Skocz do zawartości

przegladarka strasznie zamula


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Posty porządkowe skasowałem. 
 
W systemie widoczne są infekcje adware oraz inne. Ponad to adresy DNS ustawione z poziomu Windows są zagraniczne i wyglądają na zarażone (KLIK / KLIK) - usuwam je. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
Task: {BD4F5FCA-61CA-400E-8388-F5CF1351B5CB} - System32\Tasks\space(title, t_monitor) => C:\Program Files (x86)\SystemHealer\HealerConsole.exe
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [1744468] => C:\Users\User\AppData\Roaming\ziszkkva3f2\pflwkpoppbs.exe [907150 2017-12-09] (riggar )
HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [2535864] => C:\Users\User\AppData\Roaming\aw3qvtzkrdv\pjketuc2yqz.exe [907150 2017-12-09] (riggar )
HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [7255537] => C:\Users\User\AppData\Roaming\lztk53op3ed\e100h3ocdok.exe [907150 2017-12-09] (riggar )
HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [6899054] => C:\Users\User\AppData\Roaming\20rxfdrcezi\wka1wyksfr5.exe [907150 2017-12-09] (riggar )
HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [5369713] => C:\Users\User\AppData\Roaming\lnu0sr15ine\wttaatfeb15.exe [907150 2017-12-09] (riggar )
HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [9242629] => C:\Users\User\AppData\Roaming\tivd5ds2xh1\vwkra3bny1y.exe [907150 2017-12-09] (riggar )
C:\Users\User\AppData\Roaming\ziszkkva3f2
C:\Users\User\AppData\Roaming\aw3qvtzkrdv
C:\Users\User\AppData\Roaming\lztk53op3ed
C:\Users\User\AppData\Roaming\20rxfdrcezi
C:\Users\User\AppData\Roaming\lnu0sr15ine
C:\Users\User\AppData\Roaming\tivd5ds2xh1
AppInit_DLLs: C:\ProgramData\Quoteex\Yearlax.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Quoteex\Alphatax.dll => Brak pliku
C:\ProgramData\Quoteex
GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrA7RVHtgN_gnVnWVaXlpVpLgvuo5S8hEI0HiLY-x6i3X8hPhff5Utr0u7fJN5cnvM5wW2Q0AdYhoY1aF7lXuljVotApiF_oYRrD8XIjJLPpzk6_Elgyro4X_FAyQ3leSwnlyny_eKISABwt3e7hTNDnBkWw,,&q={searchTerms}
HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrA7RVHtgN_gnVnWVaXlpVpLgvuo5S8hEI0HiLY-x6i3X8hPhff5Utr0u7fJN5cnvAT5-aR2HByHjjEw8U860rJejmG8_AVD8GrFoB_A0y2oVBfFieu8aRe1DNz8uIbnIEnadg6fCLXcPwRd54LQptqq6gjA,,
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) C:\Program Files (x86)\UCBrowser
C:\Users\User\AppData\Local\UCBrowser
2017-12-09 13:37 - 2017-12-09 13:37 - 007561216 _____ () C:\Users\User\AppData\Local\agent.dat
2017-12-09 13:37 - 2017-12-09 13:37 - 000070800 _____ () C:\Users\User\AppData\Local\Config.xml
2017-12-09 13:36 - 2017-12-09 13:36 - 000140800 _____ () C:\Users\User\AppData\Local\installer.dat
2017-12-09 13:37 - 2017-12-09 13:37 - 001895382 _____ () C:\Users\User\AppData\Local\Konkit.bin
2017-12-09 13:37 - 2017-12-09 13:37 - 000005568 _____ () C:\Users\User\AppData\Local\md.xml
2017-12-09 13:37 - 2017-12-09 13:37 - 000126464 _____ () C:\Users\User\AppData\Local\noah.dat
2017-12-09 13:37 - 2017-12-09 13:37 - 001980959 _____ () C:\Users\User\AppData\Local\Rehold.tst
2017-12-09 13:37 - 2017-12-09 13:37 - 000032038 _____ () C:\Users\User\AppData\Local\uninstall_temp.ico
2017-12-09 13:37 - 2017-12-09 13:37 - 000278508 _____ () C:\Users\User\AppData\Local\ViaOzefix.tst
2017-12-09 14:03 - 2017-12-09 14:50 - 000000000 ____D C:\Program Files\66U0T6MXBG
2017-12-09 13:46 - 2017-12-09 13:48 - 000000000 ____D C:\Users\User\AppData\LocalLow\ZUAwrnxgIZhKc
2017-12-09 13:39 - 2017-12-09 14:21 - 000000000 ____D C:\Program Files\SE6135IAQE
Tcpip\..\Interfaces\{9FB8A1B0-7156-4E41-990A-08D41F0D0026}: [NameServer] 82.163.142.8,95.211.158.136
CMD: ipconfig /flushdns
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\User\AppData\Local
CMD: dir /a C:\Users\User\AppData\LocalLow
CMD: dir /a C:\Users\User\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt
 
2. Uruchom przeglądarkę Opera, a następnie za pomocą kombinacji klawiszy CTRL + SHIFT + E przejdź do Rozszerzenia i skasuj wszystkie nieznane Ci i niepotrzebne rozszerzenia (szczególną uwagę zwróć na rozszerzenie Safe browsing - wydaję mi się, że jest ono szkodliwe, więc raczej skasuj je). 
 
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

Post podbijający kasuję.

 

Wygląda to o wiele lepiej, ale UCBrowser nadal siedzi - z tego co widzę, Malwarebytes z nim sobie poradzi. Po za tym przy okazji usunie inne infekcje i resztki. Zbliżamy się do końca :)

 

1. Zagrożenia wykryte przez Malwarebytes daj do kasacji (pominąć możesz detekcje związane z DAEMON Tools Lite, bo masz go zainstalowanego). Dostarcz raport z tego działania. 

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
C:\Program Files\TYYII14TX4
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\Control Panel\Desktop\\SCRNSAVE.EXE ->
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

3. Ponów skan Malwarebytes, by upewnić się, że już nic nie wykrywa. Jeśli coś jednak zostanie wykryte to tak jak poprzednio niczego nie usuwaj, a dostarcz raport.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...