Skocz do zawartości

Trojan Winnotify, Trojan Proxy, Adware - pozostałości


Rekomendowane odpowiedzi

Dobry wieczór,

 

system bardzo powolny, otwierające się okna w przeglądarce, przeskanowany Malwarebytes, który znalazł i usunął w/w infekcje (raport w załączniku). Kiedyś też ktoś próbował używać ComboFix z tego co mi wiadomo. System po skanowaniu Malwarebytes można powiedzieć, że odzyskał sprawność, jednak bardzo proszę o przejrzenie logów pod kątem pozostałości.

 

Raport z FRST jest tu ponieważ, plik jako załącznik jest zbyt duży (248KB)

 

Z góry serdecznie dziękuję.

MBAM.txt

Addition.txt

Shortcut.txt

gmer.txt

Odnośnik do komentarza
  • 2 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach widoczne liczę pozostałości po infekcjach, stawiam na to, że ustawione izraelskie adresy na routerze to sprawka infekcji, a nie Twoja (jeśli tak nie jest to pomijasz pierwszy krok i kasujesz ze skryptu linijkę CMD: ipconfig /flushdns). 
 
P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK.

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3491133156-2926685731-963051904-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM -> DefaultScope - brak wartości
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
ShortcutWithArgument: C:\Users\Bogusia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-and-launch-app="C:\Users\Bogusia\AppData\Roaming\Mozila"
C:\Users\Bogusia\AppData\Roaming\Mozila
C:\ProgramData\Microsoft\Windows\Start Menu\Samsung\Magic Keyboard\Magic Keyboard Properties.lnk
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\YandexBrowserService" /f
CMD: ipconfig /flushdns
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania.

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

Nie mam możliwości zalogować się do routera użytkownika tego laptopa. Na moim routerze jest wszystko w porządku.

 

Nowe raporty:

 

FRST

Addition

Shortcut

Fixlog

AdwCleaner

Odnośnik do komentarza

Skan MBAM wykrył tylko witaminki - do kasacji.
 
PUP.Optional.EasyDialsearch.ChrPRST, C:\USERS\BOGUSIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\PREFERENCES, Brak akcji, [20046], [303386],1.0.1310
 
Powyższa detekcja to modyfikacja preferencji przeglądarki, jeśli MBAM będzie to wykrywał w przyszłości to należy kompleksowo przeinstalować przeglądarkę Google Chrome wg poniższych kroków.

  • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
  • Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.




Kończymy.

Usuń narzędzia diagnostyczno / dezynfekcyjne oraz zaktualizuj ważne programy - KLIK / KLIK.
Wyczyść również punkty przywracania systemu - KLIK.

P.S: Apropo tego: "Kiedyś też ktoś próbował używać ComboFix z tego co mi wiadomo." - PRZECZYTAJ

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...