Miszel03

Okej, czyli to na pewno nie skany powodują obciążenie, bo brak jest zaplanowanych zdarzeń w Windows Defender. 

Zrób i zaprezentuj zestaw raportów FRST. 

Cytat

Mam też pytanie odnośnie wtyczek do Firefoxa, czy mogę wgrać np. uBlock Origin do blokowania reklam, bo wcześniej ten dodatek ułatwiał mi życie?

Oczywiście, proszę jednak pamiętać by instalować jedynie rozszerzenia pochodzące z oficjalnej bazy Mozilla FireFox. 

Cytat

Czy mam coś jeszcze wykonać, jeśli chodzi o ten plik Hosts?

Muszę pomyśleć co ładuje z powrotem te wpisy, zaglądaj tutaj. 

Na tę chwilę kończymy. Cieszę się, że mogłem pomóc.

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Mimo wszystko, sprawdź w ten sposób czy na pewno nie wykonują się w tle żadne skany: 

Start > Harmonogram zadań > rozwiń Biblioteka Harmonogramu zadań > rozwiń Microsoft > jeśli koniecznie rozwiń Windows > klik na Windows Defender i pokaż mi jak wygląda to okno: 

Ja niestety mam Windows 7, więc jeśli powyższa instrukcja nie kwalifikuje się to skorzystaj z tej (Fix #1 od pkt. 1 do pkt. 3). Jeśli jest niezrozumiała (w języku angielskim) daj znać, pomogę. 

Wszystko pomyślnie wykonane. Nie wiem jedynie dlaczego przywróciła się zawartość pliku Hosts, coś musi ją ładować z powrotem. Czy wiesz coś o tym? 

Wyłączanie ochrony antywirusowej w programie Zabezpieczenia systemu Windows

Planowanie własnego skanowania

Wyłączenie ochrony w czasie rzeczywistym nie wstrzymuję wykonywania zaplanowanych skanowań. Czy jesteś pewny, że nie masz takich ustawionych? Skanowanie systemu może go chwilowo obciążać. 

Jest widoczny wpis w autostarcie uruchamiający tą stronę za pośrednictwem wiersza poleceń, skasuję go, natomiast ciężko mi powiedzieć co konkretnie załadowało go do systemu. Przy okazji sprzątam system z martwych wpisów / skrótów, resztek po przeglądarce Google Chrome, resetuję plik Hosts (masa przestarzałych blokad PUP) i czyszczę kosz. Odbędzie się również drobna analiza pewnego pliku, który został zidentyfikowany przez Windows Defender jako zagrożenie - sprawdzę czy został usunięty.

Przeprowadź następujące działania:

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
HKLM\...\Policies\Explorer: [NoInstrumentation] 1
HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Run: [Artur] => cmd.exe /c start www.dinoraptzor.org
Task: {8798B6E1-34D3-497C-ABEB-96836CE1155F} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKU\S-1-5-21-2561776743-2069909383-181985334-1001 -> DefaultScope {946A031B-F489-4D93-A97D-BF45D3671900} URL = 
SearchScopes: HKU\S-1-5-21-2561776743-2069909383-181985334-1001 -> {946A031B-F489-4D93-A97D-BF45D3671900} URL = 
C:\Users\artur\AppData\Local\Google\Chrome
S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 6\Dezinstalacja aplikacji Driver Booster 6.lnk
C:\Users\artur\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\artur\Desktop\Programy\Bezpieczne korzystanie z bankowości internetowej Quick Heal.lnk
C:\Users\artur\Desktop\Programy\Bezpieczne przeglądanie Quick Heal.lnk
C:\Users\artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Microsoft Outlook.lnk
C:\Users\Ewa Szopa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
Folder: C:\Users\artur\AppData\Roaming\1337
VirusTotal: C:\Users\artur\AppData\Roaming\1337\187.exe
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Widoczne detekcje infekcji Windows Defender w sferze przeglądarki Mozilla FireFox, a więc wyczyść ją:

• Odłącz synchronizację (o ile włączona): Instrukcje.
• W pasku adresów wpisz about:support i ENTER. Kliknij opcję Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• W pasku adresów wpisz about:preferences#privacy i ENTER. Wybierz opcję Wyczyść historię.

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

To już nie problem o podłożu infekcyjnym, a więc temat przenoszę do działu Windows XP, gdzie będzie prowadzona dalsza pomoc. 

Raporty są ucięte - dostarcz nowy pełny zestaw w celu ponownej analizy. 

Komunikat wskazuję na infekcję, która wielokrotnie przewijała się przez forum. Nie jest możliwe byś uruchomił FRST z normalnego poziomu systemu, bo infekcja ma system samoobrony i za nic nie pozwoli się tknąć blokując profilaktycznie wszystkie pobierane programy. 

Spróbuj pobrać i uruchomić FRST w trybie awaryjnym z dostępem do sieci i wygenerować raporty.  

Post pomocy @jessica i post @toska78 kasuję. Została użyta przestarzała wersja FRST sprzed roku (należy pobrać najnowszą), po za tym brakuje obowiązkowego trzeciego raptu Shortcut.txt generowanego przez FRST. 

Zapoznaj się z zasadami działu, gdzie wszystko jest dokładnie objaśnione i dostosuj temat do wymagań. 

W razie pytań pozostaje do dyspozycji. 

ID Ransomware pokazuje aktualne dane i ja bym mu zaufał. To jest ogromna baza danych przeznaczonych do diagnostyki infekcji szyfrujących. 

Można skorzystać jeszcze z bazy Kaspersky - NoRansom.

Z mojej strony to wszystko. Cieszę się, że mogłem pomóc. 
 
Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. 
 
W razie pytań pozostaje do dyspozycji.

W przeglądarce Mozilla FireFox widoczne są rozszerzenia adware / malware - Browser Security i Web Security, ale nie sądzę, by miało to związek z wykryciem. Zostaną usunięte skryptem wraz z wątpliwym crackiem KMSpico.

Po za tym sprzątam system z resztek po oprogramowaniu (m.in po przeglądarce Google Chrome, zostanie również wyczyszczony kosz). 

Na forum Kaspersky pojawiły się podobny temat, w którym użytkownicy zgłaszają tą samą detekcję i niemożność przeprowadzenia dezynfekcji. Myślę, że trzeba skontaktować się z pomocą techniczną, gdyż to przypuszczalnie fałszywy alarm.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses: 
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico
2018-08-31 22:26 - 2018-05-21 22:50 - 000000000 ____D C:\Program Files\KMSpico
Task: {1267C18C-FA97-4085-872A-60F238D8F8D1} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
Task: {628E8252-0762-46AF-B50E-B881F2D9E6DB} - \Mati -> Brak pliku <==== UWAGA
Task: {03FD7A8C-4F9C-4FB8-999A-9083B6708C8C} - System32\Tasks\{419F0E51-6D64-4A75-ABE7-B0369D4FED27} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\MonitorDriver\vcredist_x64.exe" -d "C:\Program Files (x86)\MonitorDriver"
Task: {CD896D3E-7CC6-458B-AAB7-6E2BD2482FAA} - System32\Tasks\{0C588318-2488-414F-94BE-3F992E531751} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\MonitorDriver\MonSetupXP64.exe" -d "C:\Program Files (x86)\MonitorDriver"
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: F - F:\autorun.exe
HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: {84f78eca-5f43-11e8-960d-4c0010244ca3} - D:\SETUP.EXE
HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: {9e017fbe-0a5b-11e8-abfe-4c0010244ca3} - H:\autorun.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
FF Extension: (Web Security) - C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\rovw4ve6.default-1513156938396\Extensions\contact@web-security.com.xpi [2018-04-08]
FF Extension: (Browser Security) - C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\rovw4ve6.default-1513156938396\Extensions\firefox@browser-security.de.xpi [2018-02-12]
DeleteKey: HKLM\SOFTWARE\Google
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Cieszę się, że mogłem pomoc, ale:

• Jaki wynik dało skanowanie Malwarebytes?
• Gdzie raport Shortcut, o który prosiłem?

Potem przejdziemy do finalizacji. 

W systemie widoczne instalacje adware. Podejrzany crack aktywacyjny KMSpico i infekcja odpowiedzialna za zgłaszany problem. Wszystko hurtem idzie do utylizacji (przy okazji sprzątam resztki po oprogramowaniu, martwe wpisy, czyszczę kosz). 

1. Przez Panel Sterownia odinstaluj programy typu adware / PUP podszywające się: CPUID CPU-Z 1.77, FIFA18 version 1.0.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses: 
Task: {E121AD45-17EE-4EC0-ACFD-22BF449164AC} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe
HKU\S-1-5-21-2231754314-4281560237-746509812-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Szymon\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Szymon\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== ATTENTION
C:\Users\Szymon\AppData\Roaming\Microsoft\SoundMixer
HKU\S-1-5-21-2231754314-4281560237-746509812-1001\...\MountPoints2: {a1fc19fb-6569-11e6-aa30-d8cb8ac32dcd} - "H:\setup.exe" 
HKU\S-1-5-21-2231754314-4281560237-746509812-1001\...\MountPoints2: {a1fc1a08-6569-11e6-aa30-d8cb8ac32dcd} - "M:\setup.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM-x32\...\Mozilla Firefox 48.0\Extensions: [Components] - E:\Program Files (x86)\Mozilla Firefox\components => not found
FF HKLM-x32\...\Mozilla Firefox 48.0\Extensions: [Plugins] - E:\Program Files (x86)\Mozilla Firefox\plugins => not found
FF HKU\S-1-5-21-2231754314-4281560237-746509812-1001\...\Mozilla Firefox 61.0.2\Extensions: [Components] - E:\Program Files (x86)\Mozilla Firefox\components => not found
FF HKU\S-1-5-21-2231754314-4281560237-746509812-1001\...\Mozilla Firefox 61.0.2\Extensions: [Plugins] - E:\Program Files (x86)\Mozilla Firefox\plugins => not found
S3 cpuz139; \??\E:\temp\cpuz139\cpuz139_x64.sys [X]
S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X]
S4 nvvhci; \SystemRoot\System32\drivers\nvvhci.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik fixlog.txt.

Proszę również by raporty były generowane na podstawie naszych zaleceń. Wszystkie instrukcje znajdziesz w przyklejonym temacie:

1. Dostosuj temat do zasad działu i dostarcz wymagane raporty: 

2. Od razu pokaż mi właściwości zawartości dysku:

Folder: F:\

Raporty nie wykazują oznak infekcji. Widoczne szczątki PUP wychwycił AdwCleaner, więc możesz je zadać do kasacji. 

Cytat

Dodatkowo, nie mogę otworzyć strony w M.Edge od czasu gdy ustawiłem opcję w połączeniach sieciowych by korzystał z .. tu nie pamiętam nazwy, jest taki 4-literowy skrócik, chodziło coś w tym o przesyłanie w taki a nie inny sposób danych internetowych.

Nie wiem o czym mowa. Wróć do tej opcji, zrób zrzut ekranu, bym mógł powiedzieć więcej. 

Cieszę się, że mogłem pomóc. 
 
Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. 
 
W razie pytań pozostaje do dyspozycji.

Facebook nie otwiera mi się na żadnej przeglądarce = sprecyzuj jaki konkretnie otrzymujesz komunikat po próbie wejścia na stronę Facebooka. 

AdwCleaner wyczyścił wcześniej modyfikacje adware w przeglądarce. Nie ma mu co zarzucać, że nie poradził sobie z tą infekcją, która ja usunąłem, bo nie jest przystosowany do tego typu zagrożeń (to ani nie adware. ani nie PUP). 

Wracają do meritum: wszystko pomyślnie wykonane. Infekcja usunięta. Końcowe akcje:

1. Detekcje Malwarebytes są jak najbardziej prawidłowe, ale sposób ich korekcji nie jest do końca zgodny z mechanizmem przeglądarki, wykonaj następujące kroki: 

• Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera.
• W pasku adresów wpisz chrome://settings i ENTER. Zaawansowane > Resetowanie komputera i czyszczenie danych > Przywróć ustawienia do wartości domyślnych. Zakładki i hasła nie zostaną naruszone.

2. Ponów pełne skanowanie Malwarebytes w celu potwierdzenia usunięcia zagrożenia.

Cytat

(...) można było zainstalować adwcleaner ale jego użycie nic nie wniosło.

Co masz na myśli? Pokaż raport z czyszczenia z folderu C:\AdwCleaner. 

W raportach widoczne pliki infekcji, zadania w Harmonogramie są już martwe. Przeprowadź następujące działania (zostanie również wyczyszczony kosz i usunięte resztki po przeglądarce Mozilla FireFox):

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
Task: {AB91E154-9E5F-47DA-8C48-4243D88ED86F} - \{A2AFFC57-B8FB-BACC-3722-770BB41EE5C3} -> Brak pliku <==== UWAGA
Task: {BF16D2AB-D396-4948-9E66-AADDB2934633} - \{C760898B-A3A6-2779-1CAC-36D8DE7406DF} -> Brak pliku <==== UWAGA
Task: {D71D056C-3227-42C8-939B-AE6F21F1CDCB} - \{B5AA6D86-249E-886B-6C20-2A4DB0CF0404} -> Brak pliku <==== UWAGA
SearchScopes: HKU\S-1-5-21-2064025434-2601485288-2187366082-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Users\wsad9\iukhe.exe
2018-04-12 01:34 - 2018-04-12 01:34 - 000178688 ____N (Microsoft Corporation) C:\Program Files (x86)\WbwDEEyIoOeJ.exe
C:\WINDOWS\ldMyTNIyEsGe.exe
VirusTotal: C:\WINDOWS\System32\WinBioPlugIns\FaceFodUninstaller.exe
VirusTotal: C:\Users\wsad9\AppData\Local\imw.ini
CMD: netsh advfirewall reset
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\wsad9\AppData\Local\Mozilla
C:\Users\wsad9\AppData\Roaming\Mozilla
C:\Users\wsad9\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty muszą być bez dat, czyli nie z archiwalnego C:\FRST, a miejsca, w którym FRST został uruchomiony. Brak dat jest potwierdzeniem dla mnie, że nie ma nowszych raportów. 

Instrukcje dot. poprawnego wykonania raportów:

Cieszę się, że mogłem pomóc rozwiązać Twój problem. 

Na koniec zastosuj DelFix (kasacja używanych narzędzi). Upewnij się również, że posiadasz możliwie zaktualizowany system XP: KLIK.

W razie pytań pozostaję do dyspozycji. 

Cieszę się, że problem rozwiązany. 
 
Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. 
 
W razie pytań pozostaje do dyspozycji.

Część infekcji pomyślnie usunięta, ale wciąż wymagane dalsze działania.
 

Malwarebytes coś znalazł (a nawet więcej niż coś). Raporty w załączniku.

 
Proszę się absolutnie nie sugerować liczbą wykrytych zagrożeń, gdyż detekcje liczone są rekursywnie.
 
1. Zagrożenia wykryte przez Malwarebytes możesz dać do kasacji, ale:
 

Adware.Elex, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{7195E93F-714C-404B-A164-8F080121C1E6}, Brak akcji, [630], [432898],1.0.6193

Adware.CrossRider.Generic