Gibsky Opublikowano 15 Stycznia 2016 Zgłoś Udostępnij Opublikowano 15 Stycznia 2016 Witam, Win10 64 bity, zainstalowany Bitdefender, aktywna zapora, malwarebytes. Na mój komputer został ściągnięty keylogger, który przechwytuje dane do logowania do gry online. To malware, o którym na sto procent wiem, że zostało ściągnięte. Możliwe, że na komputerze znajduje się też inne złośliwe oprogramowanie, którego nie udało mi się zidentyfikować - to nie ja zawirusowałem komputer dlatego nie wiem dokładnie co mogło zostać jeszcze pobrane. Zauważyłem, że proces systemowy w menedżerze zadań zajmuje więcej pamięci RAM niż dotychczas. Oprócz automatycznego skanowania komputera antywirusem bitdefender przeskanowałem dyski programem malwyrebytes, który znalazł dosyć sporą ilość problemów. Chciałbym pozbyć się całego malware, które znajduje się na komputerze. Dołączam wymagane pliki z programów; defogger oraz FRST. Przy próbie uruchomienia GMERa otrzymuję komunikat (dołączam prntscreen) a próba uruchomienia skanowania kończy się blue screenem (również w trybie awaryjnym) Proszę o pomoc. Addition.txt FRST.txt Shortcut.txt defogger_disable.txt Odnośnik do komentarza
Gibsky Opublikowano 24 Stycznia 2016 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2016 Ponieważ temat spadł na dalszą stronę pozwolę sobie go podbić i ponownie poprosić o pomoc. Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2016 Zgłoś Udostępnij Opublikowano 11 Lutego 2016 Temat nie został zgłoszony w przyklejonym temacie "Zgłoszenia tematów bez odpowiedzi", więc nie wiem czy nadal aktualny. Jeśli nadal aktualny, to dostarcz świeże raporty FRST. Z tego co widzę w starych, to w starcie jest taki oto obiekt malware: InternetURL: C:\Users\pomyk_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dfgbvweer.eu.url -> file:///C:\ProgramData\ererwerr\dfgbvweer.exe Zajmę się tym oraz innymi śmieciami po otrzymaniu nowych logów. Odnośnik do komentarza
Gibsky Opublikowano 12 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 12 Lutego 2016 Temat aktualny. Wstawiam nowe logi. Gdzieś zauważyłem ten program "dfgbvweer", chyba w procesach w menedżerze ale jakoś się do niego nie dokopałem. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2016 Zgłoś Udostępnij Opublikowano 23 Lutego 2016 W tych raportach jest już zmiana i w jakiś sposób wpis startowy został usunięty, natomiast nadal jest katalog malware na dysku. Druga sprawa: przeglądarka Google Chrome jest zainfekowana adware (zmodyfikowane biblioteki DLL) i jest wymagana jej reinstalacja. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny Akamai NetSession Interface i starą wersję Java 8 Update 51. 2. Przeinstaluj Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki. Punkt 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą ponownie Google Chrome. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-03-31] (Microsoft Corporation) FF Plugin HKU\S-1-5-21-2329799690-3783243740-1929443932-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] Task: {07745E99-96DA-4987-AA69-6D646D8E4FDB} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-01] (Lenovo) Task: {12037A20-8EB6-4EF8-B0AB-272E1D5775E1} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-10-16] (Lenovo) Task: {1E5B8B65-5B90-44A6-89AB-3959A7141E9D} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {2902E6BF-AACD-4732-886A-0CD4F1A9434D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {29650D83-C657-4FCA-9310-51C6089859E0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {42EA1F98-5283-4E21-946F-3D814210F6D7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {71FAF717-4994-4434-B729-744518BC24CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {97153065-3F20-43E0-AB62-B88ABC274764} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B13A52B8-12AE-49B8-866A-F7BC120E7C12} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {B46ACD14-52B1-49BB-88E4-71EEAB9D47B3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B4F1D7CB-DCC5-4DB4-9625-A80A5F54F89A} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {BA31081A-35C0-46DE-ABDD-3F31E8D67AA5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {CA2420D6-E5FF-4FD8-97D8-909B61BE313C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {D6273826-9AC2-4DAC-8739-A13F4CF9CFCB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E8EF89C3-D0EF-47EE-BD82-FAC80F8E762D} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {F1A28706-AC49-42DD-9767-9735E51270A1} - System32\Tasks\{E2CCE2F8-B9B8-4BAD-B7EA-2D7E458A3AB5} => pcalua.exe -a "C:\Drivers\Synaptics Touchpad Driver\Setup.exe" -d "C:\Drivers\Synaptics Touchpad Driver" Task: C:\WINDOWS\Tasks\foodpairings.job => c:\programdata\{8d5315de-b038-456d-8d53-315deb03577a}\gtav-unpacked.exe Task: C:\WINDOWS\Tasks\matchfinder.job => c:\programdata\{e537c070-aab8-b1d9-e537-7c070aab01c2}\3070779362994228069b.exe S3 CnxtHdAudService; \SystemRoot\system32\drivers\CHDRT64.sys [X] C:\ProgramData\ererwerr C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\pomyk_000\AppData\Local\Microsoft\Windows\GameExplorer\{BD3BB9A4-FA2B-4DB4-B5CF-997B1BB360E5} C:\Users\pomyk_000\Documents\Euro Truck Simulator 2\readme.rtf.lnk CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Dolby Advanced Audio v2" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Bluetooth.lnk /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Gibsky Opublikowano 23 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2016 Dodaję logi. Punkt drugi pominąłem, ponieważ nadal będę używał rozszerzeń z adware, Bitdefender już mi je blokował. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2016 Zgłoś Udostępnij Opublikowano 23 Lutego 2016 (edytowane) Punkt drugi pominąłem, ponieważ nadal będę używał rozszerzeń z adware, Bitdefender już mi je blokował. Nie za bardzo rozumiem tę treść... Twoje Google Chrome zostało zmodyfikowane na poziomie plików DLL w katalogu C:\Program Files (x86)\Google\Chrome, adware spatchowało pliki podmieniając w nich adresy Chrome Web Store na adresy malware, by odblokować możliwość instalacji innych brzydkich obiektów. Skutkiem ubocznym tego jest, że inne zainstalowane poprawne rozszerzenia są modyfikowane (podmiana ich adresów aktualizacji z Chrome Web Store na serwery adware). To także powoduje, że te rozszerzenia w ogóle nie będą się poprawnie aktualizować. To nie są poprawne rozszerzenia Google lecz już zmodyfikowane przez adware: CHR Extension: (Dokumenty Google) - C:\Users\pomyk_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-01-15] [updateUrl: hxxps://mynamedomain.koko//0service/update2/crx] CHR Extension: (Dysk Google) - C:\Users\pomyk_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-01-18] [updateUrl: hxxps://mynamedomain.koko//0service/update2/crx] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\pomyk_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-01-18] [updateUrl: hxxps://mynamedomain.koko//0service/update2/crx] Cała przeglądarka Google Chrome musi być przeinstalowana od zera, by zlikwidować tę modyfikację bibliotek oraz skutki uboczne w rozszerzeniach. A by lewe rozszerzenia nie zostały ponownie załadowane z serwera Google, przed reinstalacją należy zresetować synchronizację. Tak więc punkt 2 nadal aktualny, a po tym nowy raport FRST. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi