Lea01 Opublikowano 13 Stycznia 2018 Zgłoś Udostępnij Opublikowano 13 Stycznia 2018 Cześć Wykonałam wczoraj skanowanie laptopa Avastem przy uruchomieniu i wykrył on zarażenie przez: - JS:BProtect-A - Win32:Adware-BRS - Win32:BProtect-D - JS:ScriptIP-inf Poradził sobie jedynie z JS:ScriptIP-inf poprzez usunięcie. Jak mogę się tego wszystkiego pozbyć? Dodam, że laptop działa, jak na swój wiek (ponad 8 lat) bez zarzutu, szczególnie, że jest to komputer "rodzinny", więc jest bardzo często w użyciu. Będę bardzo wdzięczna za wszelką pomoc, szczególnie, że nie jestem asem z informatyki Pozdrawiam i załączam wymagane pliki. FRST.txt Shortcut.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Stycznia 2018 Zgłoś Udostępnij Opublikowano 13 Stycznia 2018 Wygląda na to, że te trzy pozostałe detekcje dotyczą wyszukiwarek adware / PUP w ustawieniu dostawy wyszukiwarek. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers1-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files (x86)\7-Zip\7-zip.dll -> Brak pliku ContextMenuHandlers4-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files (x86)\7-Zip\7-zip.dll -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku SearchScopes: HKU\S-1-5-21-296273819-3779705695-2377126671-1000 -> {785D7B8F-5E37-4DC4-A83F-26228576F8F5} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 SearchScopes: HKU\S-1-5-21-296273819-3779705695-2377126671-1000 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = hxxp://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Subtitle Workshop.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Uninstall Subtitle Workshop.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (Bulgarian).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (English).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (Espańol).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (Russian).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Informator\Informator.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip\7-Zip File Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip\7-Zip Help.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Lea01 Opublikowano 13 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2018 Dziękuję, mam nadzieję, że wszystko wykonałam poprawnie. Przesyłam raporty. BTW, jak na przyszłość unikać takich zarażeń? Dodaję info, że Malwarebytes znalazł trzy zagrożenia. Pozdrawiam Malwarebytes.txt Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Stycznia 2018 Zgłoś Udostępnij Opublikowano 21 Stycznia 2018 Przepraszam za późną odpowiedź, ale byłem na urlopie. Tak, wszystko pomyślnie wykonane i nie widzę już problemów, a na temat ochrony przed infekcjami adware / PUP (teraz mieliśmy z nią do czynienia) proszę przeczytać - Portale z oprogramowaniem / Instalatory - na co uważać. Jeśli chodzi zaś o detekcje Malwarebytes to PUP.Optional.DriverPack ominąć (korzystasz z tego programu, bo jest zainstalowany), a PUP.Optional.APNToolBar dać do kasacji. Jak podsumowujesz obecną sytuację, czy omawiany problem ustąpił? Odnośnik do komentarza
Lea01 Opublikowano 21 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 21 Stycznia 2018 Cześć, nic nie szkodzi, mam nadzieję, że urlop był udany Zrobiłam co napisałeś, wydaje mi się, że laptop teraz mniej się męczy (choć może sobie wmawiam). Bardzo dziękuję za link do poradnika, jestem w połowie i otworzyły mi się oczy Jeszcze mam dwa pytania: 1. Co do tego PUP.Optional.DriverPack - Malwarebytes przeniósł mi je do kwarantanny i póki co zostawiam je w spokoju. A jeśli bym je usunęła, czy to spowoduje problemy w komputerze? Z tego co czytałam, ten program "pomaga" wyszukiwać jakieś aktualizacje, ale nie wiem do końca z czym go powiązać... 2. W Menedżerze Zadań widnieje aż 11 procesów chrome.exe, mimo że mam otwartą tylko 1 kartę w przeglądarce (załączam screen). Czy to jest w porządku, czy jest to jednak jakaś nieprawidłowość i może być związana z powyższą infekcją? Wybacz, jeśli moje pytania nie są zbyt mądre Będę bardzo wdzięczna za odpowiedź. Pozdrawiam Odnośnik do komentarza
Miszel03 Opublikowano 21 Stycznia 2018 Zgłoś Udostępnij Opublikowano 21 Stycznia 2018 Zapytałem: Jak podsumowujesz obecną sytuację, czy omawiany problem ustąpił?Odpowiedziałaś:Zrobiłam co napisałeś, wydaje mi się, że laptop teraz mniej się męczy (choć może sobie wmawiam).Odpowiadam: chodziło mi bardziej o stronę infekcyjną (o problem tytułowy). Jeśli zaś chodzi o resztę: 1. Co do tego PUP.Optional.DriverPack - Malwarebytes przeniósł mi je do kwarantanny i póki co zostawiam je w spokoju. A jeśli bym je usunęła, czy to spowoduje problemy w komputerze? Z tego co czytałam, ten program "pomaga" wyszukiwać jakieś aktualizacje, ale nie wiem do końca z czym go powiązać... Wycinek z logu Addition: DriverPack Solution Updater (HKU\S-1-5-21-296273819-3779705695-2377126671-1000\...\DRPSu Updater) (Version: 0.0.25 - DriverPack Solution) wskazuje na to, że DriverPack jest zainstalowany i to właśnie z tym programem powiązana jest ta detekcja. Malwarebytes stosuje teraz agresywne metody wykrywania PUP i nawet w poprawnych aplikacjach (z jakimiś drobnymi modułami PUP) wykrywa zagrożenie. Samo odizolowanie w kwarantannie dałoby efekt taki sam jak usunięcie. Na system to nie wpłynie, na sam program - może. 2. W Menedżerze Zadań widnieje aż 11 procesów chrome.exe, mimo że mam otwartą tylko 1 kartę w przeglądarce (załączam screen). Czy to jest w porządku, czy jest to jednak jakaś nieprawidłowość i może być związana z powyższą infekcją? Google Chrome pracuje na silniku Blink, czyli korzysta z architektury wieloprocesowej (rozbicie kart / elementów do osobnych procesów). Awaria jednej karty (lub innych elementów) nie pociągnie za sobą całej przeglądarki. Nie przejmowałbym się tym, wg raportu FRST: CHR Extension: (Pop up blocker for Chrome™ - Poper Blocker) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkkbcggnhapdmkeljlodobbkopceiche [2018-01-01] CHR Extension: (Adblock Plus) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-09-29] CHR Extension: (Avast SafePrice) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2018-01-11] CHR Extension: (AdBlock) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2017-12-07] CHR Extension: (Last.fm Scrobbler) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\hhinaapppaileiechjoiifaancjggfjm [2018-01-07] CHR Extension: (Floral Blue) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\mndpkoimnhcijdanbkehgccnadibcceg [2016-08-17] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-08-22] CHR Extension: (Chrome Media Router) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-12-17] masz zainstalowanych wiele rozszerzeń, które również mogą być odpowiedzialne za taką ilość procesów (możesz poeksperymentować z wyłączeniem ich kolejno i sprawdzeniem czy to przypadkiem nie któreś z nich). Wybacz, jeśli moje pytania nie są zbyt mądre Będę bardzo wdzięczna za odpowiedź. Są trafne, zresztą - "nie ma głupich pytań, są tylko głupie odpowiedzi". Odnośnik do komentarza
Lea01 Opublikowano 21 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 21 Stycznia 2018 Już odpowiadam na Twoje pytanie Malwarebytes nie wyszukuje już żadnego dodatkowego zagrożenia, więc omawiany problem ustąpił. Za 1,5 godziny będę jeszcze wykonywać skan Avastem przy uruchomieniu, żeby się całkowicie upewnić czy wszystko ok EDIT: Avast podczas skanowania nie wykrył żadnych infekcji Wszystko gra Z tym DriverPackiem mnie zaskoczyłeś, nie wiem z jakim programem mam to powiązane, bo jako takiego DriverPacka nie mam w Programach w Panelu Sterowania i nie przypominam sobie, żeby coś takiego było instalowane. Spróbuję dociec o co chodzi we własnym zakresie, nie będę Ci już tym zawracać głowy Najważniejsze, że zostało to wykryte i zneutralizowane. Dzięki też za odpowiedź w sprawie Chrome. Usunę co się da, o tych trzech ostatnich pozycjach nawet nie wiedziałam, że są traktowane jako rozszerzenia (w ogóle Chrome Media Router to dla mnie jakaś nowość ). Bardzo, bardzo dziękuję za poświęcony mi czas Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się