robertop Opublikowano 6 Stycznia 2018 Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 (edytowane) Witam, od pewnego czasu komputer mi szwankuje. Tutaj macie logi. Liczę na bardzo szybką pomoc, bo staje się to nie do zniesienia. Robert Shortcut.txt FRST.txt Addition.txt Edytowane 6 Stycznia 2018 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 6 Stycznia 2018 Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 Kolosalny bałagan. Modyfikacja adresów DNS na zagraniczne, więc raczej są infekcyjne (KLIK / KLIK), infekcje bezplikowe wykonywane przez PowerShell. Niekorzystne / szkodliwe koparki BitCoin. Multum obiektów adware. Jednym słowem jest tu co robić. Od razu przechodzimy do działań: 1. Start > Panel Sterowania > System i zabezpieczenia > System > Z bocznego panelu wybierz Ochrona systemu > Sekcja Ustawienia ochrony > Wybierz dysk C > Kliknij Konfiguruj > Sekcja Przywróć Ustawienia > Zmień z Wyłącz ochronę systemu na Przywróć ustawienia systemu oraz poprzednie wersje plików > kliknij Zastosuj, a następnie OK. Ta akcja umożliwi mi stworzenie punktu przywracania na wypadek wystąpienia awarii. 2. Przez Panel Sterowania odinstaluj adware / PUP: One System Care, YoutubeAdBlock. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [sERVICE] => [X] HKLM-x32\...\Run: [] => [X] HKLM\...\Run: [gplyra] => C:\Users\rober\AppData\Roaming\gplyra\gplyra\start.cmd [216 2017-01-10] () HKLM\...\RunOnce: [jszk04y42kt] => C:\Program Files (x86)\Multitimer\29624.exe [1218048 2018-01-06] () C:\Program Files (x86)\Multitimer C:\Users\rober\AppData\Roaming\gplyra HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia IFEO\SppExtComObj.exe: [Debugger] C:\WINDOWS\SECOH-QAD.exe C:\WINDOWS\SECOH-QAD.exe GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [458523] => C:\Users\rober\AppData\Roaming\jbps4iyyfzr\dwocjul3tz2.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [7709177] => C:\Users\rober\AppData\Roaming\hpudlgkqwqd\zteijymg3ig.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [8280762] => C:\Users\rober\AppData\Roaming\mwfpyc40tib\cpu3tqdwm5e.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [236801] => C:\Users\rober\AppData\Roaming\zwhtfln5ddp\ryuof3jbn2l.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [6075359] => C:\Users\rober\AppData\Roaming\tfjld32vk15\qrnoiytfyyy.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [2007778] => C:\Users\rober\AppData\Roaming\jbmxjhlkiax\nfdvmc2pkhg.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [4068841] => C:\Users\rober\AppData\Roaming\om4inqqk0dk\y01inoxm2vs.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [1505690] => C:\Users\rober\AppData\Roaming\sin23ee1iy5\dted345boon.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [3148841] => C:\Users\rober\AppData\Roaming\p31gvnwjdni\fjepflo1zln.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [6051548] => C:\Users\rober\AppData\Roaming\dume00dobkr\iivlipm32ju.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [3204014] => C:\Users\rober\AppData\Roaming\zn44ekngj1w\4c3r1t1sksq.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [1UXBF7VRUCQ1LN7] => C:\Program Files\312GR4SIS4\312GR4SIS.exe [669184 2018-01-06] (BUMVPN) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [i7ZZTNRZNZI26IZ] => C:\Program Files\OZU7LPSW8F\OZU7LPSW8.exe [669184 2018-01-06] (BUMVPN) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [66213ASU3ATFJEX] => C:\Program Files\AX3I2LNG6X\AX3I2LNG6.exe [669184 2018-01-06] (BUMVPN) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [3AXLA75QWGRR96B] => "C:\Program Files\1FG91MQVUM\1FG91MQVU.exe" C:\Users\rober\AppData\Roaming\jbps4iyyfzr C:\Users\rober\AppData\Roaming\hpudlgkqwqd C:\Users\rober\AppData\Roaming\mwfpyc40tib C:\Users\rober\AppData\Roaming\zwhtfln5ddp C:\Users\rober\AppData\Roaming\tfjld32vk15 C:\Users\rober\AppData\Roaming\jbmxjhlkiax C:\Users\rober\AppData\Roaming\om4inqqk0dk C:\Users\rober\AppData\Roaming\sin23ee1iy5 C:\Users\rober\AppData\Roaming\p31gvnwjdni C:\Users\rober\AppData\Roaming\dume00dobkr C:\Users\rober\AppData\Roaming\zn44ekngj1w C:\Program Files\312GR4SIS4 C:\Program Files\1FG91MQVUM Tcpip\..\Interfaces\{19bc2252-97f2-4732-a968-d5b2e8a913c2}: [NameServer] 82.163.142.8,95.211.158.136 HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9Df0lc7ye1CLKAkM4jo69SCA5O5FkOioXeTPZGYEXqqTHtmJ9INgOeUSDyFgczmTxe_A-YfRrlKHiF_LNxop81s7dYYdqQ4bJAbNa-kSvlT6dpAf9cwFviuEJ07FnJFrNXJTHHht-HxnCBvsCFnO91K0Czw,, S2 service_box.exe; "C:\Program Files (x86)\System Native\Main Services\service_box.exe" [X] S3 updater; "C:\Program Files (x86)\System Native\Main Services\updater.exe" /runservice [X] S1 oahnmwqz; \??\C:\WINDOWS\system32\drivers\oahnmwqz.sys [X] 2018-01-06 12:44 - 2018-01-06 12:44 - 000003328 _____ C:\WINDOWS\System32\Tasks\LaCieS 2018-01-06 12:59 - 2018-01-06 12:59 - 000000000 ____D C:\Users\rober\AppData\Local\AdService 2018-01-06 12:44 - 2018-01-06 12:44 - 000000000 ____D C:\Users\rober\AppData\Local\Optimizer 2018-01-06 12:44 - 2018-01-06 12:44 - 000000000 ____D C:\Program Files (x86)\foldershare 2018-01-06 12:44 - 2018-01-06 12:44 - 000000000 ____D C:\Windat 2018-01-06 12:44 - 2018-01-06 12:44 - 000000000 ____D C:\Disk 2018-01-06 12:41 - 2018-01-06 12:42 - 000000000 ____D C:\Applications 2018-01-06 12:44 - 2018-01-06 12:44 - 000000000 ____D C:\Users\rober\AppData\Roaming\9aa9c57174cc460db233b7d85fa67383 2018-01-06 12:59 - 2018-01-06 12:59 - 000011568 _____ () C:\Users\rober\AppData\Local\InstallationConfiguration.xml 2018-01-06 12:42 - 2018-01-06 12:42 - 000140800 _____ () C:\Users\rober\AppData\Local\installer.dat 2018-01-06 12:59 - 2018-01-06 12:59 - 000930816 _____ () C:\Users\rober\AppData\Local\po.db Task: {DD2EBD9D-55DB-46CE-8C82-6B5854F5ADFF} - System32\Tasks\{79087A47-040C-787D-0911-0E7A05041104} => C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAA7ACAAOwA7ADsAIAAgADsAIAAgADsAIAA7ACAAOwA7ACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIAOwAkAFcAYQByAG4AaQBuAGcAUAByAGUA (dane wartości zawierają 9984 znaków więcej). Task: {3A27DC34-828A-4D19-95DC-1EE5109F0B60} - System32\Tasks\BcyoMZkjXMgFaPP2 => rundll32 "C:\Program Files (x86)\umkISPBbU\lcsJvU.dll",#1 Task: {3A778ED2-68C4-458A-9F6C-B4F5FA5CB781} - System32\Tasks\saKXaLnxQURzlMgex2 => rundll32 "C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\bkEGUze.dll",#1 Task: {55F70757-A2F9-4C40-AD5B-52BCEC7C362A} - System32\Tasks\pnIxobGIUDXdNt => rundll32 "C:\Program Files (x86)\TwPufLOWyrxU2\blGcZsqJfvdUO.dll",#1 Task: {6C7D5F18-F1BD-4A83-83D4-01158636FC38} - System32\Tasks\plaAVjRQXWCDePSecyr2 => rundll32 "C:\Program Files (x86)\aohGTEheqdnWC\MduDQxt.dll",#1 Task: {95A34E05-D4FB-438F-B073-63E5E40280CD} - System32\Tasks\plaAVjRQXWCDePSecyr => rundll32 "C:\Program Files (x86)\aohGTEheqdnWC\MduDQxt.dll",#1 Task: {9F90BEA2-B617-4140-AE3A-7554A1AB323D} - System32\Tasks\BcyoMZkjXMgFaPP => rundll32 "C:\Program Files (x86)\umkISPBbU\lcsJvU.dll",#1 Task: {C7F6B99E-AA8E-4071-A0B0-FCF13F3F872D} - System32\Tasks\saKXaLnxQURzlMgex => rundll32 "C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\bkEGUze.dll",#1 Task: C:\WINDOWS\Tasks\BcyoMZkjXMgFaPP.job => C:\Program Files (x86)\umkISPBbU\lcsJvU.dll Task: C:\WINDOWS\Tasks\plaAVjRQXWCDePSecyr.job => C:\Program Files (x86)\aohGTEheqdnWC\MduDQxt.dll Task: C:\WINDOWS\Tasks\saKXaLnxQURzlMgex.job => C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\bkEGUze.dll Task: {A32CD1B1-6267-43DC-837B-9E18DEAB3613} - System32\Tasks\Areary Page Fix => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Areary Page Fix\Areary Page Fix.dll",SsWffym C:\Program Files\Areary Page Fix C:\Program Files (x86)\umkISPBbU C:\Program Files (x86)\RrHYXuUpocPTIXdsppR C:\Program Files (x86)\TwPufLOWyrxU2 C:\Program Files (x86)\aohGTEheqdnWC Task: {A32CD1B1-6267-43DC-837B-9E18DEAB3613} - System32\Tasks\Areary Page Fix => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Areary Page Fix\Areary Page Fix.dll",SsWffym C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asystent uaktualnienia do systemu Windows 10.lnk C:\Users\rober\Desktop\Google Chrome.lnk C:\Users\rober\AppData\Roaming\Microsoft\Windows\Start Menu\Music Challenge.lnk C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Сhromе.lnk C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооgle Сhrоmе.lnk C:\Users\rober\AppData\Roaming\Browsers C:\Program Files (x86)\Google\Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\rober\AppData\Local\Google\Chrome DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\rober\AppData\Local CMD: dir /a C:\Users\rober\AppData\LocalLow CMD: dir /a C:\Users\rober\AppData\Roaming CMD: netsh advfirewall reset CMD: ipconfig /flushdns Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
robertop Opublikowano 6 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 Przesyłam logi i raport z MAM. Niestety wygląda na to, że ciągle pozostał CDgi Setup.exe w Task Menagerze... Co więcej, miałem problem z zainstalowaniem Malwarbytes, więc użyłem Chameleona... FRST.txt FRST.txt Shortcut.txt malwarbytes wyniki.txt Fixlog.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 6 Stycznia 2018 Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 A gdzie log nowy Addition? P.S: Żarty sobie robisz? Te pierwsze raporty, pod które pisałem skrypt były nieaktualne - musiałeś użyć jakiegoś oprogramowania wcześniej. Teraz powiedz co to było. Odnośnik do komentarza
robertop Opublikowano 6 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 Już dodalem, przepraszam, przez przypadek dwa razy dodałem FRST Odnośnik do komentarza
Miszel03 Opublikowano 6 Stycznia 2018 Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 W porządku. Wszystkie detekcje Malwarebytes daj do kasacji, a następnie zrób nowy zestaw raportów FRST. Odnośnik do komentarza
robertop Opublikowano 6 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 Tutaj logi po Malwarbytes. Shortcut.txt FRST.txt Addition.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się