Skocz do zawartości

Non stop "Plik xxxxxxx zawieral wirusa i zostal usunięty"


Rekomendowane odpowiedzi

Cześć
 
Proszę o pomoc, nie mogę nic ściągnąć z Internetu (plików ze stron, załączników z e-maili).
Gdy próbuję, to pojawia sie pasek na dole , mam do wyboru zainstaluj lub zapisz.
Gdy wybieram zapisz, plik się zaczyna ściągać.
Jak się ściągnie, to od razu wyskakuje komunikat "Plik xxxxxxx zawieral wirusa i zostal usunięty".
Mam Windows 10 i przeglądarkę IE.
Próbowałem ściągać bezpieczne pliki, m.in.
AVG Tune up ze strony https://www.avg.pl/pobierz/avg_tuh
Malwarebytes anti-malware ze strony https://pl.malwarebytes.com/
Nie mogę też ściągać załączników z e-maili.
 
pozdrawiam
Artur
 
PS: Próbowałem też ściągnąć oprogramowanie do diagnostyki, ale bezskutecznie (komunikat "Plik FRST.exe zawierał wirusa i został usunięty.")
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Założyłem temat na innym forum, bo zależy mi na rozwiązaniu, a nie wiem kto się odezwie i na ile będą to zrozumiałe dla mnie porady.

 

Tylko co z czasem osób, które zdecydują się rozpisać profesjonalne instrukcje, a okaże się, że było to niepotrzebne, bo zrezygnowałeś z danego forum?

W takim razie czekam na raporty, rozumiem, że z tamtego forum zrezygnowałeś - powiadom o tym, by nikt nie zaczął prowadzić pomocy na marne.

Odnośnik do komentarza

To definitywnie infekcja Trojan.Netwird (rozpoznałem w oparciu o budowę infekcji), ale widoczny jest również niecieszący się dobrą renomą ByteFence, który zostanie odinstalowany. 
Skrypt ściągnie założone przez infekcje blokady aplikacji zabezpieczających i widoczny plik tej gadziny. Niestety nie jestem w stanie przeprowadzić całościowej dezynfekcji ręcznie, gdyż oprócz charakterystycznych kluczy / plików Trojan tworzy również losowo generowane lokalizacje. 
 
Oprócz tego czyszczę system z resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox  i kasuje martwe wpisy / skróty / opróżniam systemowy kosz.
Na zakończenie (a najlepiej zrobić to na urządzeniu, na którym na pewno nie ma infekcji) wymagana jest prewencyjna zmiana hasła we wszystkich serwisach logowania (gdyż Trojan zdolny jest je wykraść - toteż świadczy o tym, że nie powinny być prowadzone na tym urządzeniu żadne logowania / transakcje do czasu uznania systemu za czysty). 
 
Z POZIOMU TRYBU AWARYJNEGO: 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CloseProcesses:
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers1: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => C:\Program Files (x86)\AVG\AVG PC TuneUp\SDShelEx-x64.dll -> Brak pliku
ContextMenuHandlers4: [AVG Disk Space Explorer Shell Extension] -> {4838CD50-7E5D-4811-9B17-C47A85539F28} => C:\Program Files (x86)\AVG\AVG PC TuneUp\DseShExt-x64.dll -> Brak pliku
ContextMenuHandlers4: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => C:\Program Files (x86)\AVG\AVG PC TuneUp\SDShelEx-x64.dll -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {192C872A-4291-4519-BCEB-DA9FE84A28EC} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku IFEO\avcenter.exe: [Debugger] nsjw.exe
IFEO\avgsvca.exe: [Debugger] nsjw.exe
IFEO\avguard.exe: [Debugger] nsjw.exe
IFEO\avguix.exe: [Debugger] nsjw.exe
IFEO\avp.exe: [Debugger] nsjw.exe
IFEO\bdagent.exe: [Debugger] nsjw.exe
IFEO\ccuac.exe: [Debugger] nsjw.exe
IFEO\ComboFix.exe: [Debugger] nsjw.exe
IFEO\egui.exe: [Debugger] nsjw.exe
IFEO\hijackthis.exe: [Debugger] nsjw.exe
IFEO\keyscrambler.exe: [Debugger] nsjw.exe
IFEO\mbam.exe: [Debugger] nsjw.exe
IFEO\McSACore.exe: [Debugger] nsjw.exe
IFEO\MpCmdRun.exe: [Debugger] nsjw.exe
IFEO\MSASCui.exe: [Debugger] nsjw.exe
IFEO\MSASCuiL.exe: [Debugger] nsjw.exe
IFEO\MsMpEng.exe: [Debugger] nsjw.exe
IFEO\msseces.exe: [Debugger] nsjw.exe
IFEO\saUI.exe: [Debugger] nsjw.exe
IFEO\spybotsd.exe: [Debugger] nsjw.exe
IFEO\TuneUpUtilitiesApp64.exe: [Debugger] nsjw.exe
IFEO\TuneUpUtilitiesService64.exe: [Debugger] nsjw.exe
IFEO\wireshark.exe: [Debugger] nsjw.exe
IFEO\zlclient.exe: [Debugger] nsjw.exe
C:\Users\Lenovo\AppData\Roaming\msconfig.ini
BHO: McAfee WebAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll => Brak pliku
BHO-x32: McAfee WebAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll => Brak pliku
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll Brak pliku
S2 TuneUp.UtilitiesSvc; "C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesService64.exe" [X]
S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [X]
S3 mfesapsn; \??\C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [X]
S2 McAfee SiteAdvisor Service; "C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe" [X]
C:\Users\Lenovo\Desktop\Assassins Creed IV - Black Flag.lnk
C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\McAfee WebAdvisor.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Lenovo\AppData\Local\Mozilla
C:\Users\Lenovo\AppData\Roaming\Mozilla
C:\Users\Lenovo\AppData\Roaming\Profiles
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Przejdź do lokalizacji C:\Program Files\ByteFence i z jej poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 
 
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Wszystkie detekcje przenieś do kwarantanny. Koniecznie dostarcz raport z tej akcji. 
 
4. Dostarcz raport Farbar Service Scanner (FSS).

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik Fixlog.
Odnośnik do komentarza

Całość pomyślnie wykonana. Wygląda na to, że infekcja zdjęta, ale jeszcze powstrzymaj się z logowaniem do serwisów / transakcjami. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

C:\ProgramData\Microsoft\Windows\GameExplorer\{38292D30-802C-45A4-A3BF-B1D4BB5D4C03}\SupportTasks\0\Spore.com.lnk
File: C:\Users\Lenovo\Documents\MOOBBA5.tmp
C:\ProgramData\ByteFence
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Lenovo\AppData\Local
CMD: dir /a C:\Users\Lenovo\AppData\LocalLow
CMD: dir /a C:\Users\Lenovo\AppData\Roaming
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule /s

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Zastosuj McAfee Consumer Product Removal (MCPR) w celu pozbycia się resztek po wcześniejszej instalacji produktów McAfee. 
 
3. Uruchom Norton Power Eraser. Wybierz Scan for Risk. Rozpocznie się skanowanie poprzedzone restartem, czekaj cierpliwie, nie przerywaj go. Jeśli coś zostanie wykryte to niczego nie usuwaj, a dostarcz zrzut ekranu, na którym widać zagrożenia.
Odnośnik do komentarza

Cześć, wczoraj uruchomiłem te programy z trybu normalnego.

Przed chwilą spróbowałem uruchomić je z trybu awarynego z obsługą sieci - nadal nie działały.

Program Zemana nie chciał się zainstalować w trybie awaryjnym, ale zainstalował się w trybie normalnym. - przeskanowałem kompuer, ale nic nie znalazł - komputer jest czysty, dostałem gratulacje :)

Odnośnik do komentarza

Cześć, wczoraj uruchomiłem te programy z trybu normalnego.

Przed chwilą spróbowałem uruchomić je z trybu awarynego z obsługą sieci - nadal nie działały.

 

Norton Power Eraser "Error getting system path" oznacza brak detekcji systemu operacyjnego (czyli jakby dysk nie rozpoznany). Nic konkretnego na Google poza wzmianką, że ten błąd może występować na konfiguracjach RAID. Nie przejmowałbym się tym. 

 

- Narzędziem McAfee również bym się nie zamartwiał, bo i tak prawie nic nie ma od McAfee w logu, tylko drobne foldery na dysku, co można usunąć ręcznie. Apropo: końcowe doczyszczenie pustych wpisów:

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

HKLM-x32\...\Run: [Tv-Plug-In] => "C:\Program Files (x86)\Tv-Plug-In\Tv-Plug-In.exe" nogui
S2 NVDisplay.ContainerLocalSystem; "C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" -s NVDisplay.ContainerLocalSystem -f "C:\ProgramData\NVIDIA\NVDisplay.ContainerLocalSystem.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\Display.NvContainer\plugins\LocalSystem"
Task: {10B9610D-6120-42A6-9368-5B5EE5B32790} - System32\Tasks\Opera scheduled Autoupdate 1517600403 => C:\Users\Lenovo\AppData\Local\Programs\Opera\launcher.exe
Task: {2C06C318-6968-41A0-A259-C570959052ED} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe
Task: {9381AFF5-53C9-4898-A0FE-9E2F7DDD5F72} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe
Task: {A5F19CED-1163-4D9E-90DC-FCCA16A3C9A1} - System32\Tasks\BlockchainResearchToolsSvc => C:\Program Files (x86)\BRTSvc\BRTSvc.exe
2018-02-02 20:39 - 2018-02-03 20:53 - 000000000 ____D C:\Program Files (x86)\McAfee
2018-02-02 20:39 - 2018-02-02 20:39 - 000000000 ____D C:\ProgramData\McAfee

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz go już dostarczać. 

 

Program Zemana nie chciał się zainstalować w trybie awaryjnym, ale zainstalował się w trybie normalnym. - przeskanowałem kompuer, ale nic nie znalazł - komputer jest czysty, dostałem gratulacje  :)

 

Tak - instalacja powinna odbyć się z poziomu Trybu awaryjnego. 

Skoro nic nie jest już wykrywane, a nie zgłaszasz żadnych problemów to będziemy kończyć. 

 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Odnośnik do komentarza
  • 1 rok później...

U Ciebie jest inna infekcja.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\bd_js_config.js [2019-10-17] <==== UWAGA (Linkuje do pliku *.cfg)
FF ExtraCheck: C:\Program Files\mozilla firefox\bd_config.cfg [2019-10-17] <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
FirewallRules: [{C876D0C8-0354-434E-854F-451EB3EB7494}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS1E10\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{BD426DD6-1D7C-494F-AF10-04FA7030BF35}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS1E10\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{CFE28938-F549-4B00-85DE-678A4CD306B4}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS16BE\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{CCD72B1A-C4A0-4C15-99B1-D77C9A13D45A}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS16BE\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{2465DBB1-F0D4-44ED-82A1-4405CDB40AF4}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS1EE7\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{D692CBB0-504F-4A08-96A2-0E43B5A3CD95}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS1EE7\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{66D261DA-2C11-49BF-8664-EA4A3429BFF7}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS1CF7\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{E0868C64-E3B0-4C37-A942-23FB8FAC8004}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS1CF7\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{C3A16F3F-4A5C-4CBB-8752-1BD8B5D76E8E}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS7AF2\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{FCD35E71-0894-4C52-8128-DEB1BF3E0874}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS7AF2\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{FA164E7C-A0BD-45F5-BC94-8C2780972DB9}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS7A6F\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{B0F47C05-F179-4245-B261-1B3A7A44B755}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS7A6F\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{280286AC-0AC6-436A-8097-B9C09A4CCF76}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS6625\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{4D4B6745-D48B-4032-87D8-A54361CB5477}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS6625\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{CD608E1A-158F-4397-B2A9-37FED090DD90}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS0C30\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{47D0095C-A78B-46D7-A39D-F3D83E6B2C89}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS0C30\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{26F1D596-8993-4011-946B-2CA784D31050}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS6706\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{49BAA371-95E4-4AF2-9E05-803165DF0229}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS6706\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{310999C8-70D3-4594-B699-82E4A0A3F705}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS58CC\HPDiagnosticCoreUI.exe Brak pliku
FirewallRules: [{827DD780-64A7-4A55-A8AD-3D26AECCCCCD}] => (Allow) C:\Users\KingTravelPc1\AppData\Local\Temp\7zS58CC\HPDiagnosticCoreUI.exe Brak pliku
2019-03-08 10:50 - 2019-03-08 10:50 - 000000726 _____ () C:\Program Files\LMIR0977F001.tmp.bat
2019-03-08 10:50 - 2019-03-08 10:50 - 000000522 _____ () C:\Program Files\LMIR0977F001.tmp_r.bat
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

-----------

Cytat

Error: (11/22/2019 10:17:25 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi
i go uruchom jako Administator.

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...