Skocz do zawartości

Browser Modifier:Win32/SubTab i Istartpageing / Trojan RSCR


Rekomendowane odpowiedzi

Dzień dobry,

 

Wczoraj przy pobieraniu Filezill'i (poprzez jakiś manager pobierania z sourceforge) dostałem monit od Windows Defendera o wykonywanych przez niego czynnościach usuwających zagrożenie, poczym przeglądarki się wyłączyły. Po ponownym uruchomieniu przeglądarki byłem przekierowywany na jakąś dziwną strone Istartpageing. Uruchomiłem więc AdwCleanera i problem zniknął. Po paru godzinach ponownie trzymałem monit od Windows Defendera więc włączyłem skanowanie MBAMem i wykrył on PUP.Optional.InstalCore i jeszcze PUP.Optional.IStartPageing.ChrPRST, 2 tygodnie temu wykrył mi jeszcze Trojan.Agent.RSCR.

 

 

Proszę o pomoc w sprawdzeniu czy system jest zainfekowany jak również o usunięcie niepotrzebnych wpisów i programów, które mogą spowalniać pracę systemu.

 

Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... GMER.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Niestety autor FileZilla się sprzedał i nie reaguje na żadne prośby użytkowników, by rozwiązać partnerstwo ze sponsorami... W przyklejonym kieruję użytkowników na czysty bezpośredni instalator FileZilla, a nie wrapper SourceFore: KLIK.

 

Obecnie w systemie nie widać już żadnych aktywnych elementów adware. A ten odczyt "rootkit" w GMER to fałszywy alarm na tymczasowym sterowniku MBAM:

 

U0 ncxingeu; C:\Windows\System32\drivers\tdojck.sys [79064 2015-12-15] (Malwarebytes)

 

Do przeprowadzenia tylko kosmetyczne działania pod kątem wpisów pustych (w tym odpadków po aktualizacji z Windows 7) oraz czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Brak pliku]
Task: {01FBEA95-2571-459B-9894-5321BC470D50} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {54F629C1-EA74-48A3-9400-546A1CB0BDE9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {6C23790D-0051-4053-9C1B-CDCFC67D7B64} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {809A3E60-D8F5-4691-B1F4-5CA9E325E718} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {837EC922-8FF6-45F3-B53D-818415251E76} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {973497EB-722F-4748-B34E-6BCAD8999B69} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {AA5A57A4-A6E8-49AA-A39B-4559697AD9AE} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
Task: {B0375620-F2D0-422B-A768-772C24F30700} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe
Task: {B0686C4F-96DB-412A-A4E8-3C56942BB6A4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {CA3FF020-A4DB-4144-A4CE-D8108947F731} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {CD61F593-A25C-4ED5-AB5E-F1744167439C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {D44DA883-9391-4387-9CC9-E035841C9452} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {D6C73850-5E20-43E1-A685-3312CBCE9AA0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
U0 ncxingeu; C:\Windows\System32\drivers\tdojck.sys [79064 2015-12-15] (Malwarebytes)
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Magiczne Bloczki 1.0
C:\Users\Sokep\AppData\Local\ACCCx3_4_2_187.zip.aamdownload
C:\Users\Sokep\AppData\Local\ACCCx3_4_2_187.zip.aamdownload.aamd
C:\Users\Sokep\Desktop\Nowy folder\Nowy folder (3)\DSC00103 — skrót.lnk
C:\Users\Sokep\Desktop\wxDev-C++.lnk
C:\Users\Sokep\Downloads\cbmfx.exe
C:\Windows\System32\drivers\tdojck.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. Nowe skany FRST nie są mi potrzebne.

Odnośnik do komentarza

Fix FRST wykonany. Na zakończenie zastosuj DelFix.

 

I zwracam uwagę, że aktualizacja Windows 7 (lub 8) do Windows 10 wyłączyła Przywracanie systemu ze względu na niski próg miejsca na dysku (bodajże wymaganiem jest wolumin 250GB). Miej to na uwadze, i mimo bieżącej niskiej ilości wolnego miejsca sugeruję funkcję włączyć dla partycji C, by mieć wyjście awaryjne na wypadek jakiejś katastrofy.

 

==================== Punkty Przywracania systemu =========================

UWAGA: Przywracanie systemu jest wyłączone

==================== Dyski ================================ 

Drive c: () (Fixed) (Total:117.19 GB) (Free:24.58 GB) NTFS
Drive e: () (Fixed) (Total:106.04 GB) (Free:61.53 GB) NTFS
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...