MichalR123 Opublikowano 26 Września 2017 Zgłoś Udostępnij Opublikowano 26 Września 2017 Witam, Próbowałem różnych metod, nawet nieco manualnych typu usuwanie podejrzanych folderów w program files, windows, appdata itp., ale nie udało się pozbyć szkodnika. Osobiście identyfikuję to jako adware, MalwareBytes nie chce się włączyć co moim zdaniem wskazuje na bronienie się Adwara, Kaspersky Internet Security (w załączeniu dodałem raport) za każdym włączeniem komputera wykrywa zagrożenie, zanim zainstalowałem KIS usunąłem zagrożenia w Kaspersky Removal Tool, AdwCleaner (w załączeniu logi z jego skanów) z automatu nie radzi sobie z tym. Pomimo problemu z uruchomieniem jakiejkolwiek instalacji (jak niżej), udało mi się zainstalować Kaspersky Internet Security po włączeniu konta Administrator i usunięciu zagrożenia w KRT bez uruchomienia ponownego komputera, ponowne uruchomienie skutkowało powtórką z rozrywki czyli znalezieniem zagrożenia przez KRT i pentla się zamyka. Uruchomnienie MalwareBytes i instalacji/aplikacji skutkuje komunikatem typu: Jeśli coś przeoczyłem lub nie napisałem chętnie uzupełnię. Proszę o pomoc. Addition.txt Shortcut.txt FRST.txt AdwCleanerC0.txt AdwCleanerC1.txt AdwCleanerC2.txt AdwCleanerS0.txt AdwCleanerS1.txt AdwCleanerS2.txt Kaspersky.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Września 2017 Zgłoś Udostępnij Opublikowano 26 Września 2017 System jest zainfekowany przez infekcje typu adware / PUP. Na pewno zauważyłeś nadmiar reklam w przeglądarce - to właśnie ich główne objawy. Nowoczesne infekcje tego typu wykorzystują mechanizmy obronne, tak, aby żaden produkt zabezpieczający nie mógł ich usunąć. Ta metoda opiera się na wystawianiu fałszywych certyfikatów systemie. System Windows ich nie rozpoznaje i blokuje. Po za tym wygląda na to, że masz zainfekowany router ponieważ adresy DNS są zagraniczne - a dokładniej Izraelskie (KLIK) - będziemy to korygować. Oprócz tego wszystkiego sprzątam system z resztek po programach i resetuję plik Hosts ze względu na podejrzaną zawartość. Zostanie również usunięte połączenie Proxy - nie wydaje mi się, że to celowe ustawienie (jeśli jednakby tak było to usuń ze skryptu w pkt. 2 linijkę RemoveProxy:) 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {16FF22FD-1D1D-47D7-9AB2-A4E511628E8E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_WI => C:\Users\jedynak\AppData\Local\597ff8dbcc864c808555acdd4a42af95\chipset.exe exec hide HEBMSZRYSW.cmd Task: {2CCA6488-5B01-4595-B147-3F829E29B004} - System32\Tasks\GoogleUpdateSecurityTaskMachine_KJ => C:\Users\jedynak\AppData\Roaming\e2f90f209b0e4001bf284a721d0ea8c9\chipset.exe exec hide WCQLGPVXCI.cmd Task: {7D21B08F-D6FD-42EC-AA0B-AE795CB5E229} - System32\Tasks\GoogleUpdateSecurityTaskMachine_LG => C:\ProgramData\6bbd6a92743c47aea8dda34fa475e5f1\chipset.exe exec hide AGIUWRZCZE.cmd Task: {A82A4ABA-7B5D-46FE-9FD5-3A45E5541075} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VM => C:\ProgramData\3fa84d64b65a49f29a2dece67fe034dd\chipset.exe exec hide GCRNXIAFIA.cmd C:\Users\jedynak\AppData\Local\597ff8dbcc864c808555acdd4a42af95 C:\Users\jedynak\AppData\Roaming\e2f90f209b0e4001bf284a721d0ea8c9 C:\ProgramData\6bbd6a92743c47aea8dda34fa475e5f1 C:\ProgramData\3fa84d64b65a49f29a2dece67fe034dd HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) U\S-1-5-21-937921051-684533228-786433087-1001\...\Run: [FMDANISCXL.exe] => C:\Users\jedynak\AppData\Local\Temp\YKPXKHLRDR\FMDANISCXL.exe HKU\S-1-5-21-937921051-684533228-786433087-1001\...\Run: [2JkWEa90yZkXJ.exe] => C:\Users\jedynak\AppData\Local\8b7e7e33cc2b448e86ed7d1bed683987\2JkWEa90yZkXJ.exe C:\Users\jedynak\AppData\Local\Temp\YKPXKHLRDR C:\Users\jedynak\AppData\Local\8b7e7e33cc2b448e86ed7d1bed683987 GroupPolicy: Ograniczenia - Chrome Tcpip\..\Interfaces\{c79953e3-6496-42e8-ab27-5498e44dddb7}: [NameServer] 82.163.143.12,82.163.142.22 HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = ' SearchScopes: HKU\S-1-5-21-937921051-684533228-786433087-1001 -> DefaultScope {7BD50091-F6A2-4362-B9CF-A3F4775F993C} URL = SearchScopes: HKU\S-1-5-21-937921051-684533228-786433087-1001 -> {7BD50091-F6A2-4362-B9CF-A3F4775F993C} URL = CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] 2017-09-21 13:32 - 2017-09-21 13:32 - 000140800 _____ () C:\Users\jedynak\AppData\Local\installer.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Application Compatibility Toolkit\Demo Application\Mitigating Application Issues Using Shims - Lab Guide.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\jedynakAppData\Local\Mozilla C:\Users\jedynak\AppData\Roaming\Mozilla C:\Users\jedynak\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\jedynak\AppData\Local CMD: dir /a C:\Users\jedynak\AppData\LocalLow CMD: dir /a C:\Users\jedynak\AppData\Roaming CMD: ipconfig /flushdns RemoveProxy: Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
MichalR123 Opublikowano 28 Września 2017 Autor Zgłoś Udostępnij Opublikowano 28 Września 2017 Naprawa zrobiona, nie usunęło nadal wszystkiego, z objawów, które zauważyłem i pozostały: Zmienia za każdym ponownym uruchomieniem proxy na 127.0.0.1:8080, DNS są już OK Kaspersky po każdym ponownym uruchomieniu znajduje to samo zagrożenie;"v28.09.2017 11.12.18;Wykryty obiekt (plik) nie został przetworzony;C:\ProgramData\Microsoft\Network\Dsq\browser\syshostctl.exe;C:\ProgramData\Microsoft\Network\Dsq\browser\syshostctl.exe;UDS:DangerousObject.Multi.Generic;09/28/2017 11:12:18". Malware Bytes już działa. Dodaję skany w załącznikach. Fixlog_old.txt jest pierwszym skanowaniem, które w pełni chyba się nie skończyło (zapomniałem wyłączyć kaspersky, który wykrył go jako zagrożenie) P.S. (w trakcie pisania posta zauważyłem, że proxy zmienia się nawet podczas pracy systemu (może to powodować ten wirus) EDIT: Po skanowaniu FRST nie mogłem powstrzymać się od skanowanie MalwareBytes, który usunął i pomógł w powyższych problemach z wirusem i proxy, dodaję raport z niego. Fixlog.txt Fixlog_old.txt FRST.txt Addition.txt MalwareBytes_log.txt Odnośnik do komentarza
Miszel03 Opublikowano 28 Września 2017 Zgłoś Udostępnij Opublikowano 28 Września 2017 Po skanowaniu FRST nie mogłem powstrzymać się od skanowanie MalwareBytes, który usunął i pomógł w powyższych problemach z wirusem i proxy, dodaję raport z niego. Takie działania odbieram jako trochę brak szacunku do okazywanej przeze mnie pomocy. Dostarcz mi nowe raport FRST te są nieaktualne, bo MBAM dokonał kolosalną dezynfekcję, której ja nie pochwalam, bo robi to w mało elegancki sposób (ale to dobry produkt). Odnośnik do komentarza
MichalR123 Opublikowano 28 Września 2017 Autor Zgłoś Udostępnij Opublikowano 28 Września 2017 Takie działania odbieram jako trochę brak szacunku do okazywanej przeze mnie pomocy. Dostarcz mi nowe raport FRST te są nieaktualne, bo MBAM dokonał kolosalną dezynfekcję, której ja nie pochwalam, bo robi to w mało elegancki sposób (ale to dobry produkt). Wybacz jeśli Cię uraziłem, ale nie żyje się dobrze z posiadanym adware, mam nadzieję, że przełkniesz to jakoś… W załączeniu nowe raporty. P.S. Może to po prostu błąd Windy, ale pokazuje się jeszcze takie coś: 103067:Bez tytułu.png Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 28 Września 2017 Zgłoś Udostępnij Opublikowano 28 Września 2017 P.S. Może to po prostu błąd Windy, ale pokazuje się jeszcze takie coś: Dostarcz raport z Farbar Service Scanner w celu diagnostyki tej usługi. Spoko, nie ma sprawy. W każdym razie infekcje zostaną w całości usunięte po wykonaniu ostatniego skryptu. Przy okazji pobieram sobie kopie zadań Task, bo są tam zadania, które trzeba zgłosić do wydawcy FRST, by naprawić pewien błąd. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-937921051-684533228-786433087-1001\...\Run: [FMDANISCXL.exe] => C:\Users\jedynak\AppData\Local\Temp\YKPXKHLRDR\FMDANISCXL.exe C:\Users\jedynak\AppData\Local\Temp\YKPXKHLRDR C:\Users\jedynak\AppData\LocalLow\zwMRXEuCYLuhR Zip: C:\FRST\Quarantine\C\Windows\System32\Tasks Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Na pulpicie powstanie archiwum na Pulpicie powstanie plik data_czas.zip. Shostuj gdzieś ten plik i podaj link do paczki. 3. Dostarcz plik Fixlog. Odnośnik do komentarza
MichalR123 Opublikowano 29 Września 2017 Autor Zgłoś Udostępnij Opublikowano 29 Września 2017 Logi dodaję w załącznikach, kopia zadań Task do pobrania tutaj: http://www30.zippyshare.com/v/xp5n1c1c/file.html Dziękuję za wsparcie i pozdrawiam FSS.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 29 Września 2017 Zgłoś Udostępnij Opublikowano 29 Września 2017 Dzięki za paczkę. Wszystko pomyślnie wykonane, ale musisz odnowić plik Hosts, bo jest uszkodzony, czyli pobierasz ten plik i wrzucasz go do lokalizacji C:\WINDOWS\system32\drivers\etc FSS nie wykazał naruszeń, ale za to wykazał, że usługa Centrum Zabezpieczeń jest wyłączona, więc: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem i uruchom ponownie komputer. Jak oceniasz obecną sytuację? Odnośnik do komentarza
MichalR123 Opublikowano 3 Października 2017 Autor Zgłoś Udostępnij Opublikowano 3 Października 2017 Obecnie uważam, że jest wszystko w porządku Odnośnik do komentarza
Miszel03 Opublikowano 6 Października 2017 Zgłoś Udostępnij Opublikowano 6 Października 2017 Treści nie związane z tematem usuwam stąd. Pomoc będzie prowadzona w drugim Twoim temacie. Jeśli zaś chodzi o ten system to również uważam, że powinno być w porządku i będziemy kończyć. Zastosuj DelFix oraz wdrąż aktualizacje systemu i ważnych programów. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się