Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zainfekowany system, pocięte zdjęcia, przerywające się filmy

Hemrand

Przez Hemrand
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Hemrand

Hemrand

Opublikowano
Opublikowano

Witam. Mam następujący problem. Gdy odwiedzam jakiekolwiek strony internetowe to często widzę pocięte zdjęcia. Wszystkie filmy oprócz YOUTUBE przerywają odtwarzanie. Niestety nie jestem sam w stanie tego usunąć za pomocą programów antywirusowych. Prosiłbym o pomoc
Logi z OTL są w załączniku
Tak po za tym, może ktoś powiedzieć jak ustrzec się przed tymi wirusami? Avast nic nie wykrywa, a ja nie ściągam żadnych podejrzanych plików. Skąd to się bierze? ;/

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Brak widocznych oznak infekcji w rozumieniu trojanów czy wirusów, ale jest w systemie niepożądany program typu PUP, czyli Yet Another Cleaner!. Program ten może mieć negatywne skutki, gdyż ładuje się przy udziale zestawu usług/sterowników. Niemniej tu równie dobrze podejrzanym dla opisywanych efektów może być avast! Internet Security. Wstępnie pozbądź się tego lewego YAC i zobaczymy co się stanie:

 

1. Przez Panel sterowania odinstaluj Yet Another Cleaner!.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
R3 TRIXX; \??\C:\Users\petik1\AppData\Local\Temp\TRIXX.sys [X]
S3 X6va022; \??\C:\Windows\SysWOW64\Drivers\X6va022 [X]
S3 X6va025; \??\C:\Windows\SysWOW64\Drivers\X6va025 [X]
Task: {EBB1E46D-4E8D-45D0-8014-7DA5269D30F7} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe 
FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File
C:\Program Files\Enigma Software Group
C:\ProgramData\STOPzilla!
C:\Users\petik1\Desktop\Sync Folder.lnk
C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP
C:\Windows\system32\Drivers\kgpcpy.cfg
C:\Windows\SysWOW64\Drivers\kgpfr2.cfg
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakieś zmiany.

 

 

 

.

Odnośnik do komentarza
Hemrand

Hemrand

Opublikowano
  • Autor
Opublikowano

Więc, usunąłem ten program (który zresztą pomógł mi usunąć robaka który przy otwieraniu nowej strony otwierał dodatkowe okno z reklamą) i jak na razie wszystko wskazuje na to że problem znikł :). Dziękuje
Dołączam jeszcze wspomniane logi
Dlaczego Avast też może być podejrzanym program? Nie znam innego dobrego antyvira freewave

Fixlog.txt

FRST.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Dlaczego Avast też może być podejrzanym program? Nie znam innego dobrego antyvira freewave

Po pierwsze: w systemie jest zainstalowana płatna wersja avast! Internet Security a nie darmowy avast! Free Antivirus. Z Twojej listy zainstalowanych:

 

==================== Installed Programs ======================
 

avast! Internet Security (HKLM-x32\...\Avast) (Version: 9.0.2021 - AVAST Software)

 

Porównanie różnic między edycjami: KLIK. Tu obecny pakiet to nie jest tylko antywirus, jest tu też conajmniej firewall. I program nie jest darmowy.

 

Po drugie: tu nie chodziło o kontekst "podejrzany" = "związany z niechcianą instalacją", tylko o to że każdy program zabezpieczający, który ingeruje w układ sieci (wbudowana zapora, filtrowanie stron www), może być odpowiedzialny za problemy z ładowaniem stron, a sprawa jest zależna od unikatowej konfiguracji użytkownika i innych specyficznych czynników (u kogoś może nie być problemu, u kogoś wręcz przeciwnie). Było na forum multum przykładów tego rodzaju, nie patrząc daleko ostatni przykład z BitDefender blokującym przeglądarki: KLIK. Avast Internet Security to jest potężny pakiet i mocno ingeruje w funkcjonowanie sieci.

U Ciebie wyszło na to, że to jednak YAC był problemem, ale przed uzyskaniem dowodu Avast także był podejrzany.

 

 

usunąłem ten program (który zresztą pomógł mi usunąć robaka który przy otwieraniu nowej strony otwierał dodatkowe okno z reklamą) i jak na razie wszystko wskazuje na to że problem znikł

Znacznik "UWAGA" w FRST jest nie bez powodu (program zgłoszony do detekcji):

 

==================== Installed Programs ======================
 

Yet Another Cleaner! (HKLM-x32\...\iSafe) (Version: - ELEX DO BRASIL PARTICIPAÇÕES LTDA) 
 

Może i Ci pomógł na krótki dystans, ale jest to podejrzana instalacja, której należy unikać. Podkreślam: to wątpliwy program o niejasnym charakterze, namolnie reklamowany jako usuwacz infekcji A lub B, przy czym on sam jest związany z infekcjami, tzn. może być instalowany wspólnie z hijackerami skrótów (co sugeruje działanie pokazowe typu instalacja infekcji i jednocześnie jej usuwacza, by przekonać do jego używania). Spójrz na przykładowe strony domowe znanych infekcji przejmujących skróty przeglądarek nationzoom.com (hxxp://nationzoom.com/uninstall.html) lub qvo6.com (hxxp://qvo6.com/uninstall.html) i co jest w nagłówku owych stron. Cóż, reklama YAC. To nie jest przypadek, że instalacje adware na swojej własnej stronie deinstalacji pozwalają na reklamę takiego programu, mają w tym jakiś interes, a grupy muszą być powiązane ze sobą. Dlaczego nie ma tam reklamy programów o ustalonej reputacji, które rzeczywiście usuwają te infekcje?
 

YAC jest wykrywany przez AdwCleaner jako instalacja PUP. Na przyszłość: AdwCleaner + Malwarebytes Anti-Malware służą do rozwiązywania omawianych problemów, nie YAC czy SpyHunter (kolejny wątpliwy program, który używałeś). Ponadto, na co należy uważać i skąd nie pobierać: KLIK.
 
 

[hr]

Akcje pomyślnie wykonane. Jeszcze poprawki na szczątki YAC. Otwórz Notatnik i wklej w nim:
 


RemoveDirectory: C:\Users\petik1\AppData\Roaming\eCyber
RemoveDirectory: C:\Users\petik1\AppData\Roaming\iSafe
RemoveDirectory: C:\Users\petik1\Downloads\FRST-OlderVersion
DeleteQuarantine:
CMD: del /q C:\Windows\system32\Drivers\iSafeKrnlBoot.sys
CMD: del /q C:\Users\petik1\Downloads\wb7euxte.exe
 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. SDostarcz wynikowy fixlog.txt.
 
 
 
 

.
Odnośnik do komentarza
Hemrand

Hemrand

Opublikowano
  • Autor
Opublikowano

Wszystkie trzy kroki zrobione

 

# DelFix v10.8 - Logfile created 24/09/2014 at 15:29:48

# Updated 29/07/2014 by Xplode

# Username : petik1 - PETIK

# Operating System : Windows 8.1 Pro with Media Center  (64 bits)

 

~ Removing disinfection tools ...

 

Deleted : C:\FRST

Deleted : C:\Users\petik1\Downloads\Fixlog.txt

Deleted : C:\Users\petik1\Downloads\FRST.txt

Deleted : C:\Users\petik1\Downloads\FRST64.exe

Deleted : C:\Users\petik1\Downloads\OTL.Txt

Deleted : C:\Users\petik1\Downloads\OTL.exe

Deleted : HKLM\SOFTWARE\OldTimer Tools

 

########## - EOF - ##########

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...