Kilom Opublikowano 15 Marca 2018 Zgłoś Udostępnij Opublikowano 15 Marca 2018 Witam, złapałem wirusa Gameorplay.info. Sam włącza przeglądarkę z reklamami. Pobrałem Malwarebytes i przeskanowałem, skasowałem znalezione zagrożenia, ale wolę się upewnić, czy wszystko naprawione. FRST_15-03-2018 02.19.57.txt Addition_15-03-2018 02.19.57.txt Shortcut_15-03-2018 02.19.57.txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2018 Zgłoś Udostępnij Opublikowano 15 Marca 2018 Podane raporty FRST pochodzą z archiwum logów C:\FRST\Logs. Bieżące raporty są tworzone w katalogu z którego jest uruchamiany FRST, czyli w tym przypadku C:\Users\Krystrian\Downloads. Zakładam, że FRST został uruchomiony tylko raz, gdyż tylko w tym scenariuszu logi z archiwum są "bieżące".W raportach brak oznak aktywnej infekcji, po infekcji zostało tylko wyszczerbione zadanie "\Krystrian" w Harmonogramie. Czyli do usunięcia tylko szczątki + inne kosmetyczne akcje.1. Ustaw w opcjach Windows jako domyślną przeglądarkę Google Chrome. Obecnie figuruje odinstalowana Opera.2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:CloseProcesses:CreateRestorePoint:Task: {0A3F8111-7534-4C22-BE84-A570C65F5CEF} - \Krystrian -> Brak pliku Task: {C63C8B64-14D0-4A91-AE52-0D0A97E30A4E} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuCHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.12.1.15\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.12.1.15\Exts\Chrome.crx DeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnkC:\Users\Krystrian\AppData\Local\Opera SoftwareC:\Users\Krystrian\AppData\Roaming\Opera SoftwareC:\Users\Krystrian\AppData\Roaming\Microsoft\Word\pytanie306308990056472741\pytanie.docx.lnkPowershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne. Odnośnik do komentarza
Kilom Opublikowano 15 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2018 Przesyłam fixlog. Fixlog_15-03-2018 14.54.52.txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2018 Zgłoś Udostępnij Opublikowano 15 Marca 2018 Na przyszłość: jak mówiłam, nie wyciągaj logów z katalogu C:\FRST\Logs. Jeśli chodzi o Fix, to niektóre klucze nie zostały usunięte. Poprawki: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Krystrian DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Kilom Opublikowano 15 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2018 fixlog z downloads. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2018 Zgłoś Udostępnij Opublikowano 15 Marca 2018 Bez zmian, te dwa klucze nie chcą się usunąć. Nie jest to zbyt duży problem, ale dla porządku wypada dokończyć sprawę. Dostarcz uprawnienia tych kluczy: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: ListPermissions: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Krystrian ListPermissions: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Kilom Opublikowano 15 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2018 Hmm, widzę, że nadal jakiś problem i nie może przyznać uprawnień. Może jeśli nie jest to tak ważne to zostawić? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2018 Zgłoś Udostępnij Opublikowano 15 Marca 2018 Ten odczyt mówi, że kluczy w ogóle już nie ma, co by tłumaczyło dlaczego nie można ich usunąć. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Kilom Opublikowano 15 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2018 Wszystko zrobione tak jak napisałaś. Nie wiem, czy potrzebne, ale przysyłam jeszcze ten DelFix. Bardzo dziękuję za pomoc i dokładne opisywanie co i jak mam zrobić Pozdrawiam DelFix.txt Odnośnik do komentarza
picasso Opublikowano 16 Marca 2018 Zgłoś Udostępnij Opublikowano 16 Marca 2018 Skasuj z dysku plik C:\delfix.txt. To wszystko. Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi