Miszel03

Okej, czyli to na pewno nie skany powodują obciążenie, bo brak jest zaplanowanych zdarzeń w Windows Defender. Zrób i zaprezentuj zestaw raportów FRST.

Oczywiście, proszę jednak pamiętać by instalować jedynie rozszerzenia pochodzące z oficjalnej bazy Mozilla FireFox. Muszę pomyśleć co ładuje z powrotem te wpisy, zaglądaj tutaj. Na tę chwilę kończymy. Cieszę się, że mogłem pomóc. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Mimo wszystko, sprawdź w ten sposób czy na pewno nie wykonują się w tle żadne skany: Start > Harmonogram zadań > rozwiń Biblioteka Harmonogramu zadań > rozwiń Microsoft > jeśli koniecznie rozwiń Windows > klik na Windows Defender i pokaż mi jak wygląda to okno: Ja niestety mam Windows 7, więc jeśli powyższa instrukcja nie kwalifikuje się to skorzystaj z tej (Fix #1 od pkt. 1 do pkt. 3). Jeśli jest niezrozumiała (w języku angielskim) daj znać, pomogę.

Wszystko pomyślnie wykonane. Nie wiem jedynie dlaczego przywróciła się zawartość pliku Hosts, coś musi ją ładować z powrotem. Czy wiesz coś o tym?

Wyłączanie ochrony antywirusowej w programie Zabezpieczenia systemu Windows Planowanie własnego skanowania Wyłączenie ochrony w czasie rzeczywistym nie wstrzymuję wykonywania zaplanowanych skanowań. Czy jesteś pewny, że nie masz takich ustawionych? Skanowanie systemu może go chwilowo obciążać.

Jest widoczny wpis w autostarcie uruchamiający tą stronę za pośrednictwem wiersza poleceń, skasuję go, natomiast ciężko mi powiedzieć co konkretnie załadowało go do systemu. Przy okazji sprzątam system z martwych wpisów / skrótów, resztek po przeglądarce Google Chrome, resetuję plik Hosts (masa przestarzałych blokad PUP) i czyszczę kosz. Odbędzie się również drobna analiza pewnego pliku, który został zidentyfikowany przez Windows Defender jako zagrożenie - sprawdzę czy został usunięty. Przeprowadź następujące działania: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoInstrumentation] 1 HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Policies\Explorer: [NoDesktopCleanupWizard] 1 HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Run: [Artur] => cmd.exe /c start www.dinoraptzor.org Task: {8798B6E1-34D3-497C-ABEB-96836CE1155F} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-2561776743-2069909383-181985334-1001 -> DefaultScope {946A031B-F489-4D93-A97D-BF45D3671900} URL = SearchScopes: HKU\S-1-5-21-2561776743-2069909383-181985334-1001 -> {946A031B-F489-4D93-A97D-BF45D3671900} URL = C:\Users\artur\AppData\Local\Google\Chrome S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 6\Dezinstalacja aplikacji Driver Booster 6.lnk C:\Users\artur\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\artur\Desktop\Programy\Bezpieczne korzystanie z bankowości internetowej Quick Heal.lnk C:\Users\artur\Desktop\Programy\Bezpieczne przeglądanie Quick Heal.lnk C:\Users\artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Microsoft Outlook.lnk C:\Users\Ewa Szopa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk Folder: C:\Users\artur\AppData\Roaming\1337 VirusTotal: C:\Users\artur\AppData\Roaming\1337\187.exe Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Widoczne detekcje infekcji Windows Defender w sferze przeglądarki Mozilla FireFox, a więc wyczyść ją: Odłącz synchronizację (o ile włączona): Instrukcje. W pasku adresów wpisz about:support i ENTER. Kliknij opcję Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. W pasku adresów wpisz about:preferences#privacy i ENTER. Wybierz opcję Wyczyść historię. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

To już nie problem o podłożu infekcyjnym, a więc temat przenoszę do działu Windows XP, gdzie będzie prowadzona dalsza pomoc.

Raporty są ucięte - dostarcz nowy pełny zestaw w celu ponownej analizy.

Komunikat wskazuję na infekcję, która wielokrotnie przewijała się przez forum. Nie jest możliwe byś uruchomił FRST z normalnego poziomu systemu, bo infekcja ma system samoobrony i za nic nie pozwoli się tknąć blokując profilaktycznie wszystkie pobierane programy. Spróbuj pobrać i uruchomić FRST w trybie awaryjnym z dostępem do sieci i wygenerować raporty.

Post pomocy @jessica i post @toska78 kasuję. Została użyta przestarzała wersja FRST sprzed roku (należy pobrać najnowszą), po za tym brakuje obowiązkowego trzeciego raptu Shortcut.txt generowanego przez FRST. Zapoznaj się z zasadami działu, gdzie wszystko jest dokładnie objaśnione i dostosuj temat do wymagań. W razie pytań pozostaje do dyspozycji.

ID Ransomware pokazuje aktualne dane i ja bym mu zaufał. To jest ogromna baza danych przeznaczonych do diagnostyki infekcji szyfrujących. Można skorzystać jeszcze z bazy Kaspersky - NoRansom.

Z mojej strony to wszystko. Cieszę się, że mogłem pomóc. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. W razie pytań pozostaje do dyspozycji.

W przeglądarce Mozilla FireFox widoczne są rozszerzenia adware / malware - Browser Security i Web Security, ale nie sądzę, by miało to związek z wykryciem. Zostaną usunięte skryptem wraz z wątpliwym crackiem KMSpico. Po za tym sprzątam system z resztek po oprogramowaniu (m.in po przeglądarce Google Chrome, zostanie również wyczyszczony kosz). Na forum Kaspersky pojawiły się podobny temat, w którym użytkownicy zgłaszają tą samą detekcję i niemożność przeprowadzenia dezynfekcji. Myślę, że trzeba skontaktować się z pomocą techniczną, gdyż to przypuszczalnie fałszywy alarm. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico 2018-08-31 22:26 - 2018-05-21 22:50 - 000000000 ____D C:\Program Files\KMSpico Task: {1267C18C-FA97-4085-872A-60F238D8F8D1} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA Task: {628E8252-0762-46AF-B50E-B881F2D9E6DB} - \Mati -> Brak pliku <==== UWAGA Task: {03FD7A8C-4F9C-4FB8-999A-9083B6708C8C} - System32\Tasks\{419F0E51-6D64-4A75-ABE7-B0369D4FED27} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\MonitorDriver\vcredist_x64.exe" -d "C:\Program Files (x86)\MonitorDriver" Task: {CD896D3E-7CC6-458B-AAB7-6E2BD2482FAA} - System32\Tasks\{0C588318-2488-414F-94BE-3F992E531751} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\MonitorDriver\MonSetupXP64.exe" -d "C:\Program Files (x86)\MonitorDriver" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: F - F:\autorun.exe HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: {84f78eca-5f43-11e8-960d-4c0010244ca3} - D:\SETUP.EXE HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: {9e017fbe-0a5b-11e8-abfe-4c0010244ca3} - H:\autorun.exe HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = FF Extension: (Web Security) - C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\rovw4ve6.default-1513156938396\Extensions\contact@web-security.com.xpi [2018-04-08] FF Extension: (Browser Security) - C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\rovw4ve6.default-1513156938396\Extensions\firefox@browser-security.de.xpi [2018-02-12] DeleteKey: HKLM\SOFTWARE\Google Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Cieszę się, że mogłem pomoc, ale: Jaki wynik dało skanowanie Malwarebytes? Gdzie raport Shortcut, o który prosiłem? Potem przejdziemy do finalizacji.

W systemie widoczne instalacje adware. Podejrzany crack aktywacyjny KMSpico i infekcja odpowiedzialna za zgłaszany problem. Wszystko hurtem idzie do utylizacji (przy okazji sprzątam resztki po oprogramowaniu, martwe wpisy, czyszczę kosz). 1. Przez Panel Sterownia odinstaluj programy typu adware / PUP podszywające się: CPUID CPU-Z 1.77, FIFA18 version 1.0. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: Task: {E121AD45-17EE-4EC0-ACFD-22BF449164AC} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe HKU\S-1-5-21-2231754314-4281560237-746509812-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Szymon\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Szymon\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== ATTENTION C:\Users\Szymon\AppData\Roaming\Microsoft\SoundMixer HKU\S-1-5-21-2231754314-4281560237-746509812-1001\...\MountPoints2: {a1fc19fb-6569-11e6-aa30-d8cb8ac32dcd} - "H:\setup.exe" HKU\S-1-5-21-2231754314-4281560237-746509812-1001\...\MountPoints2: {a1fc1a08-6569-11e6-aa30-d8cb8ac32dcd} - "M:\setup.exe" GroupPolicy: Restriction ? <==== ATTENTION FF HKLM-x32\...\Mozilla Firefox 48.0\Extensions: [Components] - E:\Program Files (x86)\Mozilla Firefox\components => not found FF HKLM-x32\...\Mozilla Firefox 48.0\Extensions: [Plugins] - E:\Program Files (x86)\Mozilla Firefox\plugins => not found FF HKU\S-1-5-21-2231754314-4281560237-746509812-1001\...\Mozilla Firefox 61.0.2\Extensions: [Components] - E:\Program Files (x86)\Mozilla Firefox\components => not found FF HKU\S-1-5-21-2231754314-4281560237-746509812-1001\...\Mozilla Firefox 61.0.2\Extensions: [Plugins] - E:\Program Files (x86)\Mozilla Firefox\plugins => not found S3 cpuz139; \??\E:\temp\cpuz139\cpuz139_x64.sys [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] S4 nvvhci; \SystemRoot\System32\drivers\nvvhci.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik fixlog.txt. Proszę również by raporty były generowane na podstawie naszych zaleceń. Wszystkie instrukcje znajdziesz w przyklejonym temacie:

1. Dostosuj temat do zasad działu i dostarcz wymagane raporty: 2. Od razu pokaż mi właściwości zawartości dysku:

Raporty nie wykazują oznak infekcji. Widoczne szczątki PUP wychwycił AdwCleaner, więc możesz je zadać do kasacji. Nie wiem o czym mowa. Wróć do tej opcji, zrób zrzut ekranu, bym mógł powiedzieć więcej.

Cieszę się, że mogłem pomóc. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. W razie pytań pozostaje do dyspozycji.

Facebook nie otwiera mi się na żadnej przeglądarce = sprecyzuj jaki konkretnie otrzymujesz komunikat po próbie wejścia na stronę Facebooka.

AdwCleaner wyczyścił wcześniej modyfikacje adware w przeglądarce. Nie ma mu co zarzucać, że nie poradził sobie z tą infekcją, która ja usunąłem, bo nie jest przystosowany do tego typu zagrożeń (to ani nie adware. ani nie PUP). Wracają do meritum: wszystko pomyślnie wykonane. Infekcja usunięta. Końcowe akcje: 1. Detekcje Malwarebytes są jak najbardziej prawidłowe, ale sposób ich korekcji nie jest do końca zgodny z mechanizmem przeglądarki, wykonaj następujące kroki: Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera. W pasku adresów wpisz chrome://settings i ENTER. Zaawansowane > Resetowanie komputera i czyszczenie danych > Przywróć ustawienia do wartości domyślnych. Zakładki i hasła nie zostaną naruszone. 2. Ponów pełne skanowanie Malwarebytes w celu potwierdzenia usunięcia zagrożenia.

Co masz na myśli? Pokaż raport z czyszczenia z folderu C:\AdwCleaner. W raportach widoczne pliki infekcji, zadania w Harmonogramie są już martwe. Przeprowadź następujące działania (zostanie również wyczyszczony kosz i usunięte resztki po przeglądarce Mozilla FireFox): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {AB91E154-9E5F-47DA-8C48-4243D88ED86F} - \{A2AFFC57-B8FB-BACC-3722-770BB41EE5C3} -> Brak pliku <==== UWAGA Task: {BF16D2AB-D396-4948-9E66-AADDB2934633} - \{C760898B-A3A6-2779-1CAC-36D8DE7406DF} -> Brak pliku <==== UWAGA Task: {D71D056C-3227-42C8-939B-AE6F21F1CDCB} - \{B5AA6D86-249E-886B-6C20-2A4DB0CF0404} -> Brak pliku <==== UWAGA SearchScopes: HKU\S-1-5-21-2064025434-2601485288-2187366082-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Users\wsad9\iukhe.exe 2018-04-12 01:34 - 2018-04-12 01:34 - 000178688 ____N (Microsoft Corporation) C:\Program Files (x86)\WbwDEEyIoOeJ.exe C:\WINDOWS\ldMyTNIyEsGe.exe VirusTotal: C:\WINDOWS\System32\WinBioPlugIns\FaceFodUninstaller.exe VirusTotal: C:\Users\wsad9\AppData\Local\imw.ini CMD: netsh advfirewall reset DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\wsad9\AppData\Local\Mozilla C:\Users\wsad9\AppData\Roaming\Mozilla C:\Users\wsad9\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty muszą być bez dat, czyli nie z archiwalnego C:\FRST, a miejsca, w którym FRST został uruchomiony. Brak dat jest potwierdzeniem dla mnie, że nie ma nowszych raportów. Instrukcje dot. poprawnego wykonania raportów:

Cieszę się, że mogłem pomóc rozwiązać Twój problem. Na koniec zastosuj DelFix (kasacja używanych narzędzi). Upewnij się również, że posiadasz możliwie zaktualizowany system XP: KLIK. W razie pytań pozostaję do dyspozycji.

Cieszę się, że problem rozwiązany. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. W razie pytań pozostaje do dyspozycji.

Część infekcji pomyślnie usunięta, ale wciąż wymagane dalsze działania. Proszę się absolutnie nie sugerować liczbą wykrytych zagrożeń, gdyż detekcje liczone są rekursywnie. 1. Zagrożenia wykryte przez Malwarebytes możesz dać do kasacji, ale: Adware.Elex, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{7195E93F-714C-404B-A164-8F080121C1E6}, Brak akcji, [630], [432898],1.0.6193 To jest klucz powiązany z wpisem deinstalcyjnym programu UvConverter (to rzeczywiście Adware.Elex) i należy ten program po prostu odinstalować (chyba, że ten wpis jest tylko szczątkowy). Adware.CrossRider.Generic Usuwanie przez Malwarebytes nie jest do końca zgodne z mechanizmami przeglądarki, pozwól mimo to Malwarebytes przeprowadzić dezynfekcję według własnego mechanizmu, ale koniecznie po tej akcji powtórz pkt. 3 z mojego poprzedniego posta. 2. Po tych operacjach powtórz całościowy skan i pokaż wyniki. Zrób też nowy zestaw raportów FRST + Addition + Shortcut w celu oceny i końcowych doczyszczeń.