klosik007 Opublikowano 13 Lutego 2018 Zgłoś Udostępnij Opublikowano 13 Lutego 2018 Cześć wszystkim, prosiłbym o sprawdzenie logów z FRST. Mam do usunięcia uciążliwy SafeFinder - jesteście moją ostatnią deską ratunku. Pozdrawiam. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Lutego 2018 Zgłoś Udostępnij Opublikowano 13 Lutego 2018 Niezły bałagan, m.in infekcja DNS z poziomu systemu (ustawione adresy są zagraniczne, często widziane tu jako infekcyjne - KLIK / KLIK), zarażone przez adware przeglądarki (w tym wspominany przez Ciebie uciążliwy Safefinder), infekcja Albireo. P.S: Widzę tutaj również crack KMS, który kojarzony jest z lewym aktywatorem pakietu Office - nie ruszam go, zdejmuję tylko jego blokady typu Debbuger. Pod ocenę indywidualną zostawiam co z nim zrobisz (choć nie wiadomo co w nim jest). I przy okazji: resetuje również plik Hosts (są tam modyfikacje chyba też aktywatora licencji, ale nie jestem pewien - jeśli nie życzysz sobie tego to usuń ze skryptu linijkę Hosts:) Portale z oprogramowaniem / Instalatory - na co uważać Dezynfekcja: 1. Start > Panel Sterowania > System i zabezpieczenia > System > Z bocznego panelu wybierz Ochrona systemu > Sekcja Ustawienia ochrony > Wybierz dysk C > Kliknij Konfiguruj > Sekcja Przywróć Ustawienia > Zmień z Wyłącz ochronę systemu na Przywróć ustawienia systemu oraz poprzednie wersje plików > kliknij Zastosuj, a następnie OK. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\pklos\Documents\INTERsoft\ArCADia-START\6.5 PL\Print Styles\Create a Print Style Table.lnk C:\Users\pklos\Desktop\Auslogics DiskDefrag.lnk Task: {27D13405-9702-4343-A295-DC4497BCFA05} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku HKLM\...\Run: [sERVICE] => [X] HKLM\...\RunOnce: [x4zzmy5u5ag] => C:\Program Files (x86)\ccc\ccc.exe [670208 2018-02-11] () HKLM\...\RunOnce: [pqgyl4fam1f] => C:\Program Files (x86)\ccc\ccc.exe [670208 2018-02-11] () C:\Program Files (x86)\ccc HKU\S-1-5-21-1307399746-3321642949-2734818087-1001\...\Policies\Explorer: [] AppInit_DLLs: C:\ProgramData\Quoteex\Dripranfix.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quoteex\Driptech.dll => Brak pliku C:\ProgramData\Quoteex IFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exe IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exe BootExecute: autocheck autochk * sdnclean64.exe GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-1307399746-3321642949-2734818087-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1307399746-3321642949-2734818087-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrAlKCo1kNn6F9vcF55hOQj6P9k6WrOGoLccoB77SOD-E_nl2Ja0e9z4E-Qq7umdnTrL2pKx7ADSs5fDKilpQ7nI8Q25B1bt_NZg30rpdle0ZkmtmGbGvA5MPWKWXvnZmv6g887a8EvGLsc9RoH_gzqAijFw,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości FF NewTab: Mozilla\Firefox\Profiles\34v2zedf.default -> C:\\ProgramData\\Quoteexs\\ff.NT CHR StartupUrls: Default -> "hxxps://search.safefinder.com/?st=sc&q=" S1 elauxnoe; \??\C:\WINDOWS\system32\drivers\elauxnoe.sys [X] S1 fndzutse; \??\C:\WINDOWS\system32\drivers\fndzutse.sys [X] 2018-02-11 22:55 - 2018-02-11 22:55 - 007576064 _____ () C:\Users\pklos\AppData\Local\agent.dat 2018-02-11 22:55 - 2018-02-11 22:55 - 000070896 _____ () C:\Users\pklos\AppData\Local\Config.xml 2018-02-11 22:55 - 2018-02-11 22:55 - 000140800 _____ () C:\Users\pklos\AppData\Local\installer.dat 2018-02-11 22:55 - 2018-02-11 22:55 - 000005568 _____ () C:\Users\pklos\AppData\Local\md.xml 2018-02-11 22:55 - 2018-02-11 22:55 - 000126464 _____ () C:\Users\pklos\AppData\Local\noah.dat 2018-02-11 22:55 - 2018-02-11 22:55 - 000278509 _____ () C:\Users\pklos\AppData\Local\Rankronstring.tst 2018-02-11 22:55 - 2018-02-11 22:55 - 001983026 _____ () C:\Users\pklos\AppData\Local\Subhome.tst Tcpip\..\Interfaces\{2cc371c0-e1e4-4191-ad71-68a0ab659df2}: [NameServer] 82.163.142.8,95.211.158.136 Tcpip\..\Interfaces\{6997474f-c083-4230-bc4d-cdf004e68961}: [NameServer] 82.163.142.8,95.211.158.136 CMD: ipconfig /flushdns VirusTotal: C:\Program Files (x86)\Windows Kits\10\Testing\Runtimes\TAEF\Wex.Services.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\pklos\AppData\Local CMD: dir /a C:\Users\pklos\AppData\LocalLow CMD: dir /a C:\Users\pklos\AppData\Roaming Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google (widoczny SafeFinder został skasowany w skrypcie). 4. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
klosik007 Opublikowano 13 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2018 Operacje ww. przeprowadzone, logi poniżej. FRST.txt Addition.txt Fixlog.txt mbam.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Lutego 2018 Zgłoś Udostępnij Opublikowano 13 Lutego 2018 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Przez SHIFT + DELETE skasuj poniższe foldery szczątkowe po przeterminowanym SpyBot: C:\ProgramData\Spybot - Search & Destroy C:\Program Files (x86)Spybot - Search & Destroy 2 3. Napisz jak podsumowujesz obecną sytuację, czy problem, z którym się do nas zgłosiłeś ustąpił? Odnośnik do komentarza
klosik007 Opublikowano 13 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2018 Problem ustąpił, dziękuję za pomoc Odnośnik do komentarza
Miszel03 Opublikowano 13 Lutego 2018 Zgłoś Udostępnij Opublikowano 13 Lutego 2018 Bardzo mi miło, że mogłem pomóc. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się