Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Niechciane reklamy

Gość kaszubak

Przez Gość kaszubak
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Prosę trzymaj się konfiguracji FRST z tutejszego forum (KLIK). Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone.

 

Problemem jest szkodliwe proxy. Poza tym, są też zmodyfikowane skróty LNK przeglądarek. Działania do przeprowadzenia:

 

1. Odinstaluj stare wersje i zbędny dodatek AVG: Acrobat.com, Adobe AIR, AVG Web TuneUp, Java 8 Update 77 (64-bit), Java 8 Update 77, Java SE Development Kit 8 Update 60, Java SE Development Kit 8 Update 91 (64-bit), Spybot - Search & Destroy.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e"
ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e"
ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-450625639-2108557950-182894140-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-450625639-2108557950-182894140-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
FF Plugin-x32: @esn/esnlaunch,version=2.3.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.0\npesnlaunch.dll [brak pliku]
FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [brak pliku]
CustomCLSID: HKU\S-1-5-21-450625639-2108557950-182894140-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Patryk\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Cookies\bago.dll Brak pliku [ ]
GroupPolicyScripts: Ograniczenia 
Task: {005EE743-AA71-47B0-A4F2-9155EC6BDBE9} - System32\Tasks\{D80A972F-BC98-4AC7-9FB2-547EFE7D933F} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe
Task: {2A5500BA-79C6-4A48-B62F-136BD63AB579} - System32\Tasks\{7B893153-B703-4B7F-857C-822B036897B7} => pcalua.exe -a C:\Users\Patryk\Desktop\Victoria\vcr446f.exe -d C:\Users\Patryk\Desktop\Victoria
Task: {3206CCA4-17E0-4C86-A0D4-8FBCDA729DC4} - System32\Tasks\{FD92FE01-D791-460E-BDCF-8E3F7CA1F566} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe
Task: {38FE411B-976C-4253-9525-C4B2116D8A30} - System32\Tasks\Better Updater => C:\Users\Patryk\AppData\Roaming\Better Updater\Better Updater.exe 
Task: {3E4B5087-3795-45C5-92A0-DF6EC0BEE763} - System32\Tasks\{BF3F76FE-B559-4D29-A703-ACB7B0F56069} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe
Task: {5CA38E2F-22D2-4159-A1F1-4110C59CC41A} - System32\Tasks\{B0CA3F82-662B-4985-A0C0-B550972311E2} => pcalua.exe -a G:\TMP\jre-8u71-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1
Task: {7674B0E9-6FF5-4DCC-8D9B-DD8DEAC23BFA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {873CC182-7F16-42E4-97C0-CB2806AE63D0} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe
Task: {8E850216-1541-408B-946E-BF39EB73BF74} - System32\Tasks\{0762BD20-39EF-4F8D-8DB0-1D11C7BCC8C0} => pcalua.exe -a C:\PROGRA~2\BDE5SE~1\UNWISE.EXE -c C:\PROGRA~2\BDE5SE~1\INSTALL.LOG
Task: {9048EB3F-021C-4CC9-9920-D7EFA08A9451} - System32\Tasks\{6E16FD4B-FB47-40F7-8CEF-0AFEBDAA00CC} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe
Task: {9062DB96-6D1E-46EC-AC25-26465FA86441} - System32\Tasks\Alfasistem Memory Job => C:\Program Files (x86)\Alfasistem Memory\ tmjob.exe 
Task: {A799BB2D-0A5D-4E9B-829B-AB37031CAF55} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
Task: {AE393478-9156-46A4-B215-D78AE37A1F1C} - System32\Tasks\Reujosestogle Community => C:\Program Files (x86)\Reujosestogle\ReujosestogleCmmTes.exe
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 cpuz138; \??\G:\TMP\cpuz138\cpuz138_x64.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 GPUZ; \??\G:\TMP\GPUZ.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 MSICDSetup; \??\F:\CDriver64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7F341DDA-39D3-4E15-99B0-EA892DB5ED35}
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
C:\Program Files (x86)\Anonetionjse
C:\Program Files (x86)\Pheqeght
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle VM VirtualBox\User manual (CHM, English).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Network Monitor 3.4
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NokiaFREE Calculator
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan
C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload
C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload.aamd
C:\Users\Patryk\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\MinGW Installation Manager.lnk
C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RightMark Audio Analyzer
CMD: netsh advfirewall reset
Hosts:
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki:

 

Firefox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.
Google Chrome:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj powielone rozszerzenia Fair....
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Do zrobienia nadal: deinstalacja starych wersji, usunięcie poniższych martwych wpisów (a katalog ChromeDefaultData od profilu utworzonego przez adware) i immunizacji Spybota, błędnego wpisu w Hosts.

 

Task: {2A5500BA-79C6-4A48-B62F-136BD63AB579} - System32\Tasks\{7B893153-B703-4B7F-857C-822B036897B7} => pcalua.exe -a C:\Users\Patryk\Desktop\Victoria\vcr446f.exe -d C:\Users\Patryk\Desktop\Victoria
Task: {3206CCA4-17E0-4C86-A0D4-8FBCDA729DC4} - System32\Tasks\{FD92FE01-D791-460E-BDCF-8E3F7CA1F566} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe
Task: {3E4B5087-3795-45C5-92A0-DF6EC0BEE763} - System32\Tasks\{BF3F76FE-B559-4D29-A703-ACB7B0F56069} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe
Task: {5CA38E2F-22D2-4159-A1F1-4110C59CC41A} - System32\Tasks\{B0CA3F82-662B-4985-A0C0-B550972311E2} => pcalua.exe -a G:\TMP\jre-8u71-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1
Task: {7674B0E9-6FF5-4DCC-8D9B-DD8DEAC23BFA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {873CC182-7F16-42E4-97C0-CB2806AE63D0} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe
Task: {8E850216-1541-408B-946E-BF39EB73BF74} - System32\Tasks\{0762BD20-39EF-4F8D-8DB0-1D11C7BCC8C0} => pcalua.exe -a C:\PROGRA~2\BDE5SE~1\UNWISE.EXE -c C:\PROGRA~2\BDE5SE~1\INSTALL.LOG
Task: {9048EB3F-021C-4CC9-9920-D7EFA08A9451} - System32\Tasks\{6E16FD4B-FB47-40F7-8CEF-0AFEBDAA00CC} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe
Task: {A799BB2D-0A5D-4E9B-829B-AB37031CAF55} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
C:\ProgramData\Spybot - Search & Destroy
C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload
C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload.aamd
C:\Users\Patryk\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
Hosts:

 

 

PS. A te "szkodliwe modyfikacje polityk grup" to wyjątkowo nie w tym przypadku. Akurat w tym konkretnym przypadku to jest skutek użycia ComboFix (co widać ogólnie po określonych wpisach w raporcie). Sztucznie dorobił puste klucze. FRST ma tylko ogólną detekcję klucza polityk IE i go wykrywa, pomimo że aktywnych polityk tak naprawdę brak.

 

 

Temat zamykam.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...