Miszel03

Proszę o zgłaszanie wątków, które oczekują wciąż na pomoc. Nie byłem obecny ze względu na moje sprawy prywatne. Powinienem teraz zacząć pomagać. Przed zgłoszeniem tematu proszę upewnić się, że raporty, które są dołączone w poście nie mają więcej niż 3 dni - w innym przypadku są nieaktualne i trzeba przygotować nowe. To samo tyczy się zmian w systemie - jeśli zaszły jakiekolwiek ingerencje należy przygotować nowe raporty.

Raporty nie wykazują oznak infekcji. Zresztą jak sam słusznie zauważyłeś problem gałęzi Software praktycznie wyklucza reinstalacje systemu. Niewykluczony z kręgu podejrzanych jest właśnie dysk. Wykonaj więc diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log.

Proszę o dostarczenie pełnego zestawu raportów FRST w celu korekcji. W pierwszych raportach widoczna jest infekcja, natomiast nie wiem w jakim jest stanie po zaleceniach Jessi, ale nie wydaję mi się, że została usunięta.

Jessica, mam ogromny natłok pracy w życiu prywatnym i niestety nie mam jak odpowiadać. Luka, bardzo mi przykro z powodu utraty danych. Niestety, ale wygląda na to, że wciąż jesteśmy bezradni. Proszę jeszcze jednak o wcześniejszą analizę zaszyfrowanego pliku w usłudze ID Ransomware (prześlij zaszyfrowany plik i poinformuj mnie o wyniku analizy - najlepiej wykonaj zrzut ekranu treści komunikatu). W temacie, na który trafiłeś są podane wskazówki do ewentualnego odczytania pliku sprzed zaszyfrowania (o ile dane na dysku nie zostały nadpisane) po przez programy do odzyskiwania. Przy infekcjach szyfrujących dane zawsze zalecam kompleksową reinstalacje / format systemu, a do tego u Ciebie nakładają się kolejne infekcje. Proszę napisz na co się decydujesz.

Neshta to rzeczywiście infekcja plików wykonywalnych, a takie infekcje zawsze mają priorytet w trakcie dezynfekcji. Posiadasz system 64-bitowy, a ta infekcja atakuje tylko 32-bitowe pliki. Toteż aż tak źle nie jest, gdyż natywny obszar systemu nie powinien zostać naruszony. Jakie akcje były podejmowane celem wyeliminowania szkodnika? Do doczyszczeń po Adware.Elex i innych infekcjach przejdziemy w następnych krokach.

Ponawiam pytanie: Ale rozumiem, że została wykonana kasacja wcześniej wykrytych elementów w skanie? Raporty wyglądają już w porządku. Napisz proszę jak podsumowujesz obecną sytuację i czy możemy przejść do kroków finalizujących?

Proszę o dostarczenie nowego zestawu raportów FRST w celu oceny. Nie widzę również raportów, o które prosiła jessica.

W porządku. Temat zamykam.

Skan Integralności nie odnalazł naruszeń, czy komunikat błędu związany z mshtml.tlb nadal się pojawia? W przeglądarce Google Chrome widać adware modyfikujące preferencje i wstawiające szkodliwe rozszerzenie (PUP.Optional.QuickSearcher.Generic). Na przyszłość: proszę wykonywać moje instrukcję jeden do jednego. Wstępnie zagrożenia wykryte przez Malwarebytes daj do kasacji - jeśli Google Chrome nie ulegnie poprawie to wykonaj reinstalacje. Po tych operacjach dostarcz końcowy zestaw raportów FRST w celu oceny.

W kwestii bezpieczeństwa: sugerowałbym jednak używać innej, najnowszej przeglądarki (np. Google Chrome). Korzystanie z nieaktualnej przeglądarki to proszenie się o kłopoty. W raportach widać pozostałości po adware / PUP, którymi będziemy się teraz zajmować. Przy okazji posprzątam resztki po oprogramowaniu / martwe wpisy (zostaną także wyczyszczone lokalizacje tymczasowe, w tym kosz). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {005B4961-582E-4BB6-B645-FA065B776982} - Brak ścieżki do pliku Task: {376A300C-A60B-40F4-B799-DB5DA12BC243} - \MSIAfterburner -> Brak pliku Task: {92554D20-F20A-4BE3-8C10-D3787A9B0774} - \{523CA314-9AD8-4869-92FA-B1C56B5D350B} -> Brak pliku Task: {999ED828-DDDB-4BCE-894A-D21DA21273B0} - \{60CA33C0-3D3C-46E1-914F-A1198AA6DC76} -> Brak pliku Task: {BE6C77CD-8591-4B2B-973F-4AED9F317847} - \{9D8824BD-9D7D-437C-9111-FAF30F1702A4} -> Brak pliku Task: {F163A557-1C18-4A84-A731-5581D77AAA1E} - \Run RoboForm TaskBar Icon -> Brak pliku Task: {B0506A1B-1651-464B-AA0B-86293169C43A} - \Run RoboForm Process -> Brak pliku GroupPolicyScripts: Ograniczenia FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => nie znaleziono S2 wCpYx9gGumUX Updater; C:\Program Files (x86)\wCpYx9gGumUX Updater\wCpYx9gGumUX Updater.exe [X] S3 catchme; \??\C:\ComboFix2018\catchme.sys [X] S2 SSPORT; \??\C:\Windows\system32\Drivers\SSPORT.sys [X] File: C:\Program Files (x86)\Common Files\kyOWYuA.exe VirusTotal: C:\Program Files (x86)\Common Files\kyOWYuA.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Domek\AppData\Local CMD: dir /a C:\Users\Domek\AppData\LocalLow CMD: dir /a C:\Users\Domek\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zgłaszasz problemy z aktualizacją Google Chrome, a dodatkowo ja w raportach widzę w niej infekcje adware / PUP. Klaruje się tutaj kompleksowa reinstalacja: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows.

Cześć Trrini, niestety rozszerzenie wskazuję na nowy wariant infekcji DHARMA. Wybierz zaszyfrowany plik i wyślij go na serwer usługi ID Ransomware, momentalnie otrzymasz analizę - dostarcz ją w postaci np. zrzutu ekranu.

Raporty nie wykazują oznak infekcji. Temat przenoszę do działu Windows 7. Czy był wykonywany tzw. czysty rozruchu? To start systemu bez żadnych modyfikacji zewnętrznych i może wykluczyć wielu winowajców. To szybka droga do znalezienie przyczyny. Pobiorę najnowsze dane z Dziennika zdarzeń, być może problem się ujawni. Przy okazji zadaję również kosmetykę (w tym czyszczenie kosza). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LoA Micro-Browser.lnk HKU\S-1-5-21-2595539665-3574553956-4074278075-1000\...\MountPoints2: {4cb20ae7-4f52-11e6-816d-806e6f6e6963} - D:\Run.exe FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostracz plik Fixlog oraz nowy log Addition w celu oceny najnowszych danych Dziennika Zdarzeń.

Temat został założony równolegle na dwóch forach (KLIK). Zamykam.

To raczej nie mogło mieć wpływu na działanie systemu. Wciąż proszę o raport ze skanowania Malwarebytes.

Brakuje pliki Fixlog - proszę o dostarczenie. Rozumiem. Czy BSODy nadal występują? Tak, komentując wyniki: - PUP.Optional.MailRu / Adware.MailRu.BatBitRst to drobne pozostałości po PUP, które zleciłem by odinstalować. - RiskWare.BitCoinMiner to koparką BitCoin. Wszystkie detekcje proszę zadać do usunięcia. Po tej operacji proszę o dostarczenie nowego zestawu raportów FRST w celu wprowadzenia ewentualnych poprawek (część, która wdrążyłbym teraz wykona Malwarebytes)

Rebrand Reason Core Security to opis kontrowersyjnego ByteFence Anti-Malware. Ten wpis był szczątkowy. To jest raport z AdwCleaner, a ja proszę o skan Malwarebytes.

Niestety, raporty wciąż wyglądają niepoprawnie. To może oznaczać, że system ma jakieś uszkodzenia / braki w kluczach i FRST po prostu pobrał to co "widać". Uszkodzenia rejestru wyjaśniałyby m.in: "FATAL Error 2120 przy probie instalacji programu Rosetta Stone". Dodatkowo, w procesach widać że Firefox działa z niestandardowej ścieżki: ==================== Prozesse (Nicht auf der Ausnahmeliste) ================= (Mozilla Corporation) C:\Users\xenon\AppData\Local\Mozilla Firefox\firefox.exe (Mozilla Corporation) C:\Users\xenon\AppData\Local\Mozilla Firefox\firefox.exe FRST nie skanuje tej lokalizacji. Składając to wszystko do kupy - musimy porzucić wszystko i zająć się szerszą diagnostyką. Sprawdzimy czy w ogóle jest i w jakim stanie klucz Uninstall w rejestrze oraz co jest w folderze Firefox. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: ExportKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall ExportKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Folder: C:\Users\xenon\AppData\Local\Mozilla Firefox Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Jeśli Fixlog będzie za duży (pobieram dane rekursywnie) to proszę wklej jego zawartość na serwis wklej.org i dostarcz link.

W systemie widoczne są podejrzane instalacje / przeładowany plik Hosts (blokady tą metodą są niewydajne). A czy nie uruchamiał się przypadkiem tylko tryb pełnoekranowy? Wystarczyło nacisnąć klawisz F11, by przejść do normalnego okna przeglądarki. Te warianty przeglądarkowe to nie raczej nie jest to samo co Trojan.Weelsof, tylko bardziej reklama w formie straszaka i próby wyłudzenia pieniędzy. Wyczyścimy przeglądarki, po dezynfekcji sugeruję również wyposażyć się w bloker reklam uBlock Origin. Zostaną posprzątane martwe wpisy, zresetowany plik Hosts oraz wyczyszczone lokalizacje tymczasowe (w tym kosz). 1. Przez Panel Sterownia odinstaluj: podejrzany rebrand Reason Core Security, instalowany / przemycany na komputery technikami PUP: ByteFence Anti-Malware. program typu PUP: Booking (wydaję mi się, że jest to ten sam twór co Booking.com). przestarzały skaner antywirusowy: mks_vir Skaner Online. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1076910575-1311696119-2683947236-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.windowsxlive.net SearchScopes: HKU\S-1-5-21-1076910575-1311696119-2683947236-1000 -> DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=IMB&o=15785&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^HQ&apn_dtid=^YYYYYY^YY^PL&apn_uid=18C5ADA8-8283-42A6-A585-63EDE80048B5&apn_sauid=1C8A9E17-0C71-4497-B61C-C9964AD7D08D SearchScopes: HKU\S-1-5-21-1076910575-1311696119-2683947236-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=IMB&o=15785&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^HQ&apn_dtid=^YYYYYY^YY^PL&apn_uid=18C5ADA8-8283-42A6-A585-63EDE80048B5&apn_sauid=1C8A9E17-0C71-4497-B61C-C9964AD7D08D Toolbar: HKU\S-1-5-21-1076910575-1311696119-2683947236-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Wyczyść przeglądarkę Mozilla FireFox : Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty nie były modyfikowane? Wycięta jest sekcja zainstalowanych programów / przeglądarek. Jeśli nie to proszę wygenerować raporty ponownie, być może wystąpił po prostu błąd.

Cieszę się, że mogłem pomóc! Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Chodzi mi, abyś napisał czy widzisz jakieś niepożądane zachowania / czy coś jeszcze wymaga poprawy z Twojego punktu widzenia. Wcześniej menu wygląda inaczej? Sugeruję zacząć od reinstalacji tego programu (jeśli to nie będzie problemem). W raportach brak oznak infekcji. 1. Wyczyść przeglądarkę Mozilla FireFox w celu usunięcia ewentualnych śladów: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 2. Napisz jak wygląda sytuacją z Twojego punktu widzenia na tym koncie?

Zadane operacje zostały pomyślnie przeprowadzone. Proszę nie sugerować się ilością detekcji. Właściwie to wszystko odpadki po adware lub instalatory ze zintegrowanym adware / PUP. Raport Malwarebytes działa rekursywnie, czyli jeśli w zainfekowanym folderze A jest tysiąc plików to każdy plik z osobna liczony jest jako jedno zagrożenie - stąd tak duże liczby. 1. Zagrożenia możesz dać do kasacji (czyli wykonaj ponownie skan i zaznacz opcje Usuń dla wszystkich detekcji). Po tym upewnij się, że następny skan niczego nie wykrywa. 2. Podsumuj jak wygląda sytuacja na tym koncie. Jeśli będzie w porządku to na koncie Gość wygeneruj zestaw raportów FRST i dostarcz go (ważne jest, aby FRST został uruchomiony jako administrator - opcja ta dostępna jest z prawokliku).

Nie, powyższe instrukcję są rozpisane dla konta Sylwia. Proszę zalogować się na to konto i wykonać instrukcję. FRST nie został uruchomiony jako administrator, a więc te raporty są bezużyteczne. Najpierw zajmiemy się kontem Sylwia, a następnie poproszę o raporty z konta Gość i pokieruję jak je wygenerować nie będąc na koncie administratora.

Z raportów wynika, że w systemie istnieją dwa konta: Sylwia (S-1-5-21-2666340739-2498256653-3035462964-1000 - Administrator - Enabled) => C:\Users\Sylwia Gość (S-1-5-21-2666340739-2498256653-3035462964-501 - Limited - Enabled) => C:\Users\Gość Wymagany jest osobny komplet raportów z każdego konta. W następnym poście dołącz również logi z konta Gość. Konto użytkownika: SYLWIA. Widoczne są komponenty adware i wymagane są doczyszczenia. Przy okazji sprzątam system z resztek po oprogramowaniu (zostaną wyczyszczone również lokalizacje tymczasowe, w tym kosz). 1. Przez Panel Sterowania odinstaluj adware / PUP: Foxy Secure. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [mbot_pl_71] => [X] HKLM-x32\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms} Toolbar: HKU\S-1-5-21-2666340739-2498256653-3035462964-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X] FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {DC8C248D-D001-41DE-92A8-70707ACC2437} - \{F40C0935-8ADB-4188-8E17-6FA1B40A896D} -> Brak pliku Task: {981CFBA1-9F37-4F1E-9A3F-B3CC8A06CC63} - System32\Tasks\Price Fountain => C:\Users\Sylwia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\windows\Tasks\Price Fountain.job => C:\Users\Sylwia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE C:\Users\Sylwia\AppData\Roaming\PRICEF~1 C:\Users\Sylwia\AppData\Local\PriceFountain C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain\Uninstall PriceFountain.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Oznaczyłem stronę jako stawiącą niebezpieczeństwo w usłudze VirusTotal oraz w Google Safe Browsing.

Dostarcz do analizy pliki zrzutu pamięci, w tym celu skopiuj zawartość folderu C:\Windows\Minidump, spakuj ją (np. za pomocą WinRAR), a następnie wstaw na hosting plików (np. na MediaFire). Widoczna jest instalacja programu Lite, który na liście programów zainstalowanych cechuję się podpisem mail.ru. Podpis ten znany jest z blokowania stron oprogramowania zabezpieczającego / wyświetlania nieporządanych reklam / manipulacjami w obrębie wyszukiwarki. Integrację sięgają głównie przeglądarek (IE / CHR / FF). Oprócz tego w Harmonogramie zadań widoczny jest fałszywy wpis podszywający się pod Microsoft. Wszystkim tym będziemy się teraz zajmować, dodatkowo sprzątam system z resztek po oprogramowaniu. Zostaną wyczyszczone również lokalizacje tymczasowe w tym kosz. 1. Przez Panel Sterowania odinstaluj adware / PUP: Lite. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: C:\Users\Aviator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lite.lnk C:\Users\Aviator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lite.lnk ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {1B6C90BE-79AB-456C-8B89-63A567BF0C93} - System32\Tasks\{91F4AA38-0612-4C6E-867B-4C153BC66C5F} => C:\Program Files (x86)\OaaEYI.exe [2017-09-29] (Microsoft Corporation) VirusTotal: C:\Program Files (x86)\OaaEYI.exe VirusTotal: C:\Program Files (x86)\OlTGUrsqUeJ.exe AlternateDataStreams: C:\Users\Public\AppData:CSM [470] GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-1144174955-2309524648-3669128592-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-1144174955-2309524648-3669128592-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2D4DB4C8-C20D-4DD3-A9C6-40B63EF18BE2%7D&gp=811142 SearchScopes: HKU\S-1-5-21-1144174955-2309524648-3669128592-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2D4DB4C8-C20D-4DD3-A9C6-40B63EF18BE2%7D&gp=811142 CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx VirusTotal: C:\Users\Aviator\AppData\Local\WMI.ini CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Aviator\AppData\Local CMD: dir /a C:\Users\Aviator\AppData\LocalLow CMD: dir /a C:\Users\Aviator\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Поиск Mail.Ru, Домашняя страница Mail.Ru (o ile wciąż będą) oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.