serafin Opublikowano 25 Stycznia 2018 Zgłoś Udostępnij Opublikowano 25 Stycznia 2018 Witam,problem jak w temacie,występuje tylko przy starcie systemu,samoczynnie uruchamia się chrome i ładuje stronę gameorplay (jakieś rosyjskie napisy ze zdjęciami panienek).AddAware wyłapuje kilka infekcji ale problem nie ustępuje.Załączam pliki stworzone przez FRST.Z góry dziękuje za pomoc,pozdrawiam Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Stycznia 2018 Zgłoś Udostępnij Opublikowano 25 Stycznia 2018 Brakuje raportu Shrotcut - proszę o dostarczenie go w kolejnym poście (przechodzę do dezynfekcji bez niego, bo wydaję się mało ważny w tej sytuacji). Jeśli zaś chodzi o problem tytułowym to tj. w poprzednich tematach na forum infekcja ulokowała się w Harmonogramie zadań i autostarcie - wymagana dezynfekcja. Po za tym sprzątam system z resztek (m.in po przeglądarce Mozilla FireFox). Na przyszłość: widzę, że był zainstalowany SpyHunter - to program wątpliwej reputacji, pod ocenę indywidualną zostawiam decyzje o jego wykorzystywaniu w przyszłości. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses:CreateRestorePoint:ContextMenuHandlers4: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} => -> Brak plikuContextMenuHandlers6: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} => -> Brak plikuTask: {E50A090E-8D4B-4A02-BAD3-A029AFE2D135} - System32\Tasks\tomek => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v tomek /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" HKU\S-1-5-21-2387200897-3327319887-1750219088-1000\...\Run: [tomek] => explorer.exe hxxp://ozirizsoos.info GroupPolicy: Ograniczenia SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X]S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]S2 vstor2; \??\C:\Program Files (x86)\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys [X] DeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\tomek\AppData\Local\MozillaC:\Users\tomek\AppData\Roaming\MozillaC:\Users\tomek\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
serafin Opublikowano 25 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 25 Stycznia 2018 Na początku bardzo dziękuje za szybką odpowiedź.Po fixsie laptop podczas włączania się nie załączył już chroma z odnośnikiem do w.w. strony lecz program po skanowaniu wykrył 3 zagrożenia,wszystko przesyłam w plikach .Niestety laptop córki ta sama historia;( Shortcut.txt Malwarebytes..txt FRST.txt Fixlog.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Stycznia 2018 Zgłoś Udostępnij Opublikowano 25 Stycznia 2018 Niestety laptop córki ta sama historia;( W takim razie proszę założyć osobny temat i dostarczyć wymagany zestaw raportów. Wszystko pomyślnie wykonane - infekcja zdjęta, system posprzątany z resztek. Poprawki: 1. Detekcje Malwarebytes zdaję się, że dotyczą cracka - ja zalecam usunięcie. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * sdnclean64.exe SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Users\tomek\AppData\Roaming\Microsoft\Word\cennik306432601337128402\cennik.docx.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po tych zabiegach skoro omawiany problem ustąpił będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
serafin Opublikowano 25 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 25 Stycznia 2018 Jeszcze raz bardzo dziękuje,wszystko działa ,co do DNS to chyba spybot to pozmieniał przy pierwszym uruchomieniu,nie wiem o jakiego cracka chodzi więc usuwam wszystkie . DelFix.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Stycznia 2018 Zgłoś Udostępnij Opublikowano 25 Stycznia 2018 Akcja pomyślnie wykonana, te DNS wykreśliłem, ale skoro jeszcze się załapałaś to nic nie powinno to zmienić (jedne były bezpieczne, bo od COMODO) - w razie potrzeby, możesz je przywrócić. Temat uważam za zakończony. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się