anagram1928 Opublikowano 20 Grudnia 2015 Zgłoś Udostępnij Opublikowano 20 Grudnia 2015 Witam, Mam piekielnie dziwną infekcje, której nie wykrywa ani Kaspersky ani Malwerebytes. Z początku myślałem, że nastąpiła jakaś podmiana w pliku hosts, ale to nie to. Otóż jak korzystam z google.pl to pierwsze co się rzuca w oczy to certyfikat na czerwono. Wyszukiwarka działa w taki sposób jakby podrzucała mi tylko wyniki z zza granicy (USA?) Jak wpiszę cokolwiek to nie mogę przejść do wiadomości czy grafika (pokazuje się wszystko po angielsku) Próbowałem już wszystkiego, czas na logi. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 20 Grudnia 2015 Zgłoś Udostępnij Opublikowano 20 Grudnia 2015 Jest tu infekcja zaimplementowana na poziomie Harmonogramu zadań. Infekcja ta ładuje w kółko proxy. Task: {A2000C2B-2438-4042-9FB2-6A8DEF2F20B3} - System32\Tasks\KMSpico Update => Wscript.exe //nologo //B //E:jscript "C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini" Task: C:\Windows\Tasks\KMSpico Update.job => Wscript.exe Q/nologo /B /E:jscript C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini AutoConfigURL: [s-1-5-21-2326997545-1421444568-3186752591-1001] => hxxp://xn--koa.net/proxy.pac Referencje nazewnicze "KMSpico" i konstrukcja całości sugerują, że to wynik prób łamania aktywacji systemu. Potencjalny aktywator po prostu załadował trojana. I doprowadziłeś do tego, że obecnie w ogóle brak pliku Hosts i trzeba go odtwarzać. Działania do przeprowadzenia: 1. Jest tu wyłączone Przywracanie systemu. Z klawiatury klawisz z flagą Windows + X > Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz Ochronę dla dysku C:. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A2000C2B-2438-4042-9FB2-6A8DEF2F20B3} - System32\Tasks\KMSpico Update => Wscript.exe //nologo //B //E:jscript "C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini" Task: C:\Windows\Tasks\KMSpico Update.job => Wscript.exe Q/nologo /B /E:jscript C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini FF user.js: detected! => C:\Users\Dominik\AppData\Roaming\Mozilla\Firefox\Profiles\ip12n5wo.default\user.js [2015-12-20] C:\Program Files (x86)\Temp C:\Users\Dominik\AppData\Roaming\KMSpico C:\Windows\SECOH-QAD.exe C:\Windows\SECOH-QAD.dll RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
anagram1928 Opublikowano 20 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 20 Grudnia 2015 Objawy infekcji zniknęły, dziękuje. Poniżej logi kontrolne. Addition.txt FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 20 Grudnia 2015 Zgłoś Udostępnij Opublikowano 20 Grudnia 2015 (edytowane) Wszystko zrobione. Poboczna sprawa. W Google Chrome masz rozszerzenie kojarzone z instalacjami adware: PUP.Optional.OneTab. Czyli w Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj OneTab. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi