Skocz do zawartości

Miszel03

Moderatorzy
  • Postów

    2 329
  • Dołączył

  • Ostatnia wizyta

Odpowiedzi opublikowane przez Miszel03

  1. Czy plik Fixlog.txt mam usunąć z folderu gdzie znajduje się FRST? 

     

    Zlecę usunięcie wszystkich używanych narzędzi i raportów na koniec. 

     


     

     

    Poprawki (szczątki po oprogramowaniu zabezpieczającym i Opera / zmiany w Google Chrome):

     

    1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

     

    CloseProcesses:
    CreateRestorePoint:
    ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    BootExecute: autocheck autochk * aswBoot.exe /M:13125c0594 /wow /dir:"C:\Program Files\AVAST Software\Avast"
    C:\ProgramData\AVAST Software
    C:\Program Files\Common Files\AVAST Software
    C:\ProgramData\McAfee
    C:\Program Files\Opera
    C:\Users\y\AppData\Roaming\Opera Software
    C:\Users\y\AppData\Local\Opera Software
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia 
    CHR DefaultSearchURL: Default -> hxxps://defaultsearch.co/?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> Default Search
    EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

     

    2. Powiedz jak wygląda sytuacja po tym zabiegu.

  2. Część infekcji pomyślne usunięta. Wygląda to lepiej, ale wciąż wymagane są dalsze działania: 

     

    1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. Dostarcz raport z tej akcji i ponów skan celem potwierdzenia wyniku 0 infekcji

     

    2. Zrób nowy zestaw raportów FRST, zmiany w Google Chrome spróbuję usunąć ręcznie. 

     

    P.S: Nie sugeruj się liczbą zagrożeń w skanie Malwarebytes - to dane rekursywne.

  3. W systemie widoczna instalacja PUP, infekcja adware ładowana przez Harmonogram zadań, z plików i w Google Chrome.

     

    Oprócz procesu dezynfekcji odbędzie się także sprzątanie systemu z martwych wpisów / skrótów / resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox / czyszczenie kosza. Akcja:

     

    1. Przez Panel Sterownia odinstaluj PUP: NativeDesktopMediaService.

     

    2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

     

    CloseProcesses:
    CreateRestorePoint:
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Most Wanted PL\NFS Most Wanted - Spolszczenie.lnk
    C:\Users\y\Documents\Euro Truck Simulator 2\readme.rtf.lnk
    C:\Users\y\Documents\American Truck Simulator\readme.rtf.lnk
    C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk
    C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FACEIT Ltd\FACEIT.lnk
    C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Nox\Nox.lnk
    C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Nox\Nox_unload.lnk
    C:\Users\y\AppData\Local\Microsoft\Windows\GameExplorer\{458044EE-527F-489C-ADF8-DD180A10B700}\PlayTasks\0\Zagraj.lnk
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    Task: {24BD8404-C660-44E1-8D79-11D8C5F2011B} - System32\Tasks\UEznpHBkc3To => ueznphbkc3to.exe 
    Task: {32B8361E-B3A4-4B26-86F7-38189F272223} - \F3E72C08-821E-7ECC-1814-27797268B9AA -> Brak pliku 
    Task: {BD0C867A-19D5-423D-9E08-1E263377881D} - System32\Tasks\timeandnewsnettorz => C:\Program Files\Opera\Launcher.exe
    Task: {D4F7E4AE-F4E7-4CE0-B846-0FAC08150242} - System32\Tasks\{73EC5C7E-0062-4AC0-B03F-37BB37CE0982} => C:\Windows\system32\pcalua.exe -a C:\Users\y\Desktop\hgoy\Gothic2_PlayerKit-2.6f.exe -d C:\Users\y\Desktop\hgoy
    Task: {D0DFA0CB-D199-412B-8F59-A3DF0B6F58A9} - System32\Tasks\geektonete5a => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" geekto.net/e5a 
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia 
    HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {1a13ba35-8e36-11e7-be76-0021851c1889} - F:\Autorun.exe
    HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {fe1ba20b-9d36-11e7-82d5-0021851c1889} - H:\Autorun.exe
    HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {2365d9f3-9463-11e7-868c-0021851c1889} - G:\Setup.exe
    HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {e0ba16ff-3659-11e8-bffa-0021851c1889} - G:\setup.exe
    HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {4fc0677c-5a8a-11e8-b894-0021851c1889} - E:\stp-fm2017.exe
    HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {814195b2-12e2-11e8-986d-0021851c1889} - E:\stp-fm2017.exe
    HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {fbfea845-1231-11e8-b916-0021851c1889} - E:\stp-fm2017.exe
    HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: E - E:\Setup.exe
    ShortcutTarget: Facebook Messenger.lnk -> C:\Users\y\AppData\Local\Facebook\Messenger\2.1.4814.0\FacebookMessenger.exe (Brak pliku)
    GroupPolicy: Ograniczenia - Windows Defender 
    GroupPolicy\User: Ograniczenia ? 
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
    HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms}
    HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms}
    HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    2018-07-26 22:39 - 2018-07-26 22:40 - 007417040 _____ (Malwarebytes) C:\Users\y\Downloads\adwcleaner_7.2.2_www.INSTALKI.pl.exe
    2017-09-27 22:43 - 2017-09-27 22:43 - 007327744 _____ () C:\Users\y\AppData\Local\agent.dat
    2017-09-27 22:43 - 2017-09-27 22:43 - 000070800 _____ () C:\Users\y\AppData\Local\Config.xml
    2017-09-27 22:42 - 2017-09-27 22:42 - 000140800 _____ () C:\Users\y\AppData\Local\installer.dat
    2017-09-27 22:43 - 2017-09-27 22:43 - 000005568 _____ () C:\Users\y\AppData\Local\md.xml
    2017-09-27 22:43 - 2017-09-27 22:43 - 000126464 _____ () C:\Users\y\AppData\Local\noah.dat
    2017-09-27 22:43 - 2017-09-27 22:43 - 001899389 _____ () C:\Users\y\AppData\Local\Techfan.tst
    2017-09-27 22:43 - 2017-09-27 22:43 - 000032038 _____ () C:\Users\y\AppData\Local\uninstall_temp.ico
    CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx
    DeleteKey: HKCU\Software\Mozilla
    DeleteKey: HKCU\Software\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Mozilla
    DeleteKey: HKLM\SOFTWARE\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
    C:\Users\y\AppData\Local\Mozilla
    C:\Users\y\AppData\Roaming\Mozilla
    C:\Users\y\AppData\Roaming\Profiles
    CMD: dir /a "C:\Program Files"
    CMD: dir /a "C:\Program Files (x86)"
    CMD: dir /a "C:\Program Files\Common Files"
    CMD: dir /a "C:\Program Files (x86)\Common Files"
    CMD: dir /a "C:\Program Files\Common Files\System"
    CMD: dir /a "C:\Program Files (x86)\Common Files\System"
    CMD: dir /a C:\ProgramData
    CMD: dir /a C:\Users\y\AppData\Local
    CMD: dir /a C:\Users\y\AppData\LocalLow
    CMD: dir /a C:\Users\y\AppData\Roaming
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

     

    3. Wyczyść przeglądarkę Google Chrome:

    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Symbol instrukcja.png > Więcej narzędzi > Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
    • Symbol instrukcja.png > Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Przywróć ustawienia do wartości domyślnych. Zakładki, historia i hasła nie zostaną naruszone.
    • Symbol instrukcja.png > Ustawienia > sekcja Wyszukiwarka > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

     

    5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

  4. AdGuard opublikował raport, w którym wychodzi na jaw, że 11 milionów użytkowników aplikacji i rozszerzeń spod szyldu Big Star Labs może być szpiegowanych.
     
    "Big Star Labs" spyware campaign affects over 11,000,000 people
    Chrome Extensions, Android and iOS Apps Caught Collecting Browsing Data

     
    Lista potencjalnie zagrożonych aplikacji:
     
  5. Pliki ustawień przeglądarki Google Chrome zostały zmodyfikowane przez Adware.Elex, wymiana profilu powinna to załatwić (utracisz wszystkie dane z przeglądarki):

    • Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby.
    • Po tym zabiegu ponów skan Malwarebytes i przedstaw wyniki. Dostarcz również nowy zestaw raportów FRST. 
  6. Raporty nie wykazują oznak infekcji. Komentując treść tematu:

    • Malwarebytes zasygnalizował wykrycie zagrożenie PUP.Optional.AuslogicsBoostSpeed, które jest powiązane z instalacją Auslogics BoostSpeed 8. Ten program w sam sobie infekcją nie jest, rekomendacja usunięcia przez Malwarebytes wynika m.in. z:
    - usuwania nieprawidłowych wpisów w rejestrze metodą, która jest odradzana przez firmę Microsoft

    - agresywnej techniki reklamowej.

     

    Pod ocenę indywidualną pozostawiam wybór deinstalacji programu.

    • Detekcje Microsoft Security Essentials:
    BrowserModifier:Win32/SasquorBrowserModifier:Win32/SupTab to programy typu adware. Przypuszczalnie zaciągnięte metodą Asystenta pobierania. Wyizolowane nei stanowią zagrożenia. Podaj proszę ścieżki detekcji.

    Trojan:Win32/Skeeyah.A!rfn - infekcja zaciągnięta prawdopodobnie wraz z crackiem licencyjnym do pakietu Malwarebytes (często widziana sytuacja w raportach). 

      

    Microsoft Security Essentials / Windows Defender blokują tą infekcję w zarodku. Sugeruję wybrać inny program w zamian cracka: Lista darmowych i komercyjnych programów zabezpieczających.

     

    Zauważyłam ,że przeglądarka Firefox, której używam, wolno chodzi, a dodatkowo głośno działa dysk twardy. Kiedy zamykam przeglądarkę, dysk znowu chodzi cichutko.

     

    Pierwsze co przychodzi mi namyśl to, aby przeprowadzić Odświeżenie przeglądarki i reset synchronizacji. Być może wchodzisz na stronę, która ma zintegrowaną koparkę kryptowaluty (bardzo popularny szkodliwy trend w obecnym czasie). Ochronić się można wykorzystując rozszerzenie NoCoin (oparte o bazę skryptów) lub ograniczenie wykonywania JavaScript w przeglądarce. Oprogramowanie antywirusowe również wykazuję aktywność wobec niektórych zagrożeń tego typu. 

     

    W razie pytań pozostaje do dyspozycji.

  7. Wszystko zostało pomyślnie wykonane, infekcja usunięta. Malwarebytes nie znalazł już żadnych zagrożeń. Miło mi, że mogłem pomóc.

    Pokaż mi jeszcze tylko jak wyglądają główne katalogi (chcę się upewnić, że nie ma tam już śladu infekcji i wiedzieć to w przypadku kolejnego podobnego tematu):
     
    1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
     

    CMD: dir /a "C:\Program Files"
    CMD: dir /a "C:\Program Files (x86)"
    CMD: dir /a "C:\Program Files\Common Files"
    CMD: dir /a "C:\Program Files (x86)\Common Files"
    CMD: dir /a "C:\Program Files\Common Files\System"
    CMD: dir /a "C:\Program Files (x86)\Common Files\System"
    CMD: dir /a C:\ProgramData
    CMD: dir /a C:\Users\Admin\AppData\Local
    CMD: dir /a C:\Users\Admin\AppData\LocalLow
    CMD: dir /a C:\Users\Admin\AppData\Roaming

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     
    Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

     

    2. Dostarcz plik Fixlog.txt

  8. Zeskanowałem także komputer RKill'em i również nic.

     

    RKill to program przygotowujący środowisko dla innych narzędzi - tylko i wyłącznie neutralizuje aktywne procesy malware. Nie usuwa w sam sobie złośliwego oprogramowania.

    Próbowałeś również ratować się pobierając ComboFix, a to narzędzie niezalecane do użytku na własną rękę (może być stosowane tylko przez osoby do tego przeszkolone). 

     

    Komentując zaś raporty, widoczna jest infekcja ładowana za pomocą Harmonogramu zadań. Podobny temat: KLIK

     

    Dezynfekcja oraz sprzątanie resztek po używanych programach do walki z malware (zostanie wyczyszczony bezpowrotnie również kosz): 

     

    1. Jeśli zajdzie potrzeba wykonaj z poziomu Trybu awaryjnego: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

     

    CloseProcesses:
    CreateRestorePoint:
    Task: {28004C86-095A-42AF-8E7D-C8D04A80C821} - System32\Tasks\{0B01A3A9-E24A-05AD-02B0-76A83ED5FBB4} => "C:\Program Files\Google\Chrome\Application\chrome.exe" hxxp://dzoper.com/cl/?guid=ytnnqsdq7ts0mqv3t6gfrtcy1teym1qb&prid=1&pid=4_1324_0
    Task: {767642D3-98C1-4E88-AD83-6285380F1751} - System32\Tasks\{8251EC64-BE2F-67D5-B059-41971F427E1D} => C:\Program Files\Common Files\eUIIBoV.exe [2009-07-14] (Microsoft Corporation)
    Task: {839D75B9-539C-4C7C-83AD-190EC5AFCC16} - System32\Tasks\{C20BEF74-944D-07C8-6C61-DDB55312F307} => C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe [2009-07-14] (Microsoft Corporation) 
    C:\Program Files\Common Files\eUIIBoV.exe
    C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe
    FirewallRules: [{EA63F567-9471-438F-BB2A-E647682848CF}] => (Allow) C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe
    FirewallRules: [{E0DD1959-8AC0-4F53-9237-3A565B16067D}] => (Allow) C:\Program Files\Common Files\eUIIBoV.exe
    U3 aswbdisk; Brak ImagePath
    2018-07-22 17:05 - 2018-07-22 17:08 - 000000000 ____D C:\ProgramData\HitmanPro
    2018-07-22 16:39 - 2018-07-22 16:39 - 001780224 _____ (Bleeping Computer, LLC) C:\Users\Admin\Downloads\rkill-unsigned.exe
    2018-07-22 15:20 - 2018-07-22 15:21 - 005659639 _____ (Swearware) C:\Users\Admin\Downloads\ComboFix.exe
    2018-07-22 14:46 - 2018-07-22 14:43 - 007407312 _____ (Malwarebytes) C:\Users\Admin\Desktop\aner.exe
    2018-07-22 14:46 - 2018-07-22 17:28 - 000000000 ____D C:\AdwCleaner
    Task: C:\Windows\Tasks\AdwCleaner_onReboot.job => C:\Users\Admin\Desktop\aner.exe
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

     

    2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

     

    3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

  9. W raportach widoczne są obiekty adware, wykonaj następujące działania (zostaną wyczyszczone również resztki po oprogramowaniu, kosz i usunięty AutoKMS): 

     

    1. Przez Panel Sterowania odinstaluj adware / PUP: Your Software Deals 1.0.0.

     

    2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

     

    CloseProcesses:
    CreateRestorePoint:
    C:\ProgramData\Komputronik\01.(AUDIT)_start-WDS.lnk 
    C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk 
    C:\Users\scarf\OneDrive\Pulpit\Asystent aktualizacji do systemu Windows 10.lnk
    C:\Users\scarf\Desktop\Media — skrót .lnk
    C:\Users\scarf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager\MudRunner\uninstall-[cars]-35971-volvo-fmx-500-6x6.lnk
    C:\Users\scarf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager\MudRunner\uninstall-[cars]-36088-zil-131-4x4.lnk
    C:\Users\scarf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager\MudRunner\uninstall-[maps]-37360-forestry.lnk
    C:\Users\scarf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager\MudRunner\uninstall-[maps]-37362-race-2.lnk
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
    ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} =>  -> Brak pliku
    Task: {90E253BD-D92A-46FD-B3F9-21AF4BE7B658} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
    Task: {C90B1540-1E36-46B8-BBBC-DA28D0EEC668} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [2018-06-13] ()
    C:\WINDOWS\AutoKMS
    HKU\S-1-5-21-2277654708-3986498821-1161186268-1002\...\MountPoints2: F - "F:\LaunchU3.exe" -a
    HKU\S-1-5-21-2277654708-3986498821-1161186268-1002\...\MountPoints2: {557243c1-bd4f-11e6-8a2e-708bcda7571c} - "F:\LaunchU3.exe" -a
    Hosts:
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

     

    3. Wyczyść przeglądarkę Mozilla FireFox:

    • Odłącz synchronizację (o ile włączona): KLIK.
    • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
    • Menu Historia > Wyczyść historię przeglądania.
    4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

     

    5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

     

    Spawa poboczna: 

     

     

    Windows Defender zgłasza następujące zagrożenia: Trojan:Win32/Skeeyah.A!rfn (zdolne do: kradzież danych, typ dropper malware) infekcja zaciągnięta z crackiem MBAM (na szczęście wydaję się, że zablokowana), HackTool:Win32/AutoKMS (zdolne do: crack, ładowania niepodpisanych kopii oprogramowania Microsoft). Czy to wszystko jest warte ryzyka? Malwarebytes udostępnia skaner bezpłatnie, zaś AutoKMS to pewnie twór, który został wykorzystany do aktywacji lewego pakietu Microsoft Office.

     

    Bezpieczne alternatywy (z którym sam korzystam!) bez bawienia się w ryzykowane cracki: Apache OpenOffice / WPS Office. Jeśli chodzi o oprogramowanie zabezpieczające: Lista darmowych i komercyjnych programów zabezpieczających.

     

  10. Chrome wyczyściłam, Firefoxa już ostatnio czyściłam i na nowo wgrywałam, teraz nie chcę ruszać póki jest ok, mam tu poustawiane opcje.

     

    Rozumiem, skoro problem z połączeniem się już rozwiązał zadanie można było pominąć. W raportach nie widzę już niczego niepokojącego. 

     

    Wirus to WhiteClick, chyba już go nie ma, bo usunęłam jak tylko mogłam, ale jak widać spustoszenie zrobił.

     

    Widzę, że używana była masa programów zabezpieczających, sugeruję doczyścić finalnie po nich resztki: Avast! Uninstall Utility, AVG Remover, Dr. Web Anti-Virus Remover, Emsiclean.

     

    Czy możemy przejść do finalizacji tematu? W razie pytań pytań pozostaje do dyspozycji.

  11. Dysk wygląda w porządku. 

     

    Kod błędu DRIVER_IRQL_NOT_LESS_OR_EQUAL oznacza, że ​​coś może być nie tak ze sterownikiem urządzenia, pamięcią komputera lub oprogramowaniem antywirusowym. 
     

    ==================== Centrum zabezpieczeń ========================
     
    AV: Baidu Antivirus (Enabled - Up to date) {0B023102-4312-4570-585A-1BAAA3570E16}
    AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
    AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
    AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    AS: Baidu Antivirus (Enabled - Up to date) {B063D0E6-6528-4AFE-62EA-20D8D8D044AB}


     
    Masz zainstalowane dwa zewnętrzne oprogramowania zabezpieczające. Być może istnieje między nimi konflikt. Sugeruję odinstalować, któreś z nich na próbę (dedykowane deinstalatory). Na forum Malwarebytes jest trochę tematów związanych z tym błędem (KLIK / KLIK). Głównie problem techniczny z oprogramowaniem innego producenta.

  12. Złapałam wirusa i jestem właśnie po czyszczeniu. Ale coś się stało, że w Firefoxie jak wpisuję w google jakieś słowo, to wyskakuje błąd:

    Kod błędu: SSL_ERROR_RX_RECORD_TOO_LONG

     

    Etiologia tego błędu może być bardzo obszerna. Przyczyną mogą być manipulację w obrębie ustawienia security.tls.version.max. Przypuszczalnie podczas dezynfekcji systemu doszło do jakiegoś uszkodzenia (reset Mozilli przywróci wszystko do ustawień domyślnych - jeśli to nie przyniesie rezultatów, będziemy myśleć dalej). Jak teraz wygląda sytuacja z Operą?

     

    Jeśli zaś chodzi o raporty to widoczne są drobne pozostałości po adware / PUP. Przy okazji: sprzątam system z resztek po oprogramowaniu / zostanie również wyczyszczony kosz.

     

    Akcja (głównie odkręcanie potencjalnych szkód):

     

    1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

     

    CloseProcesses:
    CreateRestorePoint:
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bonjour\About Bonjour.lnk
    C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
    C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
    C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
    C:\Users\Ewelina\Desktop\Programy\Adobe Acrobat DC.lnk
    C:\Users\Ewelina\Desktop\Gry\Gra Milionerzy 2.lnk
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
    ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> Brak pliku
    Task: {376D9B0B-EDF0-4D45-8529-DF19C491FFE4} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
    VirusTotal: C:\WINDOWS\System32\WinBioPlugIns\FaceFodUninstaller.exe
    HKLM-x32\...\Run: [] => [X]
    SearchScopes: HKU\S-1-5-21-2858574783-512157174-4100705752-1001 -> {c2b8e594-d284-ef0b-2c66-48a9c98914bc} URL = hxxps://search.gmx.com/web/result?origin=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=301&p_w=y0w45&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    FF Plugin HKU\S-1-5-21-2858574783-512157174-4100705752-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku]
    U0 Partizan; system32\drivers\Partizan.sys [X]
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

     

    2. Wyczyść przeglądarkę Google Chrome:

    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    3. Wyczyść przeglądarkę Mozilla FireFox:
    • Odłącz synchronizację (o ile włączona): KLIK.
    • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
    • Menu Historia > Wyczyść historię przeglądania.
    4. Skorzystaj z zainstalowanej aplikacji Malwarebytes Anti-Malware. Wykonaj całościowy skan systemu, ewentualne detekcje pozostaw, nic nie usuwaj, a dostarcz raport. 

     

    5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

  13. Wydaję mi się, że Opera ma wieloprocesowy system kart. To znaczy jedna otwarta karta = jeden aktywny proces. Ma to na celu zapobiec sytuacji, w której zawieszenie jeden karty spowoduje zawieszenie całej przeglądarki. 

     

    A tutaj wszystko wydaje się być w porządku?

     

    Raporty częściowo pokazują mi tą sekcję, ja nie widzę tutaj niczego niepokojącego. Proszę wykonaj całościowy skan za pomocą Zemana Anti-Malware, dla "świętego spokoju", choć ja nie sądzę, że to problem infekcji po stronie systemu (a być może przeglądarki).

×
×
  • Dodaj nową pozycję...