Kerel Opublikowano 9 Lutego 2018 Zgłoś Udostępnij Opublikowano 9 Lutego 2018 (edytowane) Cześć. Mam Windows 7 Ultimate 64bit Miałem problem z chrome wyskakiwały mi reklamy, subskrypcje na youtube same się nabijamy, jak? nie wiem byłem zszkowany, rozszerzeń też nie mogłem instalować typu adblock itd. Poszukałem, znalazłem coś problem ustał.Dziś... znów powstał problem, tym razem z rozszerzeniami. Słyszałem że program FRST jest skuteczny i podaje wam logi, liczę na pomoc, ponieważ ten problem mnie dobija i jest bardzo męczący, mam wrażenie, że nie pozbyłem się w 100% tego "wirusa". Addition.txt FRST.txt Shortcut.txt Edytowane 10 Lutego 2018 przez Kerel Odnośnik do komentarza
Rucek Opublikowano 10 Lutego 2018 Zgłoś Udostępnij Opublikowano 10 Lutego 2018 Brakuje jeszcze jednego pliku z FRST - shortcut - zasady działu - dołącz proszę. Co do blokowania reklam to teraz używa się uBlock Origin - najlepszy. Podejrzewam, że problem leży gdzie indziej, niż w dodatku, i może przeglądarka jest uszkodzona - ale tym już zajmie się Miszel. Odnośnik do komentarza
Miszel03 Opublikowano 11 Lutego 2018 Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Raporty dostarczone, więc niepotrzebne posty stąd kasuje.Widzę, że były stosowane różne narzędzia i o ile AdwCleaner przemilczę (choć powinieneś dostarczyć raport!), tak użycie ComboFix było najgorszym co mogłeś zrobić i miałeś więcej szczęścia niż rozumu - KLIK. Resztki po tych programach będą usuwane w trakcie finalizacji tematu. Jeśli zaś chodzi o problem reklam to w systemie widoczne są zadania adware / PUP, a także śmieciowa wyszukiwarka i zamulony plik Hosts - tym będziemy się teraz zajmować.Oprócz tego sprzątam system z resztek: martwych wpisów / skrótów, pozostałości po przeglądarce Mozilla FireFox itp. Włączam również kontrolę integralności, bo dotychczasowo była wyłączona. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses:CreateRestorePoint:GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Toolbar: HKU\S-1-5-21-1917668780-486707301-2944577488-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak plikuHKU\S-1-5-21-1917668780-486707301-2944577488-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://page-ups.com/all/S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160601.040\ENG64.SYS [X]S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160601.040\EX64.SYS [X]S3 catchme; \??\C:\ComboFix\catchme.sys [X]S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]S3 tsusbhub; system32\drivers\tsusbhub.sys [X]S3 VGPU; System32\drivers\rdvgkmd.sys [X]ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuTask: {50C4F8C6-0965-41EF-A464-6AA77BF6E68A} - System32\Tasks\Windows Formulator Notes Lite => C:\Windows\system32\rundll32.exe "C:\Program Files\Windows Formulator Notes Lite\Windows Formulator Notes Lite.dll",rLPtmp Task: {7CC69EB6-90CD-47C6-A7B4-EFD6D18AC598} - System32\Tasks\CPU Tracker for CDM Demo => C:\Windows\system32\rundll32.exe "C:\Program Files\CPU Tracker for CDM Demo\CPU Tracker for CDM Demo.dll",fisSojQ Task: C:\Windows\Tasks\CPU Tracker for CDM Demo.job => rundll32.exe C:\Program Files\CPU Tracker for CDM Demo\CPU Tracker for CDM Demo.dllTask: {8ADFEA2A-EA17-4F35-BB78-16EFB4A439A8} - System32\Tasks\Jack Game Contacts Lease => C:\Windows\system32\rundll32.exe "C:\Program Files\Jack Game Contacts Lease\Jack Game Contacts Lease.dll",UjObmie Task: {8F873C7A-CB14-4DF4-9D1F-E19D2ED45E2D} - System32\Tasks\AutoFise OpenViewer => C:\Windows\system32\rundll32.exe "C:\Program Files\AutoFise OpenViewer\AutoFise OpenViewer.dll",rXGGCJZZHci Folder: C:\Program Files\Windows Formulator Notes LiteFolder: C:\Program Files\CPU Tracker for CDM DemoFolder: C:\Program Files\Jack Game Contacts LeaseFolder: C:\Program Files\AutoFise OpenViewerC:\Users\Karolek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxplorеr (Nо Аdd-оns).lnknointegritychecks: ==> "IntegrityChecks" [funkcja wyłączona] DeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\Karolek\AppData\Local\MozillaC:\Users\Karolek\AppData\Roaming\MozillaC:\Users\Karolek\AppData\Roaming\ProfilesPowershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}Hosts:EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Kerel Opublikowano 11 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Nie wiem czy to istotne, ale wstawię. To tak po uruchomieniu FRST w punkcie 1 zresetował się komputer i pojawiło się coś takiego, klikając na pierwszy system, system uruchomił się normalnie. Chrome zresetowane.Daje logi z Malware.Nowy skan z FRST wykonany. Malwarebytes skan.txt Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 11 Lutego 2018 Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Wszystko pomyślnie wykonane, a komunikat bardzo istotny, gdyż ujawnił infekcję i to właśnie ona ustawiła brak kontroli integralności (podejrzewałem to). Loaderem systemu Windows 7 jest winload.exe, a nie osloader.exe. Ten plik wygląda na malware. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Poproszę o nowy skan FRST z zaznaczoną opcją Lista BCD, Addition i Shortcut niepotrzebne. Dodatkowo, wklej w polu Szukaj ntkrnlmp.exe i klik w Szukaj plików. Odnośnik do komentarza
Kerel Opublikowano 11 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Wykonane, daje logi. FRST.txt Search.txt Odnośnik do komentarza
Miszel03 Opublikowano 11 Lutego 2018 Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Świetnie, o to mi chodziło. Infekcja dodała nową pozycję startową Windows Fast Mode powiązaną z dwoma fałszywymi plikami "Microsoftu" cytowanymi przeze mnie powyżej: Moduł ładujący rozruchu systemu Windows---------------------------------------Identyfikator {default}device partition=C:path \Windows\system32\osloader.exedescription Windows Fast Modeinherit {bootloadersettings}recoveryenabled Yesosdevice partition=C:systemroot \Windowskernel ntkrnlmp.exeresumeobject {7b79ade8-e503-11e7-8cbc-806e6f6e6963}nx OptIn 1. Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako administrator. W karcie Rozruch podświetl pozycję "Windows 7" i kliknij Ustaw jako domyślne. Następnie podświetl pozycję Windows Fast Mode i kliknij w Usuń. Zresetuj system, by zweryfikować naprawę rozruchu. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CreateRestorePoint:2018-02-02 14:40 - 2017-12-22 23:47 - 000000000 ____D C:\Program Files\GridinSoft Anti-MalwareTask: {08AFD207-5639-4185-990E-CE9D402DF61F} - System32\Tasks\{B1DE5E52-53B2-4CB9-B0E9-A8B93E04217A} => C:\Windows\system32\pcalua.exe -a "C:\Users\Karolek\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" -c /uninstallTask: {345F919E-63AE-41E7-A713-9153A85A515D} - System32\Tasks\{A84D2D3A-F9A4-452A-9120-39E57BAB0D3E} => C:\Windows\system32\pcalua.exe -a "D:\OtherDriver\Intel SBA\IntelSba_4.0.44.exe" -d "D:\OtherDriver\Intel SBA" -c -silentC:\Windows\system32\ntkrnlmp.exeC:\Windows\system32\osloader.exe Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Wykonaj skanowanie Integralności Windows z opcji sfc /scannow i dostarcz przefiltrowany raport.4. Napisz, czy problemy, z którymi zgłosiłeś się ustąpiły. Odnośnik do komentarza
Kerel Opublikowano 11 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Nie mogę uruchomic komputera po punkcie 1 Jest błąd 0xc000000e. Nie mozna uruchomic pozycji rozruchu, poniewaz wymagane urzadzenie jest niedostępne. Odnośnik do komentarza
Miszel03 Opublikowano 11 Lutego 2018 Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Kurczę, ale czy na pewno wybrałeś w karcie rozruch Windows 7 jako domyślne?Masz płytę z Windows? To będzie teraz priorytet. Powiadomiłem picasso, gdyż nie czuję się pewnie w takich infekcjach. Odnośnik do komentarza
Kerel Opublikowano 11 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Tak wybrałem, teraz próbuje przez płytkę naprawić, ale nie da rade. Odnośnik do komentarza
Miszel03 Opublikowano 11 Lutego 2018 Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Spokojnie, już picasso powiadomiona - czekamy. Przepraszam. Odnośnik do komentarza
Kerel Opublikowano 11 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Spoko nic sie nie stało wiadomo nie zawsze idzie po naszej mysli. Nic do was nie mam, ciesze sie, ze pomagacie. Odnośnik do komentarza
Miszel03 Opublikowano 11 Lutego 2018 Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Oczekując na picasso, szukam przyczyny, dlaczego tak się stało. To jest prawidłowy moduł ładujący: Moduł ładujucy rozruchu systemu Windows---------------------------------------Identyfikator {current}device partition=C:path \Windows\system32\winload.exedescription Windows 7locale pl-PLinherit {bootloadersettings}recoverysequence {4b39f132-b8fb-11e7-9664-be0cc1c114d9}recoveryenabled Yesosdevice partition=C:systemroot \Windowsresumeobject {4b39f130-b8fb-11e7-9664-be0cc1c114d9}nx OptIn ...a to jest infekcyjny moduł ładujący: Moduł ładujący rozruchu systemu Windows---------------------------------------Identyfikator {default}device partition=C:path \Windows\system32\osloader.exedescription Windows Fast Modeinherit {bootloadersettings}recoveryenabled Yesosdevice partition=C:systemroot \Windowskernel ntkrnlmp.exeresumeobject {7b79ade8-e503-11e7-8cbc-806e6f6e6963}nx OptInReasumując: zleciłem ustawienie modułu Windows 7 jako domyślny i skasowanie modułu Windows Fast Mode. To zrobiłeś.Czyli teoretycznie przy starcie powinien zostać podstawiony ten prawidłowy loader. Pytanie dlaczego tak się nie stało.EDIT: W trakcie operacji byłeś na loaderze poprawnym, gdyż taki wybrałeś podczas stary systemu. Jednak domyślnym jest infekcyjny. Skoro ustawiłeś Windows 7 jako domyślny i skasowałeś infekcyjny to nie wiem co tu zawiniło i muszę czekać na picasso (loguję się codziennie, mam nadzieję, że jeszcze wieczorem się pojawi). Odnośnik do komentarza
Kerel Opublikowano 11 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Nie mam pojecia, robilem jak kazales. Moze przez biosa da rade jakoś cos zrobić? Odnośnik do komentarza
Miszel03 Opublikowano 11 Lutego 2018 Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Hm... No nic poczekamy na picasso to się dowiemy. Moze przez biosa da rade jakoś cos zrobić? Masz płytę Windows, więc będziemy mieli dostęp do WinRe. Nie jesteśmy na szczęście w czarnej kropce (Windows przypuszczalnie nie wie, którego loadera ma użyć - i to będzie trzeba ustawić, ale jak mówię: wolę poczekać na picasso). Odnośnik do komentarza
Kerel Opublikowano 11 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Po wlozeniu plyty windows Narzedzie do naprawy systemu podczas uruchomienia Konfiguracja rozruchu jest uszkodzona. Akcka naprawy naprawa tabeli partycji Wynik niepowodzenie kod bledu 0x490 https://postimg.org/image/w9xmdod4l/ Nie moge wybrać pierwszego Odnośnik do komentarza
Miszel03 Opublikowano 11 Lutego 2018 Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Dobrze. Wiemy już raczej wystarczająco. Nie podejmuj żadnych działań, by nie namieszać. Myślę, że picasso odpowie jak najszybciej będzie mogła. Poczekajmy proszę teraz na picasso, jak już mówiłem poinformowałem ją, wolę niczego nie robić już tu na własną rękę. Odnośnik do komentarza
Kerel Opublikowano 11 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Panowie jestem uradowany, jakimś sposobem udało mi się odpalić kompa.Znalazłem jakiś poradnik z wierszem poleceń do backupu i o to już piszę z komputera. Odnośnik do komentarza
Miszel03 Opublikowano 11 Lutego 2018 Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Świetnie (ja już też zacząłem kombinować z ręczną odbudową, a tu taka miła niespodzianka!). Tamtych kroków nie wykonuj! Proszę o pełny zestaw raportów FRST (FRST, Addition, Shortcut). Tej infekcji z loaderem nie będę ruszać i zobaczę tylko w jakim jest stanie. Czy reklamy w przeglądarce ustąpiły (pytam, byśmy mieli klarowną sytuację)? Odnośnik do komentarza
Kerel Opublikowano 11 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2018 To tak w przeglądarce już nie mam problemów, reklam nie ma, rozszerzenia działają. Teraz daje logi Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się