwości, czy na pewno go wykonałeś (nie widzę go na liście zainstalowanych programów). Odnośnik do komentarza
0korneliusz Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Wykonałem ale progs wywaliłem. Rport z fixlog http://wklej.org/id/3293268/ malware za chwile http://wklej.org/id/3293280/ - raport z malware teraz znallazl 8 sztuk po restaarcie Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 W porządku, ufam, że wykonałeś skan Malwarebytes. Nie mogę otworzyć coś tej wklejki z Fixlog, no trudno już. Zrobimy od razu podejście drugie z zabiciem powłoki explorer - to powinno dobić infekcje. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exeCreateRestorePoint: R2 PowerManager; C:\Windows\svchost.exe [36352 2001-08-24] () [brak podpisu cyfrowego] C:\Windows\svchost.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt EDIT: Widzę, że jednak dodałeś raport, ale moje kroki i tak wykonaj (najwyżej się zdublują). Odnośnik do komentarza
0korneliusz Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Oto nowe logi http://wklej.org/id/3293302/ http://wklej.org/id/3293305/ http://wklej.org/id/3293306/ Ogólnie jest super nie ma juz tego syfu. Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Posty łącze w jedną całość. Przez SHIFT + DELETE skasuj ten plik: C:\Windows\svchost.exe. Nie wiedzieć czemu ocalał, po chwili upewnij się, że już go nie ma. Jeśli nadal by powracał to zgłoś się na forum. Skoro problem ustąpił to kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
Miszel03 Opublikowano 13 Listopada 2017 Zgłoś Udostępnij Opublikowano 13 Listopada 2017 O ile komputer pierwszy wyczyściłem prawidłowo, tak w drugim może istnieć prawdopodobieństwo infekcji plików wykonywalnych. Proszę o zgłoszenie się na forum z nowym zestaw raportów FRST. Odnośnik do komentarza
0korneliusz Opublikowano 15 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2017 Witam ponownie, jeżeli mogę jeszcze o coś prosić to jeszcze jeden komp z tym syfem pozostał. Teraz już stacjonarny. Podaję logi i prosze o pomoc, jeżeli nie wyczerpałem już limitu. Pozdrawiam Sebastian. http://wklej.org/id/3295802/ http://wklej.org/id/3295803/ http://wklej.org/id/3295804/ Odnośnik do komentarza
Miszel03 Opublikowano 15 Listopada 2017 Zgłoś Udostępnij Opublikowano 15 Listopada 2017 Najpierw podaj raporty z dwóch poprzednich komputerów - muszę zweryfikować, czy to nie był przypadkiem Jeefo. Następnym komputerem zajmę się później. Odnośnik do komentarza
0korneliusz Opublikowano 15 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2017 (edytowane) Ale jaja w jednym lapku juz ta stronka pojawiła się znowu i na drugim też. Nie czaję Oto logi z 1 lapka http://wklej.org/id/3295866/ http://wklej.org/id/3295868/ http://wklej.org/id/3295869/ Edytowane 20 Listopada 2017 przez Miszel03 Odpowiem niebawem. //Miszel03 Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się