Niecodzienny Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Eset co chwile wywala mi komunikat o tym, ze svchost.exe jest zainfekowany win32. trojan downloader Wauchos.M Addition.txt checkup.txt Extras.Txt FRST.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 W kwestii konfiguracji FRST: opcje "Drivers MD5" + "List BCD" nie miały być zaznaczone. Są tu dwie infekcje: podrobiony wpis "sidebar" oraz sfałszowane "Google". Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer\Run: [2139] - C:\ProgramData\Local Settings\Temp\msyiaov.com [866632 2009-07-14] ( (Google Inc.)) HKU\S-1-5-21-1330102789-1859539255-693781278-1000\...\RunOnce: [sidebar] - C:\Users\Edyta\AppData\Roaming\Sample.lnk [927 2014-02-06] Task: {381B69BA-1329-416A-B54B-2294DF35AB67} - System32\Tasks\TunnelBear => C:\Program Files (x86)\TunnelBear\TBear.Client.exe S3 X6va015; \??\C:\Windows\SysWOW64\Drivers\X6va015 [X] S3 X6va016; \??\C:\Windows\SysWOW64\Drivers\X6va016 [X] C:\ProgramData\Local Settings C:\Users\Edyta\AppData\Roaming\Sample.lnk C:\Users\Edyta\AppData\Roaming\DataWork C:\ProgramData\Spybot - Search & Destroy C:\Program Files (x86)\Spybot - Search & Destroy CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Oczywiście odpowiadasz mi w nowym poście, nie edytuj wstecznie pierwszego. . Odnośnik do komentarza
Niecodzienny Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Program TunnelBear to program do zmiany IP. Ale wykonam. Coraz gorzej jest :/ http://scr.hu/1e0i/zsuqc Extras.Txt OTL.Txt Odnośnik do komentarza
Niecodzienny Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Po reboocie kompa zaczely mi wyskakiwac errory ponad 15, pare mam : Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Nie prosiłam Cię o logi z OTL, prosiłam o raport z FRST po wykonaniu zadań. I zaznacz ponownie pole Addition, by powstały dwa logi, bo: Po reboocie kompa zaczely mi wyskakiwac errory ponad 15 W istocie to jeden i ten sam błąd. Komunikat mówi, że jest ładowany metodą AppInit_DLLs wadliwy plik C:\PROGRA~2\WS_X64~1.ENA (= C:\Program Files (x86)\WS_x64.Enabler). To szkodliwy moduł, bo się załatwiłeś ponownie jakimś trefnym instalatorem. Ja Ci tu usuwam infekcję, a Ty w międzyczasie załadowałeś adware. Zajmę się tym, ale czekam na nowe logi FRST. Program TunnelBear to program do zmiany IP. Ale wykonam. Wiem co to za program, a przetwarzam ten wpis Harmonogramu zadań, bo jest pusty (brak pliku na dysku). Na dodatek TunnelBear nie widnieje w ogóle na liście zainstalowanych. . Odnośnik do komentarza
Niecodzienny Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Uratuj mi kompa ;D pol miesiaca temu robilem system, fakt wczesniej sciagnalem pliki do gry a w tej instalce siedzialo jakies gowno :/ Raport masz wyzej Addition.txt frst.txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Poprzednie infekcje pomyślnie usunięte. Teraz adresuję usuwanie nowego adware. Wygląda na to, że załatwiłeś się tym oto plikiem (będę go oczywiście usuwać, bo to wrapper adware a nie prawidłowa instalka): 2014-02-06 13:04 - 2014-02-06 13:04 - 00340776 _____ (SetApp) C:\Users\Edyta\Downloads\TandemMod_TrailerPack1.8.1.rar.exe 1. Otwórz Notatnik i wklej w nim: AppInit_DLLs: C:\PROGRA~2\WS_X64~1.ENA => C:\Program Files (x86)\WS_x64.Enabler [4241408 2014-02-06] () S2 1a34a8e0; C:\Program Files (x86)\WSSvc.dll [175952 2014-02-06] () BHO: SNT - {2F6CA9D3-23CA-C4E7-FCB1-53230630309C} - C:\Program Files (x86)\SNT\CrzTcWh.x64.dll () BHO: YoutubeAdblocker - {53478B71-B85D-296D-D956-CCB3B79B3C25} - C:\Program Files (x86)\YoutubeAdblocker\nNnjGM7Xb.x64.dll () BHO: greeatsavaerr - {68D6A6AC-6CBB-DAA4-23B5-33413534A2FF} - C:\Program Files (x86)\greeatsavaerr\_kLK.x64.dll () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.webisgreat.info/?pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.webisgreat.info/?pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 SearchScopes: HKLM-x32 - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 SearchScopes: HKCU - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 C:\Users\Edyta\AppData\Local\Comodo C:\Users\Edyta\AppData\Local\Packages C:\Users\Edyta\AppData\Local\Torch C:\Users\Edyta\Downloads\TandemMod_TrailerPack1.8.1.rar.exe C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ CMD: copy "C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Preferences" C:\Users\Edyta\Desktop Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: greeatsavaerr, SNT, WS.Enabler, WS.Supporter 1.80, YoutubeAdblocker (2 pozycje). 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj YoutubeAdblocker i co tam jeszcze podejrzanego widać (prawdopodobnie jest greeatsavaerr lub SNT, ale Preferences Google jest pomieszany i trudno odczytać). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. Ponadto, na Pulpicie utworzyłam plik Preferences, shostuj go gdzieś i wyślij link do niego na PW. . Odnośnik do komentarza
Niecodzienny Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 W.S supporter 1.80 Nie moge usunac z panelu. Wystapuje blad "C:\PROGRA~2\WSBEB1~1.ENA YoutubeAddBlocker nie moge usunac z rozszerzen Google Chrome. Nie posiadam praw do usuniecie. Zainstalowane na podstawie zasad przedsiebiorstwa. Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt frst.txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Większość zadań wykonana, adware nie jest już aktywne, ale jeszcze mamy co usuwać, w tym likwidacja dwóch zgłoszonych problemów: W.S supporter 1.80 Nie moge usunas z panelu. Wystapuje blad "C:\PROGRA~2\WSBEB1~1.ENA Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > jeśli widać ten wpis na liście, to go zaznacz i przejdź Dalej. Jeśli jednak wpis nie będzie widoczny, siłowo ręcznie go usunę, ale to zadam potem, gdyż na razie pobieram dane: YoutubeAddBlocker nie moge usunac z rozszerzen chrome. Nie posiadam praw do usuniecie. Zainstalowane na podstawie zasad przedsiebiorstwa. Oprócz tego delikwenta jest jeszcze jeden dziwny wpis w Preferences, bez nazwy (log FRST błędnie asygnuje nazwę "AdBlock"). Zanim zajmę się brutalnym usuwaniem owych rozszerzeń, podaj mi jeszcze dodatkowe dane: 1. Uruchom SystemLook x64, w oknie wklej: :regfind kfmbpbaailakonbmgchpniebcgeeofem nlcnobjgnhecnhblhnfidfhfpdogjknj :folderfind kfmbpbaailakonbmgchpniebcgeeofem nlcnobjgnhecnhblhnfidfhfpdogjknj Klik w Look. Doczep jako załącznik wynikowy log. 2. Przekopiuj na Pulpit cały folder tego dziwnego rozszerzenia bez nazwy C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfmbpbaailakonbmgchpniebcgeeofem, zapakuj, shostuj gdzieś i na PW prześlij link. Po uzyskaniu tych danych wykończę wszystko z dysku za jednym zamachem. . Odnośnik do komentarza
Niecodzienny Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Tak jak pisalas. Nawet w deinstalce microsoftu nie bylo WS Supporter 1.80. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 To drugie lewe rozszerzenie Google Chrome nazwa się YTBooakkMArK. Kolejna porcja akcji: 1. Otwórz Notatnik i wklej w nim: C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfmbpbaailakonbmgchpniebcgeeofem C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlcnobjgnhecnhblhnfidfhfpdogjknj C:\Users\Edyta\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\kfmbpbaailakonbmgchpniebcgeeofem C:\Program Files (x86)\greeatsavaerr C:\Program Files (x86)\SNT C:\Program Files (x86)\WS_x64.Enabler C:\Program Files (x86)\WSSvc.dll C:\Program Files (x86)\YoutubeAdblocker C:\ProgramData\641570adfc443e4d C:\ProgramData\greeatsavaerr C:\ProgramData\InstallMate C:\ProgramData\SetApp C:\ProgramData\SNT C:\ProgramData\YoutubeAdblocker Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{1a34a8e0} /f Tak jak poprzednio: zapisz pod nazwą fixlist.txt w tym samym folderze, gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 2. Ponownie w Google Chrome: Ustawienia > Pokaż ustawienia zaawansowane > Zresetuj ustawienia przeglądarki. 3. Ponownie uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition) + SystemLook na poniższe warunki: :regfind {5F189DF5-2D05-472B-9091-84D9848AE48B}{1a34a8e0} YoutubeAdblocker WS.Enabler WS.Supporter Dołącz plik fixlog.txt. Podsumuj czy te oporne elementy na pewno zniknęły z list deinstalacji programów + rozszerzeń Google Chrome i czy są jeszcze jakieś widoczne problemy. . Odnośnik do komentarza
Niecodzienny Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 A wiec tak. Rozszerzenie YoutubeAdblocker nie zniknelo i nie da sie go nadal usunac. Z panelu deinstalacji zniknal WS Supporter 1.80. Fixlog.txt SystemLook.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Rozszerzenie YT Blocker nie zniknelo i nie da sie go nadal usunac. Hmmm, w ogóle nie widzę w logu żadnych złych rozszerzeń... W Google Chrome w karcie Rozszerzenia zaznacz opcję "Tryb programisty" i zrób zrzut ekranu pokazujący to rozszerzenie. Poza tym, skopiuj ten plik ntuser.pol oraz foldery na Pulpit: 2014-02-06 13:06 - 2014-02-06 13:06 - 00000266 __RSH () C:\ProgramData\ntuser.pol 2014-02-06 13:06 - 2009-07-14 04:20 - 00000000 ___HD () C:\Windows\system32\GroupPolicy 2014-02-06 13:06 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\SysWOW64\GroupPolicy 2014-02-06 13:05 - 2014-01-02 14:57 - 00000000 ____D () C:\Users\Edyta\AppData\Local\Google Wszystko do ZIP i prześlij link do tego. Z panelu deinstalacji zniknal WS Supporter 1.80. Jeszcze poprawki. Zrób nowy fixlist.txt o zawartości: Reg: reg delete HKLM\SOFTWARE\Classes\YoutubeAdblocker.YoutubeAdblocker /f Reg: reg delete HKLM\SOFTWARE\Classes\YoutubeAdblocker.YoutubeAdblocker.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{53478B71-B85D-296D-D956-CCB3B79B3C25} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\WS.Enabler /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\{77D46E27-0E41-4478-87A6-AABE6FBCF252} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\{5F189DF5-2D05-472B-9091-84D9848AE48B} /f Uruchom FRST i kliknij w Fix. Podaj końcowy fixlog.txt. . Odnośnik do komentarza
Niecodzienny Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 SS programisty z rozszerzen: Nie wrzuce plikow z "C:\Users\Edyta\AppData\Local\Google" dlatego, ze folder wazy dokladnie 999 mb Link z reszta wysylam na PW Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 8 Lutego 2014 Zgłoś Udostępnij Opublikowano 8 Lutego 2014 Dzięki za paczkę. Problem rekonstrukcji rozszerzenia YoutubeAdblocker jest zlokalizowany w politykach, plik trzymający ich stan C:\Windows\system32\GroupPolicy\Machine\Registry.pol ma następującą zawartość: PReg [ S o f t w a r e \ P o l i c i e s \ G o o g l e \ C h r o m e \ E x t e n s i o n I n s t a l l F o r c e l i s t ; 1 ; ; 4 ; n l c n o b j g n h e c n h b l h n f i d f h f p d o g j k n j ; f i l e : / / / C : / P r o g r a m D a t a / Y o u t u b e A d b l o c k e r / n l c n o b j g n h e c n h b l h n f i d f h f p d o g j k n j / n l c n o b j g n h e c n h b l h n f i d f h f p d o g j k n j . c r x . u p d a t e . x m l ] Kolena porcja zadań: 1. Zamknij Google Chrome. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}" /f C:\Windows\system32\GroupPolicy\Machine C:\Windows\system32\GroupPolicy\User C:\Windows\system32\GroupPolicy\gpt.ini C:\Windows\SysWOW64\GroupPolicy\gpt.ini C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlcnobjgnhecnhblhnfidfhfpdogjknj Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie fixlog.txt. 2. Zresetuj system. Otwórz Google Chrome i sprawdź czy YoutubeAdblocker się ulotnił. Dostarcz fixlog.txt. . Odnośnik do komentarza
Niecodzienny Opublikowano 8 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 8 Lutego 2014 Poprawilem i faktycznie usunelo sie. Podaje Fixlog. Mogla bys sprawdzic mi kompa z z OTL czy nie mam jakis innych zbednych smieci i w ogole wszystkiego zbednego Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 8 Lutego 2014 Zgłoś Udostępnij Opublikowano 8 Lutego 2014 Czyli kończymy: 1. Porządki po narzędziach. Przez SHIFT+DEL (omija Kosz) skasuj FRST i foldery: C:\FRST C:\Users\Edyta\Desktop\FRST-OlderVersion W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Na koniec jeszcze raz uruchom TFC - Temp Cleaner. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek (piję do trojanów z pierwszego podejścia) zmień hasła logowania w serwisach. Mogla bys sprawdzic mi kompa z z OTL czy nie mam jakis innych zbednych smieci i w ogole wszystkiego zbednego Nie rozumiem. O którym "kompie" mowa (tym? innym?). Jeśli tym: to już temat zanalizowany. Jeśli innym: przypominam, że OTL to jedynie część zestawu i obowiązkowe są także raporty z FRST. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się