Skocz do zawartości

mylucky123


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Na razie nie podaję żadnych innych działań prócz deinstalacji produktów adware i skanowania systemu pod ich kątem. W systemie jest ogromne wysypisko śmieci, więc do pewnego momentu będę posługiwać się automatami.

1. Przez panel sterowania odinstaluj:

  • amuleC
  • amuleC
  • aMuleCustom
  • WinZip 
  • YAC(Yet Another Cleaner!) 
  • Uncheckit 
  • qksee 

2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

 

3. Wygeneruj nowe raporty FRST (bez GMER). 

Odnośnik do komentarza

Brak raportu z przeprowadzenia dezynfekcji przez AdwCleaner'a - dostarcz go. W systemie / raportach jak już wcześniej wspominałem widoczne liczne adware (m.in SearchesToYesbndNosemaynicesearchesnuesearch). Przypuszczalnie nie działa Ci również kompozycja Aero, jest to wynik infekcji. Od razu przechodzimy do działań bardziej ręcznych, ale i tak wrócę jeszcze do czyszczenia automatami. 
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adva3d10] => C:\Users\MAG\AppData\Roaming\cdptcli\aeevispl.exe [524288 2015-12-04] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advavel9] => C:\Users\MAG\AppData\Roaming\cemaider\aeevispl.exe [524288 2016-01-12] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advp10_1] => C:\Users\MAG\AppData\Roaming\certtenc\amsiices.exe [524288 2016-02-05] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsncapi] => C:\Users\MAG\AppData\Roaming\capicca\advaecsp.exe [524288 2016-02-08] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsn3d32] => C:\Users\MAG\AppData\Roaming\catsosys\advaeter.exe [524288 2016-03-03] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnGSM7] => C:\Users\MAG\AppData\Roaming\catsosys\advaeter.exe [524288 2016-03-03] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnSCII] => C:\Users\MAG\AppData\Roaming\catsmapi\advabcd.exe [524288 2016-03-09] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnd3d9] => C:\Users\MAG\AppData\Roaming\Certwmdm\advaperf.exe [524288 2016-04-14] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advp0_43] => C:\Users\MAG\AppData\Roaming\cfgmdiag\amsikbox.exe [524288 2016-05-10] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpfCdp] => C:\Users\MAG\AppData\Roaming\ChakgIME\amsiTVID.exe [524288 2016-06-14] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpclen] => C:\Users\MAG\AppData\Roaming\charclb\amsianui.exe [524288 2016-07-12] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpider] => C:\Users\MAG\AppData\Roaming\charis-2\amsianui.exe [524288 2016-07-15] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [aeevtlib] => C:\Users\MAG\AppData\Roaming\clbonfg\amstview.exe [524288 2016-09-20] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [amsilder] => C:\Users\MAG\AppData\Roaming\cmluutil\apdsrvps.exe [524288 2016-09-24] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsntnet] => C:\Users\MAG\AppData\Roaming\cabitons\advaavrt.exe [524288 2016-10-17] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advad3d9] => C:\Users\MAG\AppData\Roaming\catsosys\advprypt.exe [524288 2016-11-08] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adva8thk] => C:\Users\MAG\AppData\Roaming\catsosys\advprypt.exe [524288 2016-11-08] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advadxof] => C:\Users\MAG\AppData\Roaming\cdprtcli\aeevProv.exe [524288 2016-11-09] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advaider] => C:\Users\MAG\AppData\Roaming\certtmgr\aeevwcli.exe [524288 2016-12-06] ()
C:\Users\MAG\AppData\Roaming\cdptcli
C:\Users\MAG\AppData\Roaming\cemaider
C:\Users\MAG\AppData\Roaming\certtenc
C:\Users\MAG\AppData\Roaming\capicca
C:\Users\MAG\AppData\Roaming\catsosys
C:\Users\MAG\AppData\Roaming\catsmapi
C:\Users\MAG\AppData\Roaming\Certwmdm
C:\Users\MAG\AppData\Roaming\cfgmdiag
C:\Users\MAG\AppData\Roaming\ChakgIME\amsiTVID.exe
C:\Users\MAG\AppData\Roaming\charclb\amsianui.exe
C:\Users\MAG\AppData\Roaming\charis-2\amsianui.exe
C:\Users\MAG\AppData\Roaming\clbonfg\amstview.exe
C:\Users\MAG\AppData\Roaming\cmluutil\apdsrvps.exe
C:\Users\MAG\AppData\Roaming\cabitons\advaavrt.exe
C:\Users\MAG\AppData\Roaming\cdprtcli\aeevProv.exe
C:\Users\MAG\AppData\Roaming\certtmgr\aeevwcli.exe
AppInit_DLLs: C:\Windows\system32\nvinitx.dll => Brak pliku
AppInit_DLLs: ,C:\WINDOWS\system32\nvinitx.dll => Brak pliku
IFEO\MRT.exe: [Debugger] C:\Program Files (x86)\SearchesToYesbnd\_ALLOWDEL_27bfc\Gubed.exe -Yrrehs
C:\Program Files (x86)\SearchesToYesbnd
GroupPolicy: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> {FA9EC097-C43E-4767-866A-E31FA5272B20} URL = 
Edge HomeButtonPage: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> hxxp://www.nuesearch.com/?type=hp&ts=1465910606&z=37c7bcedfe0fcd79fcd0425g1zfq5w1t1g7e5q4e5z&from=wpm0614&uid=TOSHIBAXMQ01ABD075_Y34TPQEDTXXY34TPQEDT
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\2263ujb8.default -> luck
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\2263ujb8.default -> luck
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\2263ujb8.default -> luck
FF DefaultSearchEngine: Firefox\Firefox\Profiles\2263ujb8.default -> nice
FF SearchEngineOrder.1: Firefox\Firefox\Profiles\2263ujb8.default -> nice
FF SelectedSearchEngine: Firefox\Firefox\Profiles\2263ujb8.default -> nice
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [622080 2016-11-29] () [brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5]S2 NosemayP; C:\ProgramData\Nosemay\Nosemay.exe [400264 2016-05-30] ()
S2 NosemayU; "C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe" [X]
C:\Program Files (x86)\Nosemay
C:\ProgramData\Nosemay
Task: {1F357729-9984-4DAB-87F8-E84F39AF8EE7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {3DD526DA-F673-45CE-9002-14D1BC99DBD4} - System32\Tasks\NosemayUpdateTaskMachineCore => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {4E26A63E-55E5-48A4-9E07-B46D50710A89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {4E77BBE4-2C07-47A4-B58F-2A23B9C6D037} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {52A92279-2FDA-4755-AAE5-DC6FE44B503B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {7617830F-3E2E-4E14-BC84-8D8F0FDDD5BD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7E519C3A-0D56-4C31-9AE4-5B2FBBD9429D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {85097416-4841-491B-B87F-ABC07F723D5B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8BDB08BD-4D81-4A04-9149-8E9C34024CA0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A1314326-5C03-448B-B853-3FA02E67EE70} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {B1AD7971-CD5B-4CA2-AD61-92C25DD1FE39} - System32\Tasks\NosemayUpdateTaskMachineUA => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {D03E6501-354B-426D-9A6E-FAE0898D99BC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D60BA628-7A6A-4E69-AB00-993837E0D6EB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Coldjob\Application\chrome.exe (Google Inc.)
C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Coldjob\Application\chrome.exe (Google Inc.)
C:\Program Files (x86)\Coldjob
C:\Users\MAG\AppData\Local\Coldjob
C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\MAG\AppData\Local
CMD: dir /a C:\Users\MAG\AppData\LocalLow
CMD: dir /a C:\Users\MAG\AppData\Roaming
Hosts:
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).
 
2. Wyczyść Google Chrome:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Wyczyść FireFox:

  • Odłącz synchronizację (o ile włączona): KLIK
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania

4. Użyj >> Junkware Removal Tool
 
Po uruchomieniu:

  • Postępuj zgodnie z instrukcją wyświetlaną w programie.
  • Gdy skanowanie oraz usuwanie zakończy się, uruchomi się plik z raportem.
  • Raport wkleisz na wklej.org lub załączysz jako załącznik na forum.

5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Odnośnik do komentarza

Ten raport jest ze skanowania, a nie ze usuwania. Raport z usuwania oznaczony jest literką C, a nie S. Wygląda to już lepiej, niedługo będziemy kończyć.
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\fibfi
C:\ProgramData\ficfi
C:\ProgramData\hadga
C:\ProgramData\hbeha
C:\ProgramData\hps
C:\ProgramData\icfib
C:\ProgramData\jcfic
C:\ProgramData\jdgjc
C:\ProgramData\ttff
AppInit_DLLs: , => Brak pliku
FF ProfilePath: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default [2016-12-06]
FF user.js: detected! => C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\user.js [2016-10-17]
FF NewTab: Firefox\Firefox\Profiles\2263ujb8.default -> hxxp://www.nicesearches.com?type=hp&ts=1464610878&from=0d580530&uid=toshibaxmq01abd075_y34tpqedtxxy34tpqedt&z=9b32b6762b14a45560bc07cg8z9q5zcqag6e0b9m9z
FF Homepage: Firefox\Firefox\Profiles\2263ujb8.default -> hxxp://www.searchinme.com/?type=hp&ts=1476877970752&z=050cfae7b4fa518f0cb8fc9g2z9b7eft0c3c3q0m3q&from=official&uid=TOSHIBAXMQ01ABD075_Y34TPQEDTXXY34TPQEDT
FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\nice.xml [2016-10-17]
FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\nuesearch.xml [2016-09-14]
FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\searchinme.xml [2016-10-19]
2016-12-06 19:48 - 2016-12-06 19:48 - 00000000 ____D C:\Users\MAG\AppData\Local\Coldjob
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
Hosts:
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Użyj >> Malwarebytes
 
Po uruchomieniu:
  • Postępuj zgodnie z kreatorem instalacyjnym, przy instalacji odznacz okres testowy.
  • Po instalacji uruchom ponownie komputer.
  • Interfejs MalwareBytes > Skanowanie > Pełne Skanowanie systemu > Podczas skanowania nic nie rób, po prostu czekaj.
  • Po zakończeniu skanu, jeżeli program coś wykryje to wszystkie zagrożenia przeniesiesz do kwaranntany Po tym będzie wymagane ponowne uruchomienie komputera, zaraz po tym wyskoczy raport ze skanowania, który zaprezentujesz na forum. 

3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Odnośnik do komentarza

Jaka akcja została podjęta dla plików znalezionych przez Malwarebytes? Kazałeś je usunąć czy przenieść do kwarantanny (tak jak prosiłem)?

 

Kolejna część walki z adware.

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
IFEO\MRT.exe: [Debugger] C:\ProgramData\ficfi\Gubed.exe -Yrrehs RemoveDirectory: C:\ProgramData\ficfi RemoveDirectory: C:\ProgramData\cficf RemoveDirtectory: C:\Users\MAG\AppData\Roaming\ibfib RemoveDirtectory: C:\ProgramData\hadga
RemoveDirtectory: C:\ProgramData\hbeha
RemoveDirtectory: C:\ProgramData\hps
RemoveDirtectory: C:\ProgramData\jcfic
RemoveDirtectory: C:\ProgramData\jdgjc
RemoveDirtectory: C:\ProgramData\ttff R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [568320 2016-12-07] () [brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5] S2 Convxxxx; "C:\Users\MAG\AppData\Roaming\ibfib\UvConverter.exe" {2C8E8C85-942B-451C-8243-97A089265577} [X]
C:\ProgramData\QQBrowser
FirewallRules: [{28CE2551-AF7A-4A6B-8DF0-F97D17FA3F03}] => C:\ProgramData\Nosemay\Nosemay.exe
File: C:\WINDOWS\system32\Drivers\etc\hosts
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. W FireFox: klawisz z flagą Windows + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > skasuj wszystkie widoczne profile i załóż nowy. 
 
3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).
Odnośnik do komentarza
Już byśmy kończyli, ale wkradła mi się literówka do skryptu.

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:FirewallRules: [{2606A3D9-EF0C-4BD2-8D86-0500C706C8B1}] => C:\Program Files (x86)\Coldjob\Application\chrome.exe

FirewallRules: [TCP Query User{4A0FFA52-48D4-4D72-90C3-BD52962368F3}C:\program files (x86)\bedhat\application\chrome.exe] => C:\program files (x86)\bedhat\application\chrome.exe

FirewallRules: [uDP Query User{E534F20B-DB8C-497B-A754-E55646B75AAD}C:\program files (x86)\bedhat\application\chrome.exe] => C:\program files (x86)\bedhat\application\chrome.exe

RemoveDirectory: C:\ProgramData\ficfi

RemoveDirectory: C:\ProgramData\cficf

RemoveDirectory: C:\Users\MAG\AppData\Roaming\ibfib

RemoveDirectory: C:\ProgramData\hadga

RemoveDirectory: C:\ProgramData\hbeha

RemoveDirectory: C:\ProgramData\hps

RemoveDirectory: C:\ProgramData\jcfic

RemoveDirectory: C:\ProgramData\jdgjc

RemoveDirectory: C:\ProgramData\ttff

EmptyTemp:


 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

 

3. Podsumuj obecną sytuację. 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...