EDgar8 Opublikowano 5 Lipca 2017 Zgłoś Udostępnij Opublikowano 5 Lipca 2017 Znajomy pobierał coś do CS i odtąd mówi że komputer mu cały czas zamula. Dostarczył mi logi z FRST Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
EDgar8 Opublikowano 5 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2017 Zrobił jeszcze GMER gm.txt Odnośnik do komentarza
Miszel03 Opublikowano 5 Lipca 2017 Zgłoś Udostępnij Opublikowano 5 Lipca 2017 System jest mocno zarażony infekcjami adware, ale widać tutaj również gagatki cięższego kalibru na powłoce startowej. Blokady certyfikatów oprogramowania zabezpieczającego, infekcja skrótów przeglądarki, adware w przeglądarkach i można by było jeszcze wymieniać. Od razu przechodzimy do działań. Portale z oprogramowaniem / Instalatory - na co uważać 1. Deinstalacje. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: Online Application. Wejdź do poniższych * folderów i z ich poziomu spróbuj uruchomić plik deinstalacjyjny (nazwa zbliżona do uninstall.exe) Jedynie sugeruję, że warto zapoznać się z nieciekawą historią marki IObit, czyli m.in kradzież bazy danych Malwarebytes. Czy coś takiego może zapewnić bezpieczeństwo lub być jego wzorem? Niech znajomy sam sobie odpowie na to pytanie i podejmie decyzje. * - C:\Program Files (x86)\PC Clean Plus C:\Program Files (x86)\pccleanplus C:\Program Files (x86)\UCBrowser 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers01: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> Brak pliku ContextMenuHandlers03: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> Brak pliku ContextMenuHandlers04: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> Brak pliku ContextMenuHandlers05: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> Brak pliku ContextMenuHandlers06: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> Brak pliku Task: {04DEAE63-8AA5-4100-A3AF-F2FA657BD594} - System32\Tasks\Krabbit Thesaurus => Rundll32.exe "C:\Program Files\Krabbit Thesaurus\Krabbit Thesaurus.dll",eLtKpeTK Task: {B9FDE75B-EF44-4C28-B01E-955797DFF4B8} - System32\Tasks\B3A986DC-C2DD-40A0-8C0C-FEF66B783511 => Rundll32.exe "C:\Program Files (x86)\MediaSerchU\yRb5lra.dll",#1 C:\Program Files\Krabbit Thesaurus C:\Program Files (x86)\MediaSerchU Task: C:\Windows\Tasks\B3A986DC-C2DD-40A0-8C0C-FEF66B783511.job => C:\Program Files (x86)\MediaSerchU\yRb5lra.dll WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktopbr.com/ MSCONFIG\startupreg: uTorrent => "C:\Users\admin\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED HKLM\...\Run: [Login] => C:\Users\admin\AppData\Local\Temp\00017606\conhost.exe [1870848 2017-07-03] () HKLM\...\RunOnce: [Lahin_Raw_barra_al3eb_b3id_FS9T] => C:\Program Files\Microsoft Games\M0PGGHNYEMMQJ5L\8cGytjk7By.exe [222208 2017-07-03] () HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\Run: [msiql] => C:\Users\admin\AppData\Local\Temp\00017606\msiql.exe [2072576 2017-07-03] () HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\Run: [TQ5SLmX_Z-.exe] => C:\Program Files\Windows Portable Devices\HKMF5SR2N63QWPVWZDPV3NQ30ZEII\TQ5SLmX_Z-.exe [444416 2017-07-03] () HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\RunOnce: [OVmfG0jVDn.exe] => C:\Program Files\Windows Portable Devices\HKMF5SR2N63QWPVWZDPV3NQ30ZEII\OVmfG0jVDn.exe 2 0 HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\RunOnce: [zuSfQ4lSL.exe] => C:\ProgramData\9a07ad8ce41c49228bbf8a46c8fc4414\zuSfQ4lSL.exe [748032 2017-07-03] () HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\RunOnce: [uninstall.exe] => C:\Users\admin\AppData\Local\Temp\{a767ed8f74244167b60647e75800afe3}\YQnSa7v0I1\uninstall.exe [748032 2017-07-03] () HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 C:\ProgramData\9a07ad8ce41c49228bbf8a46c8fc4414 C:\Program Files\Windows Portable Devices\HKMF5SR2N63QWPVWZDPV3NQ30ZEII C:\Program Files\Microsoft Games\M0PGGHNYEMMQJ5L GroupPolicy: Ograniczenia - Chrome FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] U1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) C:\Program Files (x86)\UCBrowser C:\Users\admin\AppData\Local\UCBrowser 2017-07-03 18:19 - 2017-07-02 01:40 - 02001920 ___SH (Micrasaft Carparation) C:\Windows\C_02iu47.dat 2017-07-03 18:20 - 2017-07-03 18:20 - 00000000 ____D C:\ProgramData\fa47f56a-6045-0 2017-07-03 18:20 - 2017-07-03 18:20 - 00000000 ____D C:\ProgramData\fa47f56a-1367-1 2017-07-03 18:20 - 2017-07-03 18:20 - 00000000 ____D C:\Program Files (x86)\pccleanplus 2017-07-03 18:20 - 2017-07-03 18:20 - 00000000 ____D C:\Program Files (x86)\PC Clean Plus 2017-07-03 18:18 - 2017-07-03 18:18 - 00000000 ____D C:\Users\admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming Hosts: EmptyTemp: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj easychrome oraz wszystkie nieznane i niepotrzebne Ci rozszerzenie (zalecam zmianę z AdBlock Plus na uBlock Origin, tak jak masz w Mozilli FireFox). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Wyczyść przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
EDgar8 Opublikowano 5 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2017 Dziękuję jest dużo do zrobienia. A polecasz może jakiś lekki i skuteczny antywirus (nie wiem czy jakiś ma) Odnośnik do komentarza
Miszel03 Opublikowano 5 Lipca 2017 Zgłoś Udostępnij Opublikowano 5 Lipca 2017 A polecasz może jakiś lekki i skuteczny antywirus (nie wiem czy jakiś ma) Zostawmy to na koniec. Odnośnik do komentarza
EDgar8 Opublikowano 5 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2017 C:\Program Files (x86)\PC Clean Plus uninstaller nie działaC:\Program Files (x86)\pccleanplus uninstaller się uruchomił i nic C:\Program Files (x86)\UCBrowser brak uninstallera Fixlog -> http://wklej.org/id/3214025/ Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
EDgar8 Opublikowano 22 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2017 osfip.exe Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
EDgar8 Opublikowano 26 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2017 Logi po wykonaniu czyszczenia tymi programami przez kolegę AdwCleanerS1.txt Log-Malwarebytes.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się