tom615 Opublikowano 10 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2018 Witam Problem w tym, że wyskakują mi niechciane okienka w Operze. Robak potrafi nawet samemu włączyć Operę, następnie uruchomić jakieś dziwne zaproszenia do gier itp.. Nawet włącza, gdy wykonuję inne czynności na komputerze. Proszę o Pomoc. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 13 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 13 Sierpnia 2018 Jedyny element pasujący do automatycznego uruchamiania Opery, to pierwsze z zadań, ale komenda zadania jest teoretycznie poprawna: ==================== Zaplanowane zadania (filtrowane) ============= Task: {48A034D7-56D3-48D6-B06F-E9747CF1ACCA} - System32\Tasks\{C9210D93-324F-8502-E6D9-D3D6660BF30B} => C:\Program Files\Opera\Launcher.exe [2018-08-07] (Opera Software) Task: {8917F021-FBBF-4B6A-A65F-6A1B87C705C8} - System32\Tasks\Opera scheduled Autoupdate 1532751693 => C:\Program Files\Opera\launcher.exe [2018-08-07] (Opera Software) Na moim testowym komputerze Opera tworzy tylko jedno zadanie, czyli "Opera scheduled Autoupdate". W związku z tym podaj mi więcej detali na temat tego pierwszego zadania, tzn: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: cmd: type C:\Windows\System32\Tasks\{C9210D93-324F-8502-E6D9-D3D6660BF30B} Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Odnośnik do komentarza
tom615 Opublikowano 14 Sierpnia 2018 Autor Zgłoś Udostępnij Opublikowano 14 Sierpnia 2018 Witam Podaje Fixlog: Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 14 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 14 Sierpnia 2018 Fixlog zwraca, że obiekt nie istnieje na dysku. Poproszę o świeże raporty z FRST, które mają zdowodować jakie zmiany wystąpiły. Odnośnik do komentarza
tom615 Opublikowano 14 Sierpnia 2018 Autor Zgłoś Udostępnij Opublikowano 14 Sierpnia 2018 Podaje logi. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 15 Sierpnia 2018 To zadanie rzeczywiście zniknęło. W raportach nie widać żadnych jawnych elementów samoczynnie włączających Operę i produkujących reklamy w tej konkretnej przeglądarce. Na dysku są tylko dwa foldery po infekcji typu Bitcoin Miner (NET.Framework SDK + Peer.Net) i nie widać, by były one zdefiniowane w elementach startowych. Czy problem dotyczy tylko Opery, a nie innych przeglądarek? 1. Sprawdź czy wystąpią jakieś zmiany po wyłączeniu wszystkich rozszerzeń Opery i restarcie przeglądarki. W spisie rozszerzeń nie widać nic podejrzanego, ale infekcja w poprawnym rozszerzeniu jest nie do wykrycia z poziomu raportu FRST. 2. Skrypt czyszczący resztki. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\...\StartupApproved\Run: => "RTHDVCPL" HKLM\...\StartupApproved\Run32: => "WidgetPodatnikInfo" HKU\S-1-5-21-3244572619-1344660955-1707226054-1001\...\StartupApproved\Run: => "Steam" HKU\S-1-5-21-3244572619-1344660955-1707226054-1001\...\StartupApproved\Run: => "Screenpresso" Task: {A0784DAA-45C3-433C-A00F-35051F546818} - System32\Tasks\Microsoft\Windows\Setup\Notifier => C:\WINDOWS\system32\Notifier.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grinding Gear Games C:\Users\user\AppData\Local\NET.Framework SDK C:\Users\user\AppData\Local\Peer.Net C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\395fbb84ca74fb25\Comodo Dragon.lnk Zip: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich s ystemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt, przedstaw go. Poza tym, na Pulpicie powstanie plik Opera.zip, shostuj go gdzieś i podaj link do paczki. Odnośnik do komentarza
tom615 Opublikowano 17 Sierpnia 2018 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2018 Witam Podaje log. Muszę jeszcze dodać, że MalwareBytes coś mi usunął. Być moż właśnie właśnie te pliki co uruchamiały Opere. Podaje raport z Malware z 01.07. W każdym bądź razie teraz jest 'k. Dziękuję. Fixlog.txt 0107 Malware.txt Odnośnik do komentarza
picasso Opublikowano 17 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2018 6 godzin temu, tom615 napisał: Muszę jeszcze dodać, że MalwareBytes coś mi usunął. Być moż właśnie właśnie te pliki co uruchamiały Opere. Podaje raport z Malware z 01.07. W raporcie MBAM nie ma identyfikatora pasującego do wcześniej typowanego przeze mnie zadania, są tam inne zadania których w logu FRST nie było. Skoro problem nagle ustąpił, czy podejmowałeś jakieś inne czynności w międzyczasie, np. wyłączanie rozszerzeń Opery, lub usuwanie profilu Opery z dysku? Fix FRST wykonany pomyślnie. Możesz usunąć ten 17.08.2018_09.03.31.zip z Pulpitu, skoro problemu już nie ma. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się