Kuba Opublikowano 29 Marca 2016 Zgłoś Udostępnij Opublikowano 29 Marca 2016 Witam, Na komputerze PC z systemem Windows XP HE SP3 otwierały się niechciane strony, pobieranie plików a PC znacznie zwolnił. Uruchomiłem więc na nim Hitmana, który wyszukał 9 trojanów i powiązanych z nimi plików wskazał ponad 250. Nie usuwając niczego wyłączyłem Hitmana i uruchomiłem GMER-a, skanował ponad 5h a ponieważ zatrzymał się na jednym pliku od minimum 2h zatrzymałem go i załączam log z tego skanu. Próbowałem uruchomić GMER-a w trybie awaryjnym ale po kilku sek wyłączał się z komunikatem: (C:\Windows\system32\config\system:Error:999). Logi z FIRST-a wykonały się w całości bez problemu (w załączeniu). Ukazuje się też komunikat: GfxUl - problem z aplikacją i zostanie ona zamknięta. Proszę o pomoc. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 W systemie są klasyczne infekcje adware, nabyte przy udziale "Asystentów pobierania": KLIK. Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj: Adobe Flash Player 10 ActiveX, Browser Configuration Utility, HP Customer Participation Program 14.0, Java 8 Update 66. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\TSv\TSvr.exe [116368 2016-03-17] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [183488 2016-01-12] (TODO: ) R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\ZWdMZ\WdMan.exe [295424 2016-03-15] (TFuns LIMITED) [brak podpisu cyfrowego] S2 PicexaService; C:\Program Files\Picexa\PicexaSvc.exe [X] U2 CertPropSvc; Brak ImagePath S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] S1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X] HKLM\...\Run: [] => [X] HKLM\...\Run: [unlockerAssistant] => "C:\Program Files\Unlocker\UnlockerAssistant.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638&q={searchTerms} FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\deskCutv2@gmail.com FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\yahooprotected@gmail.com FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\default_newtabff@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1458233169&z=b5922899e47261a5662c0eeg1z6w8bfoec4c1g7m0o&from=wpm0314&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1458233169&z=b5922899e47261a5662c0eeg1z6w8bfoec4c1g7m0o&from=wpm0314&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (2).lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 StandardProfile\AuthorizedApplications: [C:\Documents and Settings\HZ.HOME-1\Ustawienia lokalne\Temp\7zS3F.tmp\SymNRT.exe] => Enabled:Norton Removal Tool C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Dane aplikacji\pWdMp C:\Documents and Settings\All Users\Dane aplikacji\ZWdMZ C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\eCyber C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\HPAppData C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\TSv C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\HZ.HOME-1\Moje dokumenty\FAKTURY\FAKTURY.lnk C:\Documents and Settings\HZ.HOME-1\Pulpit\Skrót do FAKTURY.lnk C:\Documents and Settings\Właściciel\Dane aplikacji\HpUpdate C:\Program Files\Mozilla Firefox\plugins C:\Program Files\SFK C:\WINDOWS\system32\123.html C:\WINDOWS\system32\pl.html C:\WINDOWS\system32\_tWm RemoveDirectory: C:\Documents and Settings\HZ DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj Internet Explorer 8. Link w przyklejonym: KLIK. 4. Są tu dwa zasadnicze konta użytkowników i to właśnie to drugie HP wygląda na bardziej zainfekowane, wnioskując po śladach pośrednich w logach: ==================== Konta użytkowników: ============================= HZ (S-1-5-21-725345543-343818398-1606980848-1006 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\HZ.HOME-1 Właściciel (S-1-5-21-725345543-343818398-1606980848-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Właściciel Po kolei zaloguj się na te konta i na każdy zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, plik Shortcut za to już niepotrzebny. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Kuba Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Dzięki Picasso, domyślam się że byłaś zajęta. Zrobiłem format dysku i zainstalowałem wszystko od nowa. Temat do zamknięcia. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi