-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
Moglibyście rzucić okiem w logi? Z góry dzięki.
Raporty nie wykazują oznak infekcji. Zresztą jak sam słusznie zauważyłeś problem gałęzi Software praktycznie wyklucza reinstalacje systemu.
Dysk prawie cały czas pracuje - mieli i mieli, przy każdej operacji.
Niewykluczony z kręgu podejrzanych jest właśnie dysk. Wykonaj więc diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log.
-
Proszę o dostarczenie pełnego zestawu raportów FRST w celu korekcji.
W pierwszych raportach widoczna jest infekcja, natomiast nie wiem w jakim jest stanie po zaleceniach Jessi, ale nie wydaję mi się, że została usunięta.
-
Oczywiscie tym powinni Ci napisać @Miszel03 lub @Picasso, ale Oni są nieosiągalni od wielu dni.
Jessica, mam ogromny natłok pracy w życiu prywatnym i niestety nie mam jak odpowiadać.
Luka, bardzo mi przykro z powodu utraty danych. Niestety, ale wygląda na to, że wciąż jesteśmy bezradni. Proszę jeszcze jednak o wcześniejszą analizę zaszyfrowanego pliku w usłudze ID Ransomware (prześlij zaszyfrowany plik i poinformuj mnie o wyniku analizy - najlepiej wykonaj zrzut ekranu treści komunikatu).
W temacie, na który trafiłeś są podane wskazówki do ewentualnego odczytania pliku sprzed zaszyfrowania (o ile dane na dysku nie zostały nadpisane) po przez programy do odzyskiwania.
Przy infekcjach szyfrujących dane zawsze zalecam kompleksową reinstalacje / format systemu, a do tego u Ciebie nakładają się kolejne infekcje. Proszę napisz na co się decydujesz.
-
(...) miejmy nadzieję załatwiona infekcja Neshta w wykonywalnych.
Neshta to rzeczywiście infekcja plików wykonywalnych, a takie infekcje zawsze mają priorytet w trakcie dezynfekcji. Posiadasz system 64-bitowy, a ta infekcja atakuje tylko 32-bitowe pliki. Toteż aż tak źle nie jest, gdyż natywny obszar systemu nie powinien zostać naruszony. Jakie akcje były podejmowane celem wyeliminowania szkodnika?
Do doczyszczeń po Adware.Elex i innych infekcjach przejdziemy w następnych krokach.
-
Ponawiam pytanie:
Skan Integralności nie odnalazł naruszeń, czy komunikat błędu związany z mshtml.tlb nadal się pojawia?
Malwarebytes zgłosił ostatnio (chrome_obrazek.JPG) przy wejściu na pierwszy link po wyszukaniu "intel ingres", dziś wcho na stronę bez alarmów.Ale rozumiem, że została wykonana kasacja wcześniej wykrytych elementów w skanie?
Raporty wyglądają już w porządku.
Napisz proszę jak podsumowujesz obecną sytuację i czy możemy przejść do kroków finalizujących? -
Proszę o dostarczenie nowego zestawu raportów FRST w celu oceny. Nie widzę również raportów, o które prosiła jessica.
-
W porządku.
Temat zamykam.
-
Skan Integralności nie odnalazł naruszeń, czy komunikat błędu związany z mshtml.tlb nadal się pojawia?
chrome jeszcze nie dotykam, może podjęte działania poprawiąsytuację, jeśli nie to zastosuję zalecenie
W przeglądarce Google Chrome widać adware modyfikujące preferencje i wstawiające szkodliwe rozszerzenie (PUP.Optional.QuickSearcher.Generic). Na przyszłość: proszę wykonywać moje instrukcję jeden do jednego.
Wstępnie zagrożenia wykryte przez Malwarebytes daj do kasacji - jeśli Google Chrome nie ulegnie poprawie to wykonaj reinstalacje.
Po tych operacjach dostarcz końcowy zestaw raportów FRST w celu oceny.
-
Firefox
wersja 42.0 (ze względu na java i roboform)
W kwestii bezpieczeństwa: sugerowałbym jednak używać innej, najnowszej przeglądarki (np. Google Chrome). Korzystanie z nieaktualnej przeglądarki to proszenie się o kłopoty.
W raportach widać pozostałości po adware / PUP, którymi będziemy się teraz zajmować. Przy okazji posprzątam resztki po oprogramowaniu / martwe wpisy (zostaną także wyczyszczone lokalizacje tymczasowe, w tym kosz).
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CloseProcesses: CreateRestorePoint: Task: {005B4961-582E-4BB6-B645-FA065B776982} - Brak ścieżki do pliku Task: {376A300C-A60B-40F4-B799-DB5DA12BC243} - \MSIAfterburner -> Brak pliku Task: {92554D20-F20A-4BE3-8C10-D3787A9B0774} - \{523CA314-9AD8-4869-92FA-B1C56B5D350B} -> Brak pliku Task: {999ED828-DDDB-4BCE-894A-D21DA21273B0} - \{60CA33C0-3D3C-46E1-914F-A1198AA6DC76} -> Brak pliku Task: {BE6C77CD-8591-4B2B-973F-4AED9F317847} - \{9D8824BD-9D7D-437C-9111-FAF30F1702A4} -> Brak pliku Task: {F163A557-1C18-4A84-A731-5581D77AAA1E} - \Run RoboForm TaskBar Icon -> Brak pliku Task: {B0506A1B-1651-464B-AA0B-86293169C43A} - \Run RoboForm Process -> Brak pliku GroupPolicyScripts: Ograniczenia FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => nie znaleziono S2 wCpYx9gGumUX Updater; C:\Program Files (x86)\wCpYx9gGumUX Updater\wCpYx9gGumUX Updater.exe [X] S3 catchme; \??\C:\ComboFix2018\catchme.sys [X] S2 SSPORT; \??\C:\Windows\system32\Drivers\SSPORT.sys [X] File: C:\Program Files (x86)\Common Files\kyOWYuA.exe VirusTotal: C:\Program Files (x86)\Common Files\kyOWYuA.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Domek\AppData\Local CMD: dir /a C:\Users\Domek\AppData\LocalLow CMD: dir /a C:\Users\Domek\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Zgłaszasz problemy z aktualizacją Google Chrome, a dodatkowo ja w raportach widzę w niej infekcje adware / PUP. Klaruje się tutaj kompleksowa reinstalacja:
- Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
- Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
- Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
- Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
- Odłącz synchronizację (o ile włączona): KLIK.
- Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
- Menu Historia > Wyczyść historię przeglądania.
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
Plus komunikat o błędzie w mshtml.tlb
Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows.
-
Cześć Trrini,
niestety rozszerzenie wskazuję na nowy wariant infekcji DHARMA.
Wybierz zaszyfrowany plik i wyślij go na serwer usługi ID Ransomware, momentalnie otrzymasz analizę - dostarcz ją w postaci np. zrzutu ekranu.
-
Raporty nie wykazują oznak infekcji. Temat przenoszę do działu Windows 7.
Ostatnio zainstalowałem Google Chrome i zauważyłem, ze podczas pierwszego rozruchu systemu, wszystko włącza się w porządku, natomiast przez około 5 minut nie mogę uruchomić żadnej aplikacji.
Czy był wykonywany tzw. czysty rozruchu? To start systemu bez żadnych modyfikacji zewnętrznych i może wykluczyć wielu winowajców. To szybka droga do znalezienie przyczyny.
Druga rzecz, kiedy już można uruchamiać aplikacje, kiedy komputer jest włączony nie ma żadnego problemu. Sugestie?
Pobiorę najnowsze dane z Dziennika zdarzeń, być może problem się ujawni. Przy okazji zadaję również kosmetykę (w tym czyszczenie kosza).
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CloseProcesses: CreateRestorePoint: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LoA Micro-Browser.lnk HKU\S-1-5-21-2595539665-3574553956-4074278075-1000\...\MountPoints2: {4cb20ae7-4f52-11e6-816d-806e6f6e6963} - D:\Run.exe FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Dostracz plik Fixlog oraz nowy log Addition w celu oceny najnowszych danych Dziennika Zdarzeń.
-
-
To raczej nie mogło mieć wpływu na działanie systemu.
Wciąż proszę o raport ze skanowania Malwarebytes.
-
Brakuje pliki Fixlog - proszę o dostarczenie.
Co do folderu minidump - jest pusty.
Rozumiem. Czy BSODy nadal występują?
Malwarebytes wykrył inne szkodniki i potwierdził tym samym moje podejrzenia co do infekcji koparką bitcoinów.
Tak, komentując wyniki:
- PUP.Optional.MailRu / Adware.MailRu.BatBitRst to drobne pozostałości po PUP, które zleciłem by odinstalować.
- RiskWare.BitCoinMiner to koparką BitCoin.
Wszystkie detekcje proszę zadać do usunięcia. Po tej operacji proszę o dostarczenie nowego zestawu raportów FRST w celu wprowadzenia ewentualnych poprawek (część, która wdrążyłbym teraz wykona Malwarebytes)
-
(...) jednak Rebrand Reason Core Security nie mogłem znaleźć ani w panelu sterowania ni w cclenerze.
Rebrand Reason Core Security to opis kontrowersyjnego ByteFence Anti-Malware. Ten wpis był szczątkowy.
Raport z Malwarebytes http://wklej.org/id/3404448/
To jest raport z AdwCleaner, a ja proszę o skan Malwarebytes.
-
Niestety, raporty wciąż wyglądają niepoprawnie.
To może oznaczać, że system ma jakieś uszkodzenia / braki w kluczach i FRST po prostu pobrał to co "widać". Uszkodzenia rejestru wyjaśniałyby m.in: "FATAL Error 2120 przy probie instalacji programu Rosetta Stone".
Dodatkowo, w procesach widać że Firefox działa z niestandardowej ścieżki:
==================== Prozesse (Nicht auf der Ausnahmeliste) ================= (Mozilla Corporation) C:\Users\xenon\AppData\Local\Mozilla Firefox\firefox.exe (Mozilla Corporation) C:\Users\xenon\AppData\Local\Mozilla Firefox\firefox.exe
FRST nie skanuje tej lokalizacji.
Składając to wszystko do kupy - musimy porzucić wszystko i zająć się szerszą diagnostyką.
Sprawdzimy czy w ogóle jest i w jakim stanie klucz Uninstall w rejestrze oraz co jest w folderze Firefox.
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
ExportKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall
ExportKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
Folder: C:\Users\xenon\AppData\Local\Mozilla Firefox
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Jeśli Fixlog będzie za duży (pobieram dane rekursywnie) to proszę wklej jego zawartość na serwis wklej.org i dostarcz link.
-
W systemie widoczne są podejrzane instalacje / przeładowany plik Hosts (blokady tą metodą są niewydajne).
Jeszcze kilka razy wyskakiwała mi strona "z Okupem dla policji" bez uruchomienia mena dźera zadań nie dało się z niej wyjść.
A czy nie uruchamiał się przypadkiem tylko tryb pełnoekranowy? Wystarczyło nacisnąć klawisz F11, by przejść do normalnego okna przeglądarki. Te warianty przeglądarkowe to nie raczej nie jest to samo co Trojan.Weelsof, tylko bardziej reklama w formie straszaka i próby wyłudzenia pieniędzy. Wyczyścimy przeglądarki, po dezynfekcji sugeruję również wyposażyć się w bloker reklam uBlock Origin.
Zostaną posprzątane martwe wpisy, zresetowany plik Hosts oraz wyczyszczone lokalizacje tymczasowe (w tym kosz).
1. Przez Panel Sterownia odinstaluj:
- podejrzany rebrand Reason Core Security, instalowany / przemycany na komputery technikami PUP: ByteFence Anti-Malware.
- program typu PUP: Booking (wydaję mi się, że jest to ten sam twór co Booking.com).
- przestarzały skaner antywirusowy: mks_vir Skaner Online.
CloseProcesses: ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1076910575-1311696119-2683947236-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.windowsxlive.net SearchScopes: HKU\S-1-5-21-1076910575-1311696119-2683947236-1000 -> DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=IMB&o=15785&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^HQ&apn_dtid=^YYYYYY^YY^PL&apn_uid=18C5ADA8-8283-42A6-A585-63EDE80048B5&apn_sauid=1C8A9E17-0C71-4497-B61C-C9964AD7D08D SearchScopes: HKU\S-1-5-21-1076910575-1311696119-2683947236-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=IMB&o=15785&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^HQ&apn_dtid=^YYYYYY^YY^PL&apn_uid=18C5ADA8-8283-42A6-A585-63EDE80048B5&apn_sauid=1C8A9E17-0C71-4497-B61C-C9964AD7D08D Toolbar: HKU\S-1-5-21-1076910575-1311696119-2683947236-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Wyczyść przeglądarkę Google Chrome:
- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Odłącz synchronizację (o ile włączona): KLIK
- Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
- Menu Historia > Wyczyść historię przeglądania.
6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Raporty nie były modyfikowane? Wycięta jest sekcja zainstalowanych programów / przeglądarek.
Jeśli nie to proszę wygenerować raporty ponownie, być może wystąpił po prostu błąd.
-
Cieszę się, że mogłem pomóc!
Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
-
Ad. 2 Nie wiem co rozumieć przez to podsumowanie
Chodzi mi, abyś napisał czy widzisz jakieś niepożądane zachowania / czy coś jeszcze wymaga poprawy z Twojego punktu widzenia.
Po operacjach w pasku powiadomień zaczął pojawiać się Easy Software Manager Agent z dość dziwnym menu pojawiającym się po prawokliku (załączony obraz).
Wcześniej menu wygląda inaczej? Sugeruję zacząć od reinstalacji tego programu (jeśli to nie będzie problemem).
Po przelogowaniu na konto Gość FRST wygenerował następujące logi.
W raportach brak oznak infekcji.
1. Wyczyść przeglądarkę Mozilla FireFox w celu usunięcia ewentualnych śladów:
- Odłącz synchronizację (o ile włączona): KLIK
- Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
- Menu Historia > Wyczyść historię przeglądania.
-
Zadane operacje zostały pomyślnie przeprowadzone.
3. Malwarebytes znalazł 1 Adware i 1009 potencjalnie niebezpiecznych plików
Proszę nie sugerować się ilością detekcji. Właściwie to wszystko odpadki po adware lub instalatory ze zintegrowanym adware / PUP.
Raport Malwarebytes działa rekursywnie, czyli jeśli w zainfekowanym folderze A jest tysiąc plików to każdy plik z osobna liczony jest jako jedno zagrożenie - stąd tak duże liczby.
1. Zagrożenia możesz dać do kasacji (czyli wykonaj ponownie skan i zaznacz opcje Usuń dla wszystkich detekcji). Po tym upewnij się, że następny skan niczego nie wykrywa.
2. Podsumuj jak wygląda sytuacja na tym koncie.
Jeśli będzie w porządku to na koncie Gość wygeneruj zestaw raportów FRST i dostarcz go (ważne jest, aby FRST został uruchomiony jako administrator - opcja ta dostępna jest z prawokliku).
-
Czy wobec nowych załączników zmodyfikować jakikolwiek z elementów skryptu opisanego w poście powyżej?
Nie, powyższe instrukcję są rozpisane dla konta Sylwia. Proszę zalogować się na to konto i wykonać instrukcję.
Załączam logi z konta Gość.
FRST nie został uruchomiony jako administrator, a więc te raporty są bezużyteczne.
Najpierw zajmiemy się kontem Sylwia, a następnie poproszę o raporty z konta Gość i pokieruję jak je wygenerować nie będąc na koncie administratora.
-
Dodam, że logi zostały wygenerowane na głównym koncie (admin), natomiast fake reklama od policji wyskoczyło podczas bycia na koncie Gość. Czy mam wobec tego wygenerować dodatkowe logi z konta gościa czy to nic nie zmieni?
Z raportów wynika, że w systemie istnieją dwa konta:
Sylwia (S-1-5-21-2666340739-2498256653-3035462964-1000 - Administrator - Enabled) => C:\Users\Sylwia Gość (S-1-5-21-2666340739-2498256653-3035462964-501 - Limited - Enabled) => C:\Users\Gość
Wymagany jest osobny komplet raportów z każdego konta. W następnym poście dołącz również logi z konta Gość.
Konto użytkownika: SYLWIA.
Widoczne są komponenty adware i wymagane są doczyszczenia. Przy okazji sprzątam system z resztek po oprogramowaniu (zostaną wyczyszczone również lokalizacje tymczasowe, w tym kosz).
1. Przez Panel Sterowania odinstaluj adware / PUP: Foxy Secure.
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [mbot_pl_71] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
Toolbar: HKU\S-1-5-21-2666340739-2498256653-3035462964-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
Task: {DC8C248D-D001-41DE-92A8-70707ACC2437} - \{F40C0935-8ADB-4188-8E17-6FA1B40A896D} -> Brak pliku
Task: {981CFBA1-9F37-4F1E-9A3F-B3CC8A06CC63} - System32\Tasks\Price Fountain => C:\Users\Sylwia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE
Task: C:\windows\Tasks\Price Fountain.job => C:\Users\Sylwia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE
C:\Users\Sylwia\AppData\Roaming\PRICEF~1
C:\Users\Sylwia\AppData\Local\PriceFountain
C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain\Uninstall PriceFountain.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
Domena, z której pochodzi reklama yzn76n7q
synchronization-required bid error-x048/Firefox/7/ (zamieniłem kropki, aby nikt przypadkowo nie wszedł).
Oznaczyłem stronę jako stawiącą niebezpieczeństwo w usłudze VirusTotal oraz w Google Safe Browsing.
-
Od tego momentu komputer zawsze przy wyłączaniu wyrzuca BSOD (...)
Dostarcz do analizy pliki zrzutu pamięci, w tym celu skopiuj zawartość folderu C:\Windows\Minidump, spakuj ją (np. za pomocą WinRAR), a następnie wstaw na hosting plików (np. na MediaFire).
Widoczna jest instalacja programu Lite, który na liście programów zainstalowanych cechuję się podpisem mail.ru. Podpis ten znany jest z blokowania stron oprogramowania zabezpieczającego / wyświetlania nieporządanych reklam / manipulacjami w obrębie wyszukiwarki.
Integrację sięgają głównie przeglądarek (IE / CHR / FF). Oprócz tego w Harmonogramie zadań widoczny jest fałszywy wpis podszywający się pod Microsoft.
Wszystkim tym będziemy się teraz zajmować, dodatkowo sprzątam system z resztek po oprogramowaniu. Zostaną wyczyszczone również lokalizacje tymczasowe w tym kosz.
1. Przez Panel Sterowania odinstaluj adware / PUP: Lite.
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CloseProcesses: C:\Users\Aviator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lite.lnk C:\Users\Aviator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lite.lnk ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {1B6C90BE-79AB-456C-8B89-63A567BF0C93} - System32\Tasks\{91F4AA38-0612-4C6E-867B-4C153BC66C5F} => C:\Program Files (x86)\OaaEYI.exe [2017-09-29] (Microsoft Corporation) VirusTotal: C:\Program Files (x86)\OaaEYI.exe VirusTotal: C:\Program Files (x86)\OlTGUrsqUeJ.exe AlternateDataStreams: C:\Users\Public\AppData:CSM [470] GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-1144174955-2309524648-3669128592-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-1144174955-2309524648-3669128592-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2D4DB4C8-C20D-4DD3-A9C6-40B63EF18BE2%7D&gp=811142 SearchScopes: HKU\S-1-5-21-1144174955-2309524648-3669128592-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2D4DB4C8-C20D-4DD3-A9C6-40B63EF18BE2%7D&gp=811142 CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx VirusTotal: C:\Users\Aviator\AppData\Local\WMI.ini CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Aviator\AppData\Local CMD: dir /a C:\Users\Aviator\AppData\LocalLow CMD: dir /a C:\Users\Aviator\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Wyczyść przeglądarkę Google Chrome:
- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj Поиск Mail.Ru, Домашняя страница Mail.Ru (o ile wciąż będą) oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia.
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Odłącz synchronizację (o ile włączona): KLIK
- Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
- Menu Historia > Wyczyść historię przeglądania.
6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
Zgłoszenia tematów bez odpowiedzi
w Dział pomocy doraźnej
Opublikowano
Proszę o zgłaszanie wątków, które oczekują wciąż na pomoc. Nie byłem obecny ze względu na moje sprawy prywatne. Powinienem teraz zacząć pomagać.