Fistakowa Opublikowano 23 Stycznia 2018 Zgłoś Udostępnij Opublikowano 23 Stycznia 2018 Dzień dobry, przedwczoraj po instalacji programu zainstalował mi się syf w postaci mail.ru Po oczyszczeniu Adwclanerem, cclanerem i przeskanowaniu Kaspersky Rescue Disc wydawało się, że jest wszystko w porządku, lecz w Chrome i Mozilli wciąż wyskakują reklamy i instalują się rozszerzenia z tym związane. Prosiłabym o szybką pomoc. Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 23 Stycznia 2018 Zgłoś Udostępnij Opublikowano 23 Stycznia 2018 Po oczyszczeniu Adwclanerem, cclanerem i przeskanowaniu Kaspersky Rescue Disc (...) Na przyszłość: z takich akcji na tym forum wymagamy dostarczenia raportów - daje nam to pewny zakres informacji na temat infekcji. W przeglądarce Google Chrome i Internet Explorer rzeczywiście widać rozszerzenia adware, ale i też problematycznego dostawcę wyszukiwarki - mail.ru. Nie widzę jednak modyfikacji w przeglądarce Mozilla FireFox niemniej jednak zadam również jej czyszczenie. Portale z oprogramowaniem / Instalatory - na co uważać 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers1_S-1-5-21-2412678058-3991403442-3374828277-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ContextMenuHandlers4_S-1-5-21-2412678058-3991403442-3374828277-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ContextMenuHandlers5_S-1-5-21-2412678058-3991403442-3374828277-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku Task: {D82794E2-776F-4AE8-9FCA-326EFEBF6A2C} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {D9F6C006-5C11-451D-B013-23316F97FE97} - \hlatomernetkolc -> Brak pliku GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia SearchScopes: HKU\S-1-5-21-2412678058-3991403442-3374828277-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B869EA21E-8973-4665-A528-86B4C43E6E8E%7D&gp=811142 SearchScopes: HKU\S-1-5-21-2412678058-3991403442-3374828277-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B869EA21E-8973-4665-A528-86B4C43E6E8E%7D&gp=811142 SearchScopes: HKU\S-1-5-21-2412678058-3991403442-3374828277-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HKU\S-1-5-21-2412678058-3991403442-3374828277-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2412678058-3991403442-3374828277-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dijfnbhlogmffhgpelodglnnkncadnbi] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2412678058-3991403442-3374828277-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2412678058-3991403442-3374828277-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (omawiane szkodliwe zostały usunięte w skrypcie, bo widoczne są tylko z poziomu rejestru). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Ponownie uruchom AdwCleaner z opcji Skanuj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Fistakowa Opublikowano 23 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2018 Proszę Fixlog.txt AdwCleanerS5.txt FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 23 Stycznia 2018 Zgłoś Udostępnij Opublikowano 23 Stycznia 2018 Wszystko pomyślnie wykonane - prawie wszystko związane z infekcją usunięte, aczkolwiek w przeglądarce Google Chrome nadal widać mail.ru (mam nadzieję, że jak usunę to przez skrypt to akcja się powiedzie - inaczej odwałamy się do reinstalacji). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CHR HomePage: Default -> inline.go.mail.ru CHR StartupUrls: Default -> "hxxp://google.com/","hxxp://mail.ru/cnt/10445?gp=811138" CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23 CHR DefaultSearchKeyword: Default -> inline.go.mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ale już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Fistakowa Opublikowano 23 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2018 Dołączam logi Fixlog.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 23 Stycznia 2018 Zgłoś Udostępnij Opublikowano 23 Stycznia 2018 Wszystko poszło gładko, infekcja usunięta. Proszę powiedz, jak podsumowujesz obecną sytuację? Odnośnik do komentarza
Fistakowa Opublikowano 23 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2018 Wszystko jest ok po restarcie chrome nie zainstalowały się żadne rozszerzenia ani nie zmieniła się strona główna Dziękuję bardzo za pomoc Odnośnik do komentarza
Miszel03 Opublikowano 23 Stycznia 2018 Zgłoś Udostępnij Opublikowano 23 Stycznia 2018 Miło mi, że moja pomoc okazała się przydatna! Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się