PhatDerick Opublikowano 14 Stycznia 2018 Zgłoś Udostępnij Opublikowano 14 Stycznia 2018 Witam serdecznie. Zachciało mi się zainstalować "wersję testową" pewnego programu i załapałem syfa w postaci strony startowej hi.fo w przeglądarce chrome. Przesyłam logi i proszę o pomoc w usunięciu problemu. Pozdrawiam. EDIT: Odświeżyłem logi. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Stycznia 2018 Zgłoś Udostępnij Opublikowano 21 Stycznia 2018 Widzę, że temat zgłoszony jako aktualny, więc odpowiadam (byłem na urlopie). Skrót uruchamiający przeglądarkę Google Chrome został zmodyfikowany przez adware podstawiając argument uruchamiający stronę hi.ru. Oprócz tego widoczne jest podejrzane zadanie w Harmonogramie zadań.Powinniśmy szybko się z tym uporać. Zajmę się również usuwaniem szczątek po wcześniej odinstalowanym oprogramowaniu (m.in po przeglądarce Mozilla FireFox). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses:CreateRestorePoint:Task: {234781B8-1E2E-4388-BEA8-84ECF0375483} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {7433A65F-53C5-4B10-AAEE-721DF7C2BA19} - System32\Tasks\{E0D8B42D-99BE-4277-BA5D-7903BED2267C} => C:\Windows\system32\pcalua.exe -a C:\Users\Dariusz\AppData\Local\Temp\7zO46FF04A7\setup.exe -d C:\Users\Dariusz\AppData\Local\Temp\7zO46FF04A7\ ShortcutWithArgument: C:\Users\Dariusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hi.ru/?md81HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe C:\Users\Dariusz\Documents\Euro Truck Simulator 2\readme.rtf.lnkDeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\Dariusz\AppData\Local\MozillaC:\Users\Dariusz\AppData\Roaming\MozillaC:\Users\Dariusz\AppData\Roaming\ProfilesPowershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner z opcji Skanuj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 3. Dostarcz raport z Farbar Service Scanner (FSS) (widoczny jest niepokojący alert usługi przywracania i winmgmt).4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
PhatDerick Opublikowano 21 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 21 Stycznia 2018 Wszystkie instrukcje wykonane, logi w załączniku. Fixlog.txt AdwCleanerS0.txt FSS.txt FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Stycznia 2018 Zgłoś Udostępnij Opublikowano 21 Stycznia 2018 System Restore:============VSS Service is not running. Checking service configuration:The start type of VSS service is set to Disabled. The default start type is 3.The ImagePath of VSS service is OK. Usługa, o której wcześniej wspominałem nie jest uszkodzona, a tylko wyłączona. Gdybyś jej potrzebował to po prostu ją włącz. Wszystko pomyślnie wykonane, infekcja usunięta.Detekcje AdwCleaner możesz dać do kasacji. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe] - hxxps://clients2.google.com/service/update2/crx Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go. 2. Napisz jak podsumowujesz obecną sytuację, czy omawiany problem ustąpił? Odnośnik do komentarza
PhatDerick Opublikowano 21 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 21 Stycznia 2018 Wygląda na to, że problem został rozwiązany, złośliwa strona już się nie uruchamia wraz ze startem przeglądarki. Dziękuję serdecznie za pomoc. Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Stycznia 2018 Zgłoś Udostępnij Opublikowano 21 Stycznia 2018 Fix wykonany pomyślnie. Cieszę się, że mogłem pomóc! Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się