-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
Jedziemy dalej:
1. W AdwCleaner (po skanie) przeprowadź dezynfekcje z opcji Oczyść. Nie musisz dostarczać raportu.
2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.
-
Przejrzałem te raporty jeszcze raz, nic w nich nie ma. To nie wygląda na reklamy o podłożu infekcyjnym. U siebie (np.: na serialnet.pl) też mam takie reklamy:
-
W raportach widocznych sporo infekcji, instalacji adware / PUP. Od razu przechodzimy do działań:
1. Włącz przywracanie systemu.
2. Przez Panel Sterownia odinstaluj:- Online.io Application
- Traffic Exchange
Dodatkowo wejdź do tych katalogów: C:\Program Files (x86)\UCBrowser, C:\Program Files\żěŃą i spróbuj uruchomić z nich plik deinstalatora (nazwa to będzie coś typu uninstall.exe).
3. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-18\...\Run: [] => 0
ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-01-15] ()
C:\Program Files\żěŃą
HKU\S-1-5-21-4025576816-31018432-1891004371-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrAOqy038KKUuPkN7Jsblii8mKtbeE-Mw-MI4xTQQ0a5MNblKKsmndVX-wbZmf8S94xMm2--tymdeODLPWzkQ7B3sdQZx9HWMVDAFZA3jelIbZ9XRHW0VnVmasn2LyA0nYbB4u6pPudJ71w2SjSBh7OD3goA,,&q={searchTerms}
HKU\S-1-5-21-4025576816-31018432-1891004371-1002\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-4025576816-31018432-1891004371-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
U1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) 2017-01-15 10:52 - 2017-01-15 11:17 - 00003476 _____ C:\WINDOWS\System32\Tasks\UCBrowserSecureUpdater
2017-01-15 10:52 - 2017-01-15 10:55 - 00000486 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
2017-01-15 10:52 - 2017-01-15 10:52 - 00003502 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
2017-01-15 10:52 - 2017-01-15 10:52 - 00001597 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\Users\user\AppData\Local\UCBrowser
2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-01-15 10:51 - 2017-01-15 10:51 - 00092832 _____ (WinMount International Inc) C:\WINDOWS\system32\Drivers\KuaiZipDrive.sys
2017-01-15 10:51 - 2017-01-15 10:51 - 00000884 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
2017-01-15 10:51 - 2017-01-15 10:51 - 00000860 _____ C:\Users\user\Desktop\żěŃą.lnk
2017-01-15 10:51 - 2017-01-15 10:51 - 00000000 ____D C:\Program Files\żěŃą
2017-01-15 10:50 - 2017-01-15 10:50 - 07316480 _____ C:\Users\user\AppData\Roaming\agent.dat
2017-01-15 10:50 - 2017-01-15 10:50 - 01938534 _____ C:\Users\user\AppData\Roaming\Hot-Com.bin
2017-01-15 10:50 - 2017-01-15 10:50 - 01907313 _____ C:\Users\user\AppData\Roaming\Zot-Phase.tst
2017-01-15 10:50 - 2017-01-15 10:50 - 00982016 _____ C:\Users\user\AppData\Roaming\Zot-Phase.exe
2017-01-15 10:50 - 2017-01-15 10:50 - 00982016 _____ C:\Users\user\AppData\Roaming\Tonfan.exe
2017-01-15 10:50 - 2017-01-15 10:50 - 00140288 _____ C:\Users\user\AppData\Roaming\Installer.dat
2017-01-15 10:50 - 2017-01-15 10:50 - 00126464 _____ C:\Users\user\AppData\Roaming\noah.dat
2017-01-15 10:50 - 2017-01-15 10:50 - 00126464 _____ C:\Users\user\AppData\Roaming\lobby.dat
2017-01-15 10:50 - 2017-01-15 10:50 - 00072787 _____ C:\Users\user\AppData\Roaming\Tonfan.tst
2017-01-15 10:50 - 2017-01-15 10:50 - 00070752 _____ C:\Users\user\AppData\Roaming\Config.xml
2017-01-15 10:50 - 2017-01-15 10:50 - 00054272 _____ C:\Users\user\AppData\Roaming\ApplicationHosting.dat
2017-01-15 10:50 - 2017-01-15 10:50 - 00018432 _____ C:\Users\user\AppData\Roaming\Main.dat
2017-01-15 10:50 - 2017-01-15 10:50 - 00016560 _____ C:\Users\user\AppData\Roaming\InstallationConfiguration.xml
2017-01-15 10:50 - 2017-01-15 10:50 - 00005568 _____ C:\Users\user\AppData\Roaming\md.xml
Task: {202D255C-1CFA-4768-BD03-8C2AB63918B1} - System32\Tasks\psv_Dongron => /c regedit.exe /s "C:\ProgramData\Hotfresh\Stronglight.reg" & del "C:\ProgramData\Hotfresh\Stronglight.reg" & SCHTASKS /Delete /TN "psv_Dongron" /F Task: {3B50FBD6-82F1-48E6-9A55-BA186D726C38} - System32\Tasks\psv_Dondincom => /c regedit.exe /s "C:\ProgramData\Hotfresh\Black-Phase.reg" & del "C:\ProgramData\Hotfresh\Black-Phase.reg" & SCHTASKS /Delete /TN "psv_Dondincom" /F Task: {3DE937E6-1DDE-4714-AE2B-CA2B1EAC4ED5} - System32\Tasks\psv_RunTojob => /c regedit.exe /s "C:\ProgramData\Hotfresh\Freshtolight.reg" & del "C:\ProgramData\Hotfresh\Freshtolight.reg" & SCHTASKS /Delete /TN "psv_RunTojob" /F Task: {42404135-7397-4B1F-8680-1CBD913C35A0} - System32\Tasks\psv_Goldentone => /c regedit.exe /s "C:\ProgramData\Hotfresh\Cof-Touch.reg" & del "C:\ProgramData\Hotfresh\Cof-Touch.reg" & SCHTASKS /Delete /TN "psv_Goldentone" /F Task: {5448DC11-3EF6-4CB8-BA7D-AB8ED96461BD} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-11] (UCWeb Inc) Task: {5803BD9B-9037-47DA-A2C5-AD0CBD396A6F} - System32\Tasks\psv_Canity => /c regedit.exe /s "C:\ProgramData\Hotfresh\Fresh-Zap.reg" & del "C:\ProgramData\Hotfresh\Fresh-Zap.reg" & SCHTASKS /Delete /TN "psv_Canity" /F Task: {78AF8A6E-0E7A-487C-BA6F-BE9CC6AA1D9B} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-15] (UC Web Inc.) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\ProgramData\Hotfresh
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
4. Wyczyść przeglądarkę Google Chrome:- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Oba pliki, które były podjęte analizie skasuj ręcznie. Odpowiedz na pkt. 3 mojego poprzedniego postu.
-
Opis problemu z Twojej strony pokrywa się w dużej mierze z tym co ja widzę w raportach, więc opis stanu systemu sobie odpuszczę. Przechodzimy do działań (apropos: czy ustawienie amerykańskich adresów na routerze to Twoje celowe ustawienie? [KLIK / KLIK]).
1. Przez panel sterowania sugeruję odinstalować program Spybot - Search & Destroy, bo to program stary i nierozwijany. Nie zapewnia ochrony przed zagrożeniami z dzisiejszej doby internetu.
2. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-388023396-1302235654-2053244740-1000\...\Run: [AdobeBridge] => [X] ShellExecuteHooks: Brak nazwy - {207C127A-D3FB-11E6-8819-64006A5CFC35} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> Brak pliku HKU\S-1-5-21-388023396-1302235654-2053244740-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCXgX_y1Xh2d2GWvpSyv1wJfXlldhxI8guvGTZT_AiFeWNn49vF3wQytfXi89v0zLhhQ6ptmi_oP2jBSTBupCEeOixehwF4cejx7eRQe5EqGLF0Gm3NS8oUSrpddaN7LCl4_uVvle1GfgI4jkrZjfvQkNk6J&q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = S2 Atizotionstesa; C:\Program Files\Gouther\RgtPrv.dll [X] S2 AxAutoMntSrv; C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [X] S2 StarWindServiceAE; C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X] U3 a0gcejsg; Brak ImagePath U3 ugldqpog; \??\C:\Users\LADYCS~1\AppData\Local\Temp\ugldqpog.sys [X] Task: {A15B77D7-62B8-48E0-958A-6ECE31CFEC59} - System32\Tasks\3a6y8r7 => Rundll32.exe "C:\ProgramData\3a6y8r7\3a6y8r7.dll",ayreb Task: {D86D4A8E-5D42-4A21-BFEC-02D7B78E3B6A} - System32\Tasks\26g79q14j21 => Rundll32.exe "C:\ProgramData\26g79q14j21\26g79q14j21.dll",gqjiez C:\ProgramData\3a6y8r7 C:\ProgramData\26g79q14j21 WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\ladycstar\Desktop\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ladycstar\AppData\Local\Mozilla C:\Users\ladycstar\AppData\Roaming\Mozilla C:\Users\ladycstar\AppData\Roaming\Profiles EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Wyczyść przeglądarkę Google Chrome:
- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
-
Prosiłem tylko o przeprowadzenia skanowania, a nie dezynfekcji w programie AdwCleaner. To dobre narzędzie, ale trzeba z nim uważać. Niech już będzie.
Generalnie wygląda to już o wiele lepiej, teraz poproszę o przeprowadzenie całościowego skanowania systemu za pomocą narzędzia Malwarebytes AntiMalware (widzę tutaj elementy infekcji BRONTOK). Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport.
-
Powtórz działanie jeszcze raz, tym razem całkowicie wyłącz oprogramowanie AVG (to fałszywy alarm).
-
Wszystkie wyniki nadają się do kasacji. Podsumuj obecny stan systemu.
-
W raportach brak oznak infekcji, problem spowodowany jest prawdopodobnie ostatnimi wydarzeniami (czytaj dół posta).
Witam, od jakiegos czasu niektorzy moi znajomi (z listy kontaktow) dostaja ode mnie maile, ktorych nigdy nie wyslalam. Sama rowniez od czasu do czasu dostaje takowe. Pierwsza czesc adresu nadawcy to nazwa mojego adresu mailowego, ale domena jest juz inna, (czesc nazwy nastepujaca po @). Moj email jest na yahoo.co.uk i wiem, ze jakis czas temu Yahoo mialo problemy z "security", przeciekiem danych z bazy uzytkownikow.
Forma przeszła jest nieadekwatna. Yahoo ma nadal poważne problemy z bezpieczeństwem kont użytkowników (i to nie jest pierwsza taka sytuacja w ich historii). Wyciekło przeszło miliard danych kont - to największa taka kradzież w historii (KLIK).
Stanowczo sugeruję kompleksową kasacja konta usług Yahoo i założenie sobie poczty gdzie indziej. Polecam rozwiązanie Gmail. Znajomym poleć to samo, ewentualnie "każ" im zablokować otrzymywanie wiadomości od owego adresu.
P.S: Skasuj: C:\ProgramData\fontcacheev1.dat -
Raportów nie posiadam, gdyż usunąłem oba programy, gdy niczego nie wykryły.
Rozumiem, ale raport Windows Defender masz na pewno w zakładce Historia.
1. W HitmanPro usuwasz wszystkie detekcje (z wyjątkiem FRST, więc pomijasz całą sekcje Suspicious files). Raportu z dezynfekcji dostarczać nie musisz.
2. Sprawdź poniższe pliki w usłudze VirusTotal.com i dostarcz link prowadzący do analizy.
C:\WINDOWS\SECOH-QAD.exe
C:\WINDOWS\SECOH-QAD.dll
3. Poobserwuj czy komunikaty wyskakują nadal
-
OK, jeśli będzie występował na dal to temat przeniosę do działu Sieci.
-
Korzystasz z oprogramowania SpyHunter, a to delikatnie mówiąc program o bardzo wątpliwej reputacji. Cytuję z tematu picasso:
SpyHunter - Skaner wątpliwej reputacji bardzo silnie forsowany w wynikach Google i stosujący techniki manipulacji skłaniające do instalacji. Na Google cała masa wysoko pozycjonowanych opisów "usuwania malware" skonstruowanych w taki sposób, by pobrać SpyHunter jako cudowny darmowy lek na daną infekcję. Po instalacji okazuje się, że jest to program płatny. Niestety SpyHunter raczej nie jest wykrywany i usuwany, gdyż każde takie podejście kończy się sprawą w sądzie - przykład z AdwCleaner.
Jeśli Ty zechcesz się go pozbyć to odinstalujesz go z poziomu panelu sterowania (jeśli będę problemy, a mogą być bo instalacja wygląda na uszkodzoną to zastosujesz program SpyHunterCleaner). Żeby było jasne: to Twoja decyzja, ja nic nie sugeruję.
System jest zainfekowany przez nowoczesne (jak i nie) adware. Widzę również elementy infekcji BRONTOK. Od razu przechodzimy do działań.
1. Wejdź do poniżej wymiennych katalogów i spróbuj z ich poziomu uruchomić deinstalator (pliku uninstall.exe).
C:\Program Files (x86)\UCBrowser
C:\Program Files\żěŃą
2. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
ShellExecuteHooks: Brak nazwy - {C5E9BD50-D3FB-11E6-9B39-64006A5CFC35} - C:\Users\Pryta\AppData\Roaming\Jaesywacuk\Ratether.dll -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku
BootExecute: autocheck autochk * sh4native Sh4Removal
GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X]
S4 MSSQLServerADHelper; "C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqladhlp90.exe" [X]
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X]
U0 aswVmm; Brak ImagePath
S2 ATE_PROCMON; \??\C:\Program Files (x86)\Anti Trojan Elite\ATEPMon.sys [X]
S0 b06bdrv; System32\drivers\bxvbda.sys [X]
U3 idsvc; Brak ImagePath
2017-01-13 16:14 - 2017-01-13 16:14 - 0140288 _____ () C:\Users\Pryta\AppData\Roaming\Installer.dat
2017-01-13 16:15 - 2017-01-13 16:15 - 0018432 _____ () C:\Users\Pryta\AppData\Roaming\Main.dat
Task: {158FAEEE-3658-4E40-89DB-EBB39C21513B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {4031543A-16BF-4565-932A-42347CA60E66} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {48E12151-4E60-47CE-9764-351965FFD1B1} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {5726270D-24B0-4EB7-8234-FDC5DA049DD7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {60247F35-FA52-4E85-BEFE-E7BF4696908B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {7656A53C-9444-40F1-B721-9E8F481A5140} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {9075CEED-D6EC-4473-A438-45165AA3B4E6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {91D85B07-ED99-43A4-8784-6360ACDAE4A6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {95915DCA-D28E-4F09-BAC9-BBA12C283471} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe Task: {9A07D37A-3BEF-4687-A824-2C314BBFADD8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {AF468194-9394-455D-B97E-56E6C88B03C5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {B9345462-2825-4EF3-805C-18B53E804B87} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BB10524F-1AD5-4B75-8142-B23834CF447C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {C7BC5D33-2389-48AD-A657-85A3E6426143} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D980B7EA-DC49-4E88-BA51-92D884221E14} - System32\Tasks\PrytaPauperismDenaturationV2 => Rundll32.exe OstentationPyrethrin.dll,main 7 1 Task: {F3497017-D3AA-429D-971E-E7F04D1C3238} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\AirMirror (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=macmgoeeggnlnmpiojbcniblabkdjphe
ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Cut the Rope (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=jfbadlndcminbkfojhlimnkgaackjmdo
ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=knipolnnllmklapflnccelgolnpehhpl
ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->
ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->
ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Piotrek18 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Piotrek - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\SpyHunter4.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\Óäŕëčňü SpyHunter4.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2005\Configuration Tools\SQL Server Error and Usage Reporting.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2005\Configuration Tools\SQL Server Surface Area Configuration.lnk
C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk
C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Program Files (x86)\UCBrowser
C:\Program Files\żěŃą
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Profil w przeglądarce Google Chrome ChromeDefaultData jest zidentyfikowany już od dawna jako prefabrykowana modyfikacja adware. Działania: kasacja profilu, założenie czystego.
Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile.
4. Zrób raport z narzędzia AdwCleaner z opcji Skanuj (chcę sprawdzić czy na pewno już nic nie widzi). Dostarcz ten raport.
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
W raportach brak oznak infekcji, w spoilerze głównie sprzątanie resztek po adware / PUP.
Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: E:\Gry\pioneer\Wizzard\detour.dll => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku GroupPolicy: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [152] C:\Users\Piotrek\AppData\Local\Microsoft\Windows\GameExplorer\{46279500-1EBB-4A7C-8A3E-D4B6BE8F52CB}\PlayTasks\0\Zagraj.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Piotrek\AppData\Local\Mozilla C:\Users\Piotrek\AppData\Roaming\Mozilla C:\Users\Piotrek\AppData\Roaming\Profiles Hosts: EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt).
-
Wszystkie (a to dziwne, bo przecież AdwCleaner je wywalił).
-
HitmanPro nie wykrył żadnej infekcji, w FRST również (jak już wcześniej wspomniałem) żadnej nie widzę.
Nie mam pomysłu na to spróbuj zresetować router i poobserwuj. -
Wszystko wygląda już o wiele lepiej. Co do incydentu z pocztą to dobrze, że o tym napisałeś - sprawdzę to.
1. Skasuj: C:\Users\Gosia\AppData\Roaming\KuaiZip
2. Przeskanuj całościowo system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.
-
Windows defender wykrywa owe zagrożenie, ale inne programy już nie...
Zagrożenia, które zostały wykryte przez Windows Defender usuń.
Po tym działaniu dostarcz screen z zakładki Historia (z widokiem na ścieżki zagrożeń).
Dostarcz również raporty ze skanowania programami Malwarebytes oraz AdwCleaner (narzędzie TDSSKiller użyte bezpodstawnie, bo przecież tutaj nie ma żadnej infekcji rootkit).
W systemie faktycznie widoczne infekcje, bez zwlekania przechodzimy do działań.
1. Włącz przywracanie systemu.
2. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: IFEO\OSPPSVC.EXE: [Debugger] KMS-R@1nhook.exe U3 idsvc; Brak ImagePath S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] S2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-06-03] () [brak podpisu cyfrowego] 2016-07-09 10:43 - 2016-07-09 10:43 - 6870016 _____ () C:\Users\Xantyr\AppData\Roaming\agent.dat 2016-07-09 10:43 - 2016-07-09 10:43 - 0128512 _____ () C:\Users\Xantyr\AppData\Roaming\Installer.dat 2016-07-09 10:43 - 2016-07-09 10:43 - 0018432 _____ () C:\Users\Xantyr\AppData\Roaming\Main.dat C:\Windows\Tasks\{2E72A83C-59C0-E2BC-FD74-11C89002AE7F}.job Task: {2ACEFA9A-4C53-43F0-A9CA-9CCBD2A04D74} - \AutoPico Daily Restart -> Brak pliku Task: {306B8F2A-7AC7-4824-9D7D-95F01617651F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {401F9A89-2B52-48DD-8130-0D5ADD372AD3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {4F62D0A4-811C-4219-8149-B86A0CC0784E} - System32\Tasks\{2E72A83C-59C0-E2BC-FD74-11C89002AE7F} => C:\Users\Xantyr\AppData\Roaming\{2E72A~1\PRICEF~1.EXE Task: {52985967-A27A-4ABC-8FCB-F5BDA1819A91} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {5C476A51-9814-472F-BFBA-4E989655883C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {A1FC7072-9562-42B0-9309-5F050799CDB0} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {BFE1742A-A34A-4FDE-831E-C0F3B930E6CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D9BA2E95-CBA9-43DB-AB47-23FCEF85F444} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {DD5C6861-9413-44C4-BE16-AECD6D731810} - System32\Tasks\XantyrBicepsHymnedV2 => Rundll32.exe ScuttledIrrigating.dll,main 7 1 Task: {DE51687B-57F5-4C5C-A22E-515A9127D979} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {EA072DB7-1184-4A9C-9425-FEC7F618D78C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku FirewallRules: [{517819FA-5458-4513-940B-2B6B8F64D707}] => C:\Windows\KMS-R@1n.exe FirewallRules: [{1857A4D9-7D98-4161-94B5-1633353533FE}] => C:\Windows\KMS-R@1n.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk C:\Users\Xantyr\Desktop\Nowy folder\JDownloader 2.lnk C:\Users\Xantyr\Desktop\Nowy folder\LOL Recorder.lnk C:\Users\Xantyr\Desktop\Nowy folder\rafon — skrót.lnk C:\Users\Xantyr\Desktop\Nowy folder\Terraria.lnk EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Przeprowadź skanowanie za pomocą programu HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
W raportach brak oznak infekcji, w spoilerze poprawki.
Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [FAStartup] => [X] ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku GroupPolicy: Ograniczenia S3 Disc Soft Lite Bus Service; "C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe" [X] S4 sptd2; System32\Drivers\sptd2.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Bartlomiej\AppData\Local\Mozilla C:\Users\Bartlomiej\AppData\Roaming\Mozilla C:\Users\Bartlomiej\AppData\Roaming\Profiles EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać nowych logów, ani reportu wynikowego (pliku Fixlog.txt). To tyle..
-
W raportach brak oznak infekcji, system jest w dobrej kondycji. Występowanie reklam w tej dobie internetu jest niestety, zwykłą codziennością, coraz trudniej to w całości blokować.
W przeglądarkach proponuje zmienić bloker reklam z AdBlock na uBlock Origin, ten drugi jest wg mnie znacznie lepszy.
W FireFox bieżącą wyszukiwarką jest Ask, która za pewne domyślna nie jest.
Otwórz FireFox > Opcje > Wyszukiwanie > skasuj wszystko z wyjątkiem Google.
-
Nie dołączyłeś raportu wynikowego ze skanu AdwCleaner (patrz pkt. 2 mojego pierwszego posta).
-
Zrobię to o co prosiłeś i jak będę mieć jeszcze jakieś problemy to się zgłoszę
OK.
-
1. Przeprowadź jeszcze raz skanowanie w programie AdwCleaner, ale po nim wybierz opcję Oczyść. Dostarcz raport z tego działania.
2. Zaloguj się do routera:
- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
3. Otwórz Notatnik i wklej w nim:
CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{A0CDF8C2-1F24-48E7-999B-BE0B389EC666}: [NameServer] 188.120.241.135,8.8.8.8 NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {20B3B3F3-AEF9-4A29-BC0A-6D80579DEE45} - System32\Tasks\Havuphatecercult Verfier => C:\Program Files (x86)\Clutiph\befeck.exe C:\Program Files (x86)\Clutiph CMD: ipconfig /flushdns EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Problem - usunięcie UCGuard z Win 10
w Dział pomocy doraźnej
Opublikowano
Wszystkie wykryte zagrożenia możesz usunąć (na szczęście brak detekcji BRONTOKA). Podsumuj obecny stan systemu.